Фішинг еволюціонує швидше за штучний інтелект. І ми все ще натискаємо «відкрити».
Помилка оновлення CrowdStrike у 2024 році паралізувала роботу сотень компаній по всьому світу. Один-єдиний збій у коді — людська помилка в процесі розробки або тестування програмного забезпечення — спричинив глобальний крах IT-інфраструктури, 5,4 мільярдів збитків, скасовані рейси, зупинені лікарні та мільйони постраждалих користувачів. Упевнений, всі пам'ятають цей кейс, який вкотре показав: людський фактор — головна загроза інформаційній безпеці.
Я регулярно читаю різні огляди в галузі кібербезпеки, і цифри вражають. За даними Mimecast, у 2024 році 95% кіберінцидентів сталися саме через людські дії чи бездіяльність. Компанії витрачають мільярди на сучасні системи захисту, впроваджують нові технології, будують багаторівневу інфраструктуру безпеки — але часто ігнорують найслабшу ланку - людину.
У 2010-х атаки були переважно технічними: трояни, вразливості у коді, віруси. Сьогодні все частіше атака стартує не з коду, а з того, що хтось відкрив не той лист, перейшов не за тим лінком чи завантажив не той файл. І системи — вже у зоні ураження. Дослідження лише підтверджують це: за різними оцінками, від 68 до 95% атак трапляються через помилку, необізнаність або недбалість співробітника.
Поширені людські помилки в кібербезпеці
Фішинг та соціальна інженерія — інструмент №1 у руках зловмисників. Нові тактики — квішинг (шкідливі QR-коди), смішинг (текстові повідомлення), вішинг (дзвінки) — еволюціонують із неймовірною швидкістю. Це не абстрактна загроза.
Зіштовхнувся з подібним кейсом в Telegram: «Проголосуй за мою племінницю». Ніби невинне повідомлення, яке прийшло від знайомого. За посиланням — фішингова форма, яка могла вкрасти конфіденційні дані. Інша тактика зловмисників — образливі коментарі під постами в соцмережах, що б привернути увагу до аккаунту, переходиш за лінком подивитися на автора — і твій акаунт уже не належить тобі.
Ще одна помилка — слабкі паролі. У 2024 році «123456» досі залишається найпопулярнішим паролем у світі. Люди не змінюють паролі навіть після відомих витоків даних, використовують одні й ті самі комбінації на різних платформах, нехтують базовими принципами інформаційної гігієни. І в цьому теж — людський фактор. Людина активно починає цікавитись кібергігієною лише після того, як сама потрапляє в пастку шахраїв. Але може бути надто пізно.
Чому фішингові атаки ефективні?
Секрет — у психології. Хакери використовують поведінкові патерни, грають на наших емоціях і реакціях:
Терміновість і страх — створюють враження, що треба діяти негайно, інакше будуть наслідки.
Авторитет і довіра — прикидаються представниками відомих брендів або керівництва компанії.
Цікавість і спокуса — обіцяють подарунки, виграші або ексклюзивну інформацію.
Когнітивні упередження — користуються нашою звичкою довіряти знайомим, близьким, діяти автоматично, не перевіряючи.
Що по галузях?
У високочутливих індустріях ці помилки коштують занадто дорого. Найвищий ризик — в охороні здоров’я, фінансовому секторі, держструктурах і, звісно, гемблінгу. У цих сферах кібератака — це не просто технічний збій. Це удар по довірі, по фінансах, по ліцензії.
Охорона здоров'я
2024 рік. Співробітник Ascension Hospitals випадково завантажив шкідливий файл — і спричинив масштабну атаку програм-вимагачів. Паралізовані понад 140 лікарень в 19 штатах США. Персонал повернувся до паперу й факсу.
Державні органи
Та ж сама історія — у Північній Ірландії. Поліція випадково надсилає журналістам повний список своїх офіцерів. Людська помилка в пошті. Імена, адреси, звання — у публічному доступі. Після цього службовці та їх сім’ї отримують погрози.
Гральний бізнес
Атака на MGM Resorts у 2023 році: хакери зібрали дані співробітників із LinkedIn, подзвонили до IT-підтримки, видали себе за співробітника — і отримали доступ до систем. Результат: $100 млн збитків і дні простою, втрата довіри клієнтів та стейколдерів компанії.
Більш давніший випадок кібератаки Casino Rama (Канада, 2016): витік чутливих даних клієнтів і співробітників. Хоча технічні деталі атаки не розголошувалися, ймовірною причиною стала внутрішня недбалість персоналу. Ще тоді, майже 10 років тому.
Як зменшити ризики?
Сьогодні бізнес починає усвідомлювати: кіберосвіта — це не тренд, а must have. За прогнозами Cybersecurity Ventures, глобальні витрати на навчання персоналу перевищать $10 мільярдів до 2027 року. Понад 90% інцидентів можна було б уникнути, якби працівники знали, як правильно діяти під час атаки.
Симуляції фішингу — один із найефективніших способів підвищити обізнаність. Дослідження показують: після п’яти симуляцій відсоток співробітників, які натискають на фішингові посилання, знижується з 70% до однозначних чисел. Звіт Microsoft, показує, що коли співробітники проходять тренування з моделювання фішингу, у них на 50% менше шансів потрапити на фішинг. Компанії, які системно впроваджують тренінги, бачать не тільки менше інцидентів, а й більше повідомлень про підозрілу активність.
Але цього недостатньо. Щоб справді зменшити ризики людського фактора, потрібен системний підхід. По-перше — постійне навчання команди: як розпізнавати загрози і що робити під час атаки. Це — чіткі політики обігу даних, культура безпеки без страху зробити помилку, регулярний аудит доступів і використання ШІ для виявлення аномалій ще до того, як вони стануть проблемою. І нарешті — це турбота про людей. Бо втома, вигорання і розфокусованість — така ж вразливість, як і незахищений сервер. Просто менш помітна. Але ще більш небезпечна.
Але скільки б ми не посилювали системи захисту, помилки залишаться. Зловмисники це знають, тому й далі шукатимуть нові способи обійти захист. Питання вже не тільки в технологіях. Час дивитися глибше. Починати з основ: кібербезпека має бути частиною шкільної освіти — так само як фізика чи література. Цифрова безпека - база. І розуміти її варто не з першого злому — а з дитинства.
