Вот уже третий год выходит масштабное исследование "Oh, Behave!" от Cybsafe, приуроченное к месяцу повышения осведомленности в кибербезопасности.
Очень наглядное пособие о том, как различные поколения людей относятся к рискам и правилам кибербезопасности. Респондентам задавали вопросы о гигиене использования паролей, установки обновлений, инструктажах, онлайн-мошенничествах и пр.

Из интересного про использование паролей:
➡️Старшие поколения чаще используют свою методику для создания уникальных паролей, чем молодежь - поколение Z и миллениалы всё чаще полагаются на сгенерированные веб-сайтами и приложениями сложные пароли, а также используют при смене паролей плохую практику, изменяя 1-2 символа в текущем пароле.
➡️Молодые люди чаще пользуются паролями длиннее 12 символов (видимо вытекает из первого утверждения).
➡️Большинство респондентов, независимо от возраста, используют пароли длинной от 9 до 11 символов.

Помимо различной статистики в отчете можно найти рекомендации, призванные повысить качество обучения и в целом изменить отношение людей к вопросам кибербезопасности.

Раз уж написал утром про израильтян, то продолжу. У жителей земли обетованной есть своя, достаточно интересная, стратегия кибербезопасности. Из интересных моментов, на которые я бы обратил внимание:
🔤 Все компании делятся на две категории А и Б, отличающиеся по величине возможного прямого и косвенного ущерба от кибератак. Водораздел проходит по сумме 1,5 миллиона долларов. В доктрину включен простой опросник, который должен подсказать, в какую категорию попадает организация (независимо от ее формы собственности).
🔤 Требования по защите отличаются для компаний разных категорий. Для А все достаточно просто, для Б надо проводить оценку рисков, оценивать риск-аппетит, маппить выявленные риски в защитные меры и т.п.
🔤 Доктрина предлагает огромное количество различных опросников и иных таблиц, которые позволяют легко оценивать своей текущий уровень ИБ, составить модель нарушителя, определить риск-аппетит и т.п.
🔤 Интересно, что доктрина не просто говорит "используйте вот такую-то меру", а предлагает находить баланс между эффективности защитных мер и их стоимостью. Это нечто схожее с принципом экономической целесообразности, заложенным в приказы ФСТЭК и ГОСТ Банка России, но если в первом случае этот принцип просто есть и все, без пояснений и деталей, то во втором он вообще не работает - проверяющие Банка России плюют на все экономические расчеты и просто требуют буквального применения защитных мер из ГОСТ 57580.1.
🔤 Методика оценки рисков достаточно простенькая - на базе светофора (мне такие не очень нравятся в виду их неконкретности). Но зато в доктрине упомянуты достаточно свежие технологии ИБ - BAS, ASM, DRP и т.п.

В общем, рекомендуется, как минимум, к прочтению.