К примеру, в Самарской и Курской областях доля тех, кто боится потерять работу из-за недостатка цифровых компетенций приближается к 40%, в Москве таких более трети 34%).
Заместитель генерального директора Аналитического центра НАФИ Тимур Аймалетдинов в ходе выступления на онлайн-конференции «Э+ цифровые компетенции» среди групп риска обозначил такие категории, как молодые сотрудники (до 24 лет), руководители и собственники бизнеса, технический персонал и рабочие, а также сотрудники коммерческих компаний, которые уделяют меньше внимания переподготовке кадров по сравнению с госструктурами.
Исследования Университета Иннополис и ООО «ОЦРВ» Сириус также показали существенное проседание цифровых навыков у руководителей и технического персонала.
Заведующая лабораторией измерения новых конструктов и дизайна тестов Института образования НИУ ВШЭ Светлана Авдеева оценила уровень владения рядом цифровых навыков у студентов даже ИТ–специальностей на уровне чуть выше 50%. Положение, по ее оценке, осложняет и то, что для оценки сложных навыков стандартные методики не подходят.
Однако руководитель Центра цифровых компетенций ГК «Самолет» («Самолет образование») Андрей Комиссаров назвал генеративный ИИ полезным инструментов для оценки таких навыков. Также он поделился опытом использования ИИ–тьюторов для обучения сотрудников, в том числе востребованным цифровым навыкам.
Руководитель направления обучения АО «ЭР-Телеком Холдинг» Ольга Маслова поделилась опытом массового обучения сотрудников востребованным навыкам, среди которых применение инструментов предиктивной аналитики, средств роботизации бизнес-процессов (RPA), настройка чат-ботов и голосовых помощников с помощью разработанных для каждой из бизнес-ролей треков адаптации, и в обучении активно участвуют внутренние эксперты. Уровень знаний сотрудникам «ЭР-Телеком Холдинг» при этом необходимо каждые полгода подтверждать в ходе сертификационных испытаний.
Сооснователь AI Talent Hub и Napoleon IT Павел Подкорытов, однако, считает, что обучение в вузе должно строиться на основе реальной практики в компаниях:
«В 2022 г. компания Napoleon IT совместно с университетом ИТМО открыли AI Talent Hub — онлайн-магистратуру по подготовке ML–инженеров Middle и Middle+ нового формата. Основа обучения — реальные рабочие процессы в компаниях. Студенты AI Talent Hub с первых дней обучаются на реальных задачах бизнеса, включая крупнейшие корпорации рынка. Знаний, приобретенных еще до завершения магистратуры, достаточно, чтобы получить оффер в крупную корпорацию, вывести свой стартап на глобальный рынок или повысить грейд в ML. 70% магистрантов уже работают в индустрии по специальности».
Магистратуру уже в новом учебном году откроет МТС по направлению «Исследования и предпринимательство в искусственном интеллекте» на факультете компьютерных наук в ВШЭ. Как анонсировал вице-президент ПАО «Мобильные ТелеСистемы» (МТС) Павел Воронин, обучение будет практикоориентированным, а значительную часть преподавателей составят сотрудники оператора.
Как отметил первый проректор НИТУ МИСиС Сергей Салихов в ходе круглого стола «Код науки и технологий» , который прошел в рамках конференции True Tech Day, для работы в новых областях нужны фундаментальные знания, которые можно получить только в вузе. Разного рода краткосрочные курсы, по его мнению, могут быть полезными лишь для того, чтобы повысить уровень компетенции. Игорь Лопатин, сославшись на личный опыт, сделал вывод, что люди с ограниченным багажом знаний просто не могут ставить задачи.
Среди наиболее проблемных навыков, владение которыми оказалось ниже среднего, представитель НАФИ назвал создание цифрового контента (оно включает алгоритмическое мышление и знания в области авторских прав), что является барьером для инноваций, и кибербезопасность, последствием чего являются инциденты ИБ и трудности с передачей знаний от сотрудников профильных подразделений персоналу.
«Человек, к сожалению, остается самым слабым звеном в киберзащите организации: мы часто видим, что сотрудники попадаются на фишинг, который бывает таргетированным, или сознательно нарушают требования по кибербезопасности. Таким образом, необходимо одновременно внедрять эшелонированную киберзащиту, применять современные продукты и технологии по защите промышленных систем и продолжать обучать сотрудников, повышая их уровень киберграмотности», — отметил эксперт Kaspersky ICS CERT Владимир Дащенко.
Менеджер по развитию UserGate Александр Луганский считает, что низкий уровень цифровой грамотности влияет как на процесс автоматизации в подходах ведения бизнеса, так и на уровень информационной безопасности:
««Цифровая гигиена» сильно повышает уровень защищенности компании, за счет того что сотрудник начинает критически относиться, например, к мошенническим действиям, уходя от легкомысленного подхода «да зачем я нужен злоумышленнику». К сожалению, уровень осознанности как у физических лиц, так и у компаний в вопросах информационной безопасности находится на этапе становления. И важно понимать, что повседневная жизнь и личные примеры намного сильнее помогают в формировании привычки защищать свои ресурсы, чем эфемерные проблемы бизнеса. Деньги, украденные из своего кошелька, любым человеком ощущаются сильнее, чем из чужого».
Наиболее активно злоумышленники используют низкую цифровую грамотность сотрудников в ходе фишинговых атак.
Руководитель отдела анализа защищенности Angara Security Михаил Сухов привел такой пример из реальной практики:
«Наша компаний в 2022–2023 гг. провела серию рассылок фишинговых сообщений через электронную почту. В этом тестировании приняли участие 8,2 тыс. сотрудников в компаниях государственного, финансового, транспортно-логистического, промышленного, строительного, информационно-технологического секторов, в сферах телекоммуникации, консалтинга, услуг, электронной коммерции.
По итогам исследования эксперты выяснили, что сотрудники российских компаний в 10% случаев не распознают социотехническую атаку на инфраструктуру компании и переходят по вредоносным ссылкам в фишинговых письмах.
В рамках эксперимента службы безопасности заказчиков заблокировали часть писем и предупредили пользователей, которые ввели свои данные, что необходимо изменить пароль от учетной записи. В большинстве случаев использовался сценарий с вводом логина и пароля от доменной учетной записи на стороннем сайте.
Тестирование показало, что в среднем в каждой компании есть хотя бы один сотрудник, который в случае фишинговой рассылки переходит по вредоносной ссылке и подвергает опасности личные данные и инфраструктуру компании.
Так как злоумышленник получает доступ во внутреннюю сеть заказчика с УЗ пользователя, возможно, даже и так имеющего доступ к критичным системам, а если и не имеющего, то злоумышленник имеет возможность повысить привилегии и получить критические данные из внутренней сети компании».
Руководитель экспертизы продукта PT NAD в Positive Technologies Кирилл Шипулин привел такие данные по итогам 2023 г.:
«Фишинг стал причиной 43% всех успешных атак на организации. Не верить письмам о крупном выигрыше мы, кажется, уже научились, но злоумышленники быстро узнают о новых инфоповодах и используют их для рассылки писем с актуальными и горячими темами: COVID-19, решения правительства, новые законы и даже человеческие трагедии.
Их финальная цель — заставить человека открыть вредоносный документ или перейти по ссылке, убедив жертву, что хакеру можно доверять. Для этого они представляются вашими коллегами и даже начальниками, а нередко могут даже влезать в текущие почтовые переписки и, например, подменить привычный платежный адрес.
Не забываем и о базовых правилах кибербезопасности: проверять «замочки» в браузере и корректность адреса в ссылках. Также важно использовать сложные пароли. Небольшая фраза из вашего любимого сериала на английском языке — отличный выбор. Добавить туда символы и цифры — и ваш пароль будет удовлетворять уже всем парольным требованиям, а подобрать его перебором будет очень сложно.
Утечки данных тоже являются проблемой, которую можно отнести к кибергигиене. Есть специальные сайты, по которым можно проверить, не утек ли ваш пароль учетной записи.
В целом кибербезопасность — это общая ответственность граждан, государства, бизнеса и ИБ-специалистов. Мы рекомендуем соблюдать хотя бы базовые правила кибербезопасности.
Positive Technologies, например, сегодня запустила бесплатный курс по основам личной кибербезопасности в виде коротких и простых видеоуроков в области цифровой гигиены. Видеоролики с заданиями в развлекательной форме будут полезны всем, кто хочет научиться защищать себя и своих близких от киберугроз».
Эксперт по анализу защищенности ООО «БСС-Безопасность» Роман Ким среди атак, которые эксплуатируют низкий уровень цифровой грамотности, выделил, наряду с фишингом, также атаки с использованием вредоносных программ и поддельных точек доступа (rogue access point attacks):
«Фишинг–атаки обманывают сотрудников, заставляя их раскрыть конфиденциальную информацию или установить вредоносное ПО, представляясь надежными источниками.
Вредоносные программы могут проникнуть через подозрительные ссылки или вложения в электронных письмах, которые сотрудники открывают из-за недостаточной осведомленности о безопасности.
Атаки с использованием поддельных точек доступа создают поддельные Wi-Fi сети, к которым подключаются сотрудники, что позволяет злоумышленникам перехватывать передаваемые данные и получать доступ к конфиденциальной информации. Потенциальный ущерб от таких атак может быть колоссальным.
Утечка конфиденциальной информации может привести к серьезным финансовым потерям и юридическим последствиям. Компании могут понести убытки из-за кражи данных, штрафов за несоблюдение нормативных требований и потерь клиентов.
Кроме того, атаки могут повредить репутацию компании, подорвать доверие клиентов и партнеров, а также вызвать серьезные сбои в бизнес-процессах. Например, компрометация учетных записей сотрудников может позволить злоумышленникам получить доступ к внутренним системам и данным, что приведет к длительным простоям и затратам на восстановление».
«Пользователей легко ввести в заблуждение классическими фишинговыми атаками, даже без использования сложных схем. Думаю, если в среднестатистической компании провести внутреннюю тестовую фишинговую атаку, то на нее попадется около 75% пользователей, — предупреждает Александр Луганский. — Далее, вводя практику разговоров о безопасности с примерами того, как действует злоумышленник, это значение можно сильно понизить и привести примерно к 10%, но только в том случае, если такие уроки «цифровой гигиены» являются регулярными.
Объясненное лишь раз, скорее всего, забудется большинством сотрудников в скором времени, и тот небольшой прогресс, который будет заметен на повторной фишинговой атаке через несколько дней, соскользнет в статистическую погрешность через пару месяцев.
Дополнительная сложность заключается в том, что квалифицированных специалистов, которые готовы обучать «цифровой гигиене», на рынке не так много. Как правило, это сопутствующая активность ИБ–компаний, поскольку именно они обладают необходимыми специалистами и компетенцией, находятся на острие событий, отслеживают тенденции и могут дать грамотные рекомендации.
В этом плане компания UserGate не исключение — у нас также есть программа Security Awareness. Другой вопрос, что, с учетом общего дефицита кадров в ИБ, стоимость таких услуг может быть достаточно высокой и заказать их «в кратчайшие сроки» вряд ли получится, поскольку спрос сейчас значительно опережает предложение».
Глава комитета промышленной автоматизации АРПП «Отечественный софт», технический директор Лаборатории технологий автоматизации Вадим Подольный обратил внимание, что обеспечение цифровой безопасности в промышленности является слабым местом на большинстве производств: «Крупные предприятия могут позволить себе и штат соответствующих специалистов, повышение их квалификации, и работу с профильными вендорами и интеграторами в области цифровой безопасности. Предприятия поменьше вынуждены решать проблемы доступными способами по остаточному принципу, с учетом современных требований регуляторов — ФЗ-187, ФЗ-256, 166 указа президента и др.».
Также исследование показало, что почти в любой организации есть цифровое неравенство: 20–25% сотрудников обладают низким уровнем цифровой грамотности, но, с другой стороны, в компаниях есть много людей, которые в состоянии обучать.
Исправить данную ситуацию может работодатель, и многие, как отметил Тимур Аймалетдинов, уже взялись за эту работу, косвенным признаком чего стало то, что уровень цифровой грамотности у работающих россиян (75 из 100 возможных) существенно выше, чем у неработающих (68).
«Стихийное развитие цифровых компетенций создает «завихрения», перерастающие в «шторм». Давайте делать его управляемым!» — призвал Тимур Аймалетдинов.
Заведующий лабораторией цифровых компетенций ООО «ОЦРВ» Сириус Вадим Холодцов привел результаты исследования «Цифровые компетенции в крупных российских компаниях и корпорациях».
Одним из главных его выводов оказалось то, что в разных компаниях модели цифровых компетенций серьезно различаются, что может затруднить решение таких насущных задач, как импортозамещение и цифровая трансформация.
Вадим Холодцов призвал директоров по цифровой трансформации и ИТ–менеджеров совместно с экспертным сообществом выработать единые модели и методологии.
Вадим Подольный считает недостаток цифровых компетенций персонала следствием общего кадрового дефицита, что порождает цифровое неравенство не только внутри компаний, но и на уровне отраслей:
«В России катастрофический недостаток кадров для многих отраслей промышленности. В отрасли цифровых технологий наблюдается очевидный недостаток кадров. Более того, динамика развития отрасли цифровых технологий выше, чем снабжение ее кадрами. Также очевидно, что отрасль цифровых технологий глобализируется, гиганты пылесосят лучшие кадры.
Возможность удаленной работы разрушает последний барьер конкуренции с малыми и средними предприятиями — для работы на гиганта не требуется переезд. Таким образом, аутсайдеры рынка остаются со слабыми кадрами, что приводит к повышенным рискам в области проектов по разработке и внедрению цифровых технологий. Снижается качество, растут сроки, многие проекты не доводятся до конца и становятся нерентабельными.
Также важно отметить, что цифровые гиганты, поглощающие кадры, точно не относятся к отрасли промышленной автоматизации. Следовательно, такие кадры развиваются совсем в иных направлениях, что приводит к еще большему дефициту кадров на производстве».
Начать дискуссию