Εκπαίδευση ευαισθητοποίησης για την κυβερνοασφάλεια: Τι είναι και τι λειτουργεί καλύτερα;

Υπάρχει μια παλιά παροιμία στην ασφάλεια στον κυβερνοχώρο ότι οι άνθρωποι είναι ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας. Αυτό ισχύει ολοένα και περισσότερο, καθώς οι παράγοντες απειλών ανταγωνίζονται για να εκμεταλλευτούν εύπιστους ή απρόσεκτους υπαλλήλους. Αλλά είναι επίσης δυνατό να μετατραπεί αυτός ο αδύναμος κρίκος σε μια τρομερή πρώτη γραμμή άμυνας. Το κλειδί είναι η ανάπτυξη ενός αποτελεσματικού εκπαιδευτικό πρόγραμμα ευαισθητοποίησης για την ασφάλεια.

Η έρευνα αποκαλύπτει ότι το 82% των παραβιάσεων δεδομένων που αναλύθηκαν το 2021 αφορούσαν ένα «ανθρώπινο στοιχείο». Είναι αναπόφευκτο γεγονός των σύγχρονων κυβερνοαπειλών ότι οι εργαζόμενοι αντιπροσωπεύουν κορυφαίο στόχο για επίθεση. Δώστε τους όμως τη γνώση που απαιτείται για να εντοπίσουν τα προειδοποιητικά σημάδια μιας επίθεσης και να κατανοήσουν πότε μπορεί να θέτουν ευαίσθητα δεδομένα σε κίνδυνο, και υπάρχει μια τεράστια ευκαιρία να προωθήσουν τις προσπάθειες μετριασμού του κινδύνου.

Τι είναι η εκπαίδευση ευαισθητοποίησης για την ασφάλεια;

Η εκπαίδευση ευαισθητοποίησης δεν είναι ίσως το καλύτερο όνομα για το τι θέλουν να επιτύχουν οι ηγέτες πληροφορικής και ασφάλειας στα προγράμματά τους. Στην πραγματικότητα, ο στόχος είναι να αλλάξουμε συμπεριφορές μέσω βελτιωμένης εκπαίδευσης σχετικά με το πού βρίσκονται οι βασικοί κίνδυνοι στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές μπορούν να μάθουν για τον μετριασμό τους. Είναι μια τυπική διαδικασία που θα πρέπει ιδανικά να καλύπτει μια σειρά θεματικών τομέων και τεχνικών για να ενδυναμώσει τους υπαλλήλους να λαμβάνουν τις σωστές αποφάσεις. Ως εκ τούτου, μπορεί να θεωρηθεί ως θεμελιώδης πυλώνας για οργανισμούς που θέλουν να δημιουργήσουν ένα ασφάλεια ανά σχέδιο εταιρική κουλτούρα.

Γιατί είναι απαραίτητη η εκπαίδευση ευαισθητοποίησης για την ασφάλεια;

Όπως κάθε είδους εκπαιδευτικό πρόγραμμα, η ιδέα είναι να ενισχύσουμε τις δεξιότητες του ατόμου για να το κάνουμε καλύτερο υπάλληλο. Σε αυτήν την περίπτωση, βελτιώνοντας τη συνείδησή τους για την ασφάλεια όχι μόνο θα σταθεί καλά το άτομο καθώς πλοηγείται σε διάφορους ρόλους, αλλά θα μειώσει τον κίνδυνο μιας πιθανής καταστροφική παραβίαση ασφάλειας.

Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά οποιουδήποτε οργανισμού. Εάν μπορούν να χακαριστούν, τότε μπορεί και ο οργανισμός. Με παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα και συστήματα πληροφορικής αυξάνει τον κίνδυνο ατυχημάτων που θα μπορούσαν επίσης να επηρεάσουν αρνητικά την εταιρεία.

Αρκετές τάσεις υπογραμμίζουν την επείγουσα ανάγκη για εκπαιδευτικά προγράμματα ευαισθητοποίησης σχετικά με την ασφάλεια:

Κωδικοί πρόσβασης: Τα στατικά διαπιστευτήρια υπάρχουν εδώ και πολύ καιρό τα συστήματα υπολογιστών. Και παρά τα παράπονα των ειδικών ασφαλείας όλα αυτά τα χρόνια, παραμένουν η πιο δημοφιλής μέθοδος ελέγχου ταυτότητας χρήστη. Ο λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς να τα χρησιμοποιούν. Η πρόκληση είναι ότι είναι επίσης α τεράστιος στόχος για τους χάκερ. Καταφέρετε να ξεγελάσετε έναν υπάλληλο για να τον παραδώσει ή ακόμα και να τον μαντέψετε και συχνά δεν υπάρχει τίποτα άλλο εμπόδιο στην πλήρη πρόσβαση στο δίκτυο.

Πάνω από τους μισούς Αμερικανούς υπαλλήλους έχουν γράψει τους κωδικούς πρόσβασης σε στυλό και χαρτί, σύμφωνα με μια εκτίμηση. Κακές πρακτικές κωδικών πρόσβασης ανοίξτε την πόρτα στους χάκερ. Και καθώς αυξάνεται ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.

Κοινωνική μηχανική: Τα ανθρώπινα όντα είναι κοινωνικά πλάσματα. Αυτό μας κάνει επιρρεπείς στην πειθώ. Θέλουμε να πιστεύουμε τις ιστορίες που μας λένε και το άτομο που τις λέει. Αυτό είναι γιατί λειτουργεί η κοινωνική μηχανική: η χρήση από τους φορείς απειλών τεχνικών πειθούς όπως η πίεση χρόνου και η πλαστοπροσωπία για να ξεγελάσουν το θύμα ώστε να κάνει την προσφορά του. Τα καλύτερα παραδείγματα είναι Phishing email, μηνύματα (γνωστός και ως σμίξιμο), και τηλεφωνήματα (γνωστός και ως vishing), αλλά χρησιμοποιείται επίσης σε Επιθέσεις συμβιβασμού επαγγελματικού email (BEC). και άλλες απάτες.

Η οικονομία του εγκλήματος στον κυβερνοχώρο: Σήμερα, αυτοί οι παράγοντες απειλών διαθέτουν ένα περίπλοκο και εξελιγμένο υπόγειο δίκτυο σκοτεινών ιστοσελίδων μέσω των οποίων μπορούν αγορά και πώληση δεδομένων και υπηρεσιών – τα πάντα, από αλεξίσφαιρη φιλοξενία έως ransomware-as-a-service. Του λέγεται ότι αξίζει τρισεκατομμύρια. Αυτή η «επαγγελματοποίηση» της βιομηχανίας του εγκλήματος στον κυβερνοχώρο οδήγησε φυσικά τους φορείς απειλών να εστιάσουν τις προσπάθειές τους εκεί όπου η απόδοση της επένδυσης είναι υψηλότερη. Σε πολλές περιπτώσεις, αυτό σημαίνει ότι στοχεύουν τους ίδιους τους χρήστες: εταιρικούς υπαλλήλους και καταναλωτές.

Υβριδική εργασία: Οι εργαζόμενοι στο σπίτι είναι πιστεύεται ότι είναι είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους phishing και να εμπλακούν σε επικίνδυνη συμπεριφορά, όπως η χρήση συσκευών εργασίας για προσωπική χρήση. Ως εκ τούτου, η εμφάνιση μιας νέας εποχής του υβριδική εργασία έχει ανοίξει την πόρτα για τους εισβολείς να στοχεύουν εταιρικούς χρήστες όταν είναι πιο ευάλωτοι. Αυτό για να μην αναφέρουμε το γεγονός ότι τα οικιακά δίκτυα και οι υπολογιστές μπορεί να είναι λιγότερο καλά προστατευμένα από τα αντίστοιχα που βασίζονται στο γραφείο.

Γιατί έχει σημασία η προπόνηση;

Τελικά, μια σοβαρή παραβίαση ασφάλειας, είτε οφείλεται σε επίθεση τρίτου μέρους είτε σε τυχαία αποκάλυψη δεδομένων, θα μπορούσε να οδηγήσει σε μεγάλη οικονομική ζημιά και ζημιά στη φήμη. ΕΝΑ αποκάλυψε πρόσφατη μελέτη ότι το 20% των επιχειρήσεων που υπέστησαν τέτοια παραβίαση παραλίγο να χρεοκοπήσουν ως αποτέλεσμα. Ξεχωριστή έρευνα ισχυρίζεται ότι το μέσο κόστος μιας παραβίασης δεδομένων παγκοσμίως είναι τώρα υψηλότερο από ποτέ: πάνω από 4.2 εκατομμύρια δολάρια ΗΠΑ.

Δεν είναι απλώς ένας υπολογισμός κόστους για τους εργοδότες. Πολλοί κανονισμοί όπως το HIPAA, το PCI DSS και το Sarbanes-Oxley (SOX) απαιτούν από τους συμμορφούμενους οργανισμούς να εκτελούν εκπαιδευτικά προγράμματα ευαισθητοποίησης για την ασφάλεια των εργαζομένων.

Πώς να κάνετε τα προγράμματα ευαισθητοποίησης να λειτουργούν

Έχουμε εξηγήσει το «γιατί», αλλά τι γίνεται με το «πώς»; Οι CISO θα πρέπει να ξεκινήσουν με τη διαβούλευση με τις ομάδες ανθρώπινου δυναμικού, οι οποίες συνήθως καθοδηγούν εταιρικά προγράμματα κατάρτισης. Μπορεί να είναι σε θέση να παρέχουν ad hoc συμβουλές ή πιο συντονισμένη υποστήριξη.

Μεταξύ των περιοχών που πρέπει να καλυφθούν θα μπορούσαν να είναι:

• Κοινωνική μηχανική και phishing/vishing/smishing
• Τυχαία αποκάλυψη μέσω email
• Προστασία Ιστού (ασφαλής αναζήτηση και χρήση δημόσιου Wi-Fi)
• Βέλτιστες πρακτικές κωδικού πρόσβασης και έλεγχος ταυτότητας πολλαπλών παραγόντων
• Ασφαλής τηλεκατεύθυνση και εργασία στο σπίτι
• Πώς να εντοπίσετε τις εσωτερικές απειλές

Πάνω απ 'όλα, να έχετε κατά νου ότι τα μαθήματα πρέπει να είναι:

• Διασκέδαση και παίχτηκε (σκέψου θετική ενίσχυση και όχι μηνύματα που βασίζονται στον φόβο)
• Βασίζεται σε ασκήσεις προσομοίωσης πραγματικού κόσμου
• Τρέξτε συνεχώς όλο το χρόνο σε σύντομα μαθήματα (10-15 λεπτά)
• Περιλαμβάνει κάθε μέλος του προσωπικού, συμπεριλαμβανομένων στελεχών, μερικής απασχόλησης και εργολάβων
• Δυνατότητα δημιουργίας αποτελεσμάτων που μπορούν να χρησιμοποιηθούν για την προσαρμογή των προγραμμάτων ώστε να ταιριάζουν στις ατομικές ανάγκες
• Προσαρμοσμένο για να ταιριάζει σε διαφορετικούς ρόλους

Μόλις αποφασιστούν όλα αυτά, είναι σημαντικό να βρείτε τον κατάλληλο πάροχο εκπαίδευσης. Τα καλά νέα είναι ότι υπάρχουν πολλές επιλογές στο διαδίκτυο σε διάφορα σημεία τιμών, συμπεριλαμβανομένων δωρεάν εργαλείων. Δεδομένου του σημερινού τοπίου απειλών, η αδράνεια δεν αποτελεί επιλογή.