اطلاعات شرکت شما در معرض خطر است. ممکن است کارمندان خودتان در معرض تهدید بعدی یک هکر بسیار ماهر یا مجرم قرار گیرند. آنها چطور تجهیز شدهاند؟ شما برای آگاهی رسانی امنیتی چه اقدامی انجام دادهاید؟ چندین سال است که اکثر حملات دیجیتالی از طریق تلاشهای فیشینگ و تلاشهای مرتبط با آن، سعی در سوء استفاده از عامل انسانی دارند. مطابق گزارشها 42٪ از مهاجمان برای نفوذ از فیشینگ استفاده میکنند. همین مسئله اهمیت آگاه سازی و آموزش به کارمندان را روشن میکند.
هکرها قبل از هک کردن، به دنبال فریب کاربران هستند تا راهی برای دسترسی به یک منبع دیجیتالی به آنها بدهند. به عبارت سادهتر: انسانها ضعیفترین پیوند در دیوارههای دفاعی امنیت سایبری هر سازمان هستند. به همین دلیل است که مردم، معمولاً اولین هدف مهاجمان سایبریای که از تاکتیکها و ابزارهایی مانند باجافزار، فیشینگ هدفدار، بدافزار و مهندسی اجتماعی استفاده میکنند، هستند. برای رخنه به یک شرکت تجاری، سوء استفاده از هزاران انسان از پیدا کردن یک آسیبپذیری نرمافزاری راحتتر است. همچنین سازش کردن با انسانها راحتتر است، به ویژه اگر فاقد آموزش مناسب در اصول اولیه شیوههای امنیت شبکه باشند.
چرا آموزش آگاهی رسانی امنیتی برای هر سازمانی مهم است؟
با وجود اختراع روباتهایی که قادر به باز کردن درها و پرش به پشت بامها هستند، سازمانها از انسانها به عنوان منبع اصلی خود برای تجارت و تعامل با مشتریان استفاده میکنند. انسانها همیشه در پشت هر کار خودکار و در انتهای دیگر هر تماس تلفنی، ایمیل و جلسه قرار دارند. و مردم نمایانگر “عامل انسانی” در هدفهای مورد نظر مهاجمان سایبری هستند. تنها راه دفاع در برابر چنین حملاتی، آموزش یا به تعبیری “آموزش آگاهیرسانی امنیتی” است.
آموزش آگاهی رسانی امنیتی به دلیل تغییر سریع محیط و همچنین لیست طولانی آسیبپذیریها، نمیتواند یک رویکرد یکمرحلهای یا یک برنامه “تنظیم کن و فراموش کن” باشد. در عوض، برای اطمینان از امنیت شبکه در هر سازمان، آموزش امنیت شبکه باید مکرر، به روز شده و دائما آزمایششده باشد.
آموزش آگاهی رسانی امنیتی چیست؟
آموزش آگاهیرسانی امنیتی با تصدیق سازمان مبنی بر اینکه کارمندان آنها ضعیفترین پیوند امنیت سایبری هستند، آغاز میشود. از طرفی دیگر، آنها اولین خط دفاعی در برابر حملات سایبری هستند. آموزش آگاهیرسانی امنیتی این درک بنیادی را که تهدیدهای سایبری قریبالوقوع هستند و به طور مداوم وجود دارند، به همه کارمندان میدهد و آنها را برای حملات سایبری و تهدیدهای رایج آماده میکند.
آموزش آگاهی رسانی امنیتی به طور کلی شامل آموزشهای مکرر و آزمایشهای مداوم و گاها تصادفی است. شایعترین تهدیدات امنیتی فناوری اطلاعات و به روزترین آموزش امنیت شبکه شامل موارد زیر است:
· هرزنامه (اسپم)
امروزه اسپم محدود به ایمیل مستقیم نیست و یکی از روشهای اصلی این حمله از طریق رسانههای اجتماعی است. به عنوان مثال وقتی کسی شما را به LinkedIn دعوت میکند، ممکن است آن دعوتنامه به ایمیل شما برسد، اما اثربخشی آن به طور مستقیم به اعتماد شما به سایتهای رسانههای اجتماعی مختلف مرتبط است. مجرمان سایبری حتی میتوانند بدافزارهای سرقت رمز عبور را در یک دعوت ساده LinkedIn جاسازی کنند.
· فیشینگ
فیشینگ یک روش رایج است که از طریق آن هکرها طیف گستردهای از کاربران را با ایمیلهایی که حقیقی به نظر میرسند مورد هدف قرار میدهند، اما در واقع آنها قصد دارند تا کاربر آموزشندیده را به سمت کلیک بر روی لینکهای خطرناک سوق دهند. احتمالاً فاش شدن نامهای کاربری، رمزهای عبور، اطلاعات شناسایی شخصی و حتی اطلاعات مالی را در پی دارد. فیشینگ به مانند پرتاب یک شبکه گسترده پر از طعمه و کشیدن هر چیزی که از آن است.
· فیشینگ هدفدار
در حالی که طرحهای فیشینگ شبکه گستردهای را در برمیگیرد، فیشینگ هدفدار از یک رویکرد بسیار هدفمند برای حمله به افراد خاص استفاده میکند. بدنامترین حمله فیشینگ هدفدار در تاریخ اخیر روی جان پودستا، رئیس ستاد انتخاباتی آن زمان هیلاری کلینتون صورت گرفته شد. حملات فیشینگ هدفدار افراد بلند مرتبه را با دسترسی به داراییهای دیجتالی ارزشمند آنها مورد هدف قرار میدهد. این ایمیل معمولاً به صورت دستی ساخته میشود و از تمام اطلاعات موجود برای اینکه ایمیل دقیقاً شبیه به یک ایمیل واقعی از طرف دوست یا همکار باشد، استفاده میکند.
· بدافزار
کوتاهشده “نرم افزارهای مخرب” است، به هر نوع نرمافزاری که برای آسیب رساندن به دستگاهها طراحیشده است، مانند ویروسها، روتکیتها، جاسوسافزارها، کرمها و اسبهای تروا، بدافزار میگویند. بدافزار پیشرفته دارای هدف و مأموریتی خاص است که به طور معمول در سازمان یا شرکت انجام میشود. در سال 2017، بدافزار معروف به WannaCry در سراسر جهان گسترش یافت و صدها سازمان را فلج کرد.
· باجافزار
همانند بدافزار، مهاجمان از باج افزار برای اخاذی پول (یا احتمالاً منابع دیگر) از سازمان مورد هدف استفاده میکنند. در ژوئن سال 2017، باجافزار NotPetya، یک نرم افزار حسابداری رایج در اوکراین را آلوده کرد. این باجافزار فایلها را در درایوی رمزگذاری میکند، 300 دلار به صورت بیتکوین درخواست میکند، برای سرقت اطلاعات کاربری در حافظه تلاش میکند و تلاش میکند تا با استفاده از اعتبارنامههای سرقتشده، در شبکه پخش شود.
· مهندسی اجتماعی
این روش سادهتر از آن چیزی است که به نظر میرسد. اگر فیلم Catch Me If You Can را دیدهاید، شاهد نمونه بسیار مؤثری از مهندسی اجتماعی بودهاید Tripwire .شایعترین انواع حملات مهندسی اجتماعی را در سال 2015 مورد ارزیابی قرار داد، در هسته اصلی آن، مهندسی اجتماعی هنگامی اتفاق میافتد که شخصی، شخص دیگری را برای دسترسی به یک منبع فریب دهد. مهندسان اجتماعی از ابزارها و منابع متنوعی برای دستیابی به منابع مورد هدف استفاده میکنند.
بهترین روشهای آموزش آگاهی رسانی امنیتی
دو مقالهی زیر مهمترین شیوههای آموزش آگاهیرسانی امنیتی در شرکتهای آمریکایی را بیان میکنند.
- امنیت Wombat – آموزش آگاهیرسانی امنیتی: بهترین روشهایی که باید در نظر گرفت.
- موسسه Infosec – مؤلفههای یک برنامه آگاهیرسانی امنیتی موفق.
دو مقاله تا حدی با هم همپوشانی دارند. با این حال، هر یک استراتژی منحصر به فردی را برای ایجاد فرهنگ امنیت در سازمان ارائه میدهند. بهترین شیوههای امنیت سایبری شامل موارد زیر میشوند:
- رعایت کلیه قوانین و مقررات
- موافقت و مشارکت کل سازمان در این عمل – همه یا هیچ چیز
- ایجاد یک مبنای مورد نیاز برای ارزیابی
- ایجاد یک سیستم ارتباطی بسیار واضح در مورد برنامه
- ایجاد آموزشی خیرهکننده و حداقل کمی سرگرم کننده
- اجرا کردن، بررسی کردن و تکرار کردن
- ایجاد فرهنگ تقویت و انگیزه برای هوشیاری و یادگیری مداوم
این هفت نکته ممکن است به عنوان بخشی از الگو یا نقطه شروع برای توسعه برنامه آموزش آگاهیرسانی امنیتی سازمان شما استفاده شود. نیازهای فردی هر سازمانی منحصر به فرد است. با این حال، معمولاً اهداف برنامههای آموزش آگاهی امنیتی کاملاً مشابه هستند.
اهداف آموزش آگاهی رسانی امنیتی
دلایل توسعه برنامه آگاهیرسانی امنیتی برای کارمندان، به بهترین وجه درک میشوند: امنیت. اگر سازمان شما دادههای حساسی را نگه میدارد یا به آنها دسترسی دارد، به این معنی است که امنیت آن دادهها مهمترین عامل در موفقیت و آینده سازمان شما است و از آنجا که انسانها متداولترین هدف هکرها هستند، آموزش درست برای شناسایی تهدیدات وارده شده به سازمان برای کارمندان ضروری است. این دلیلی برای ایجاد، رشد و حفظ یک برنامه آموزش آگاهیرسانی امنیتی مستحکم برای کارمندان شما است.
اهداف برای تأیید و تقویت دلیلی، برای ایجاد برنامه مفید خواهند بود. در این مرحله است که اهداف شما برای برنامه سازمانیتان منحصر به سازمان خودتان خواهد شد. هدف نهایی باید از ۱۰۰٪ تهدیداتی که برای دادههای الکترونیکی سازمان و شبکه رایانهای شما وجود دارد، آگاه باشد.
در ابتدا، اهداف باید ساده باشند: ایجاد، تحویل و ارزیابی. با گذشت زمان، اهداف سه ماهه و سالانه این برنامه به طور فزایندهای با فراوانی و شدت حوادثی که در سازمان رخ میدهد، گره خواهند خورد. هکرهای سایبری مرتباً به دنبال روشهای جدیدی برای سوء استفاده از نقاط ضعف هر سازمان هستند و برنامه آگاهیرسانی امنیتی شما اغلب نسبت به آخرین سوء استفاده در صنعت یا فضای بازار شما واکنش نشان خواهد داد.
چگونه یک برنامه آموزشی آگاهی رسانی امنیتی را آغاز کنیم؟
مراحل زیر می توانند به عنوان یک نقشه راه کلی برای شروع برنامه آموزش آگاهی امنیتی مخصوص سازمان شما بکار گرفته شوند.
- الزامات امنیتی سازمان خود را همانطور که در مورد کارمندان اعمال می شود، مشخص کنید.
- بهترین روش برای ارائه آموزش را تعیین کنید، به عنوان مثال، به صورت حضوری، ویدئویی، آنلاین و …
- برای محیط آموزشی مورد نظر محتوای مناسب ایجاد کنید. این مطالب، برنامه آموزشیای است که توسط یک متخصص امنیتی معتبر در داخل سازمان تحویل داده میشود. این مطالب میتوانند از پوسترهای آموزشی آگاهیرسانی امنیتی رایگان، نرم افزار تست ایمیل فیشینگ که به آموزش و ارزیابی کارمندان میپردازد گرفته تا ارائههای آموزشی و آزمایش در محل، متفاوت باشند.
- برای کلیه کارمندان با توجه به شرایط، زمانبندی، تحویل، روش و نتایج مورد انتظار یک سری انتظارات تعیین کنید.
- جلسههای آموزشی چندگانه را با توجه به در دسترس بودن معمول کارکنان سازمان برنامهریزی کنید، با این درک که هر کارمند اولویتهای روزانه مختلفی دارد و اینکه شرایط اضطراری در زندگی افراد اتفاق میافتد.
- آموزش را مطابق با انتظارات تعیین شده از قبل و هنگام برنامهریزی بیان کنید.
- تا جایی که ممکن است در مورد خود آموزش از کارمندان بازخورد بگیرید.
- برای تعیین میزان اثربخشی این آموزش، از همه کارکنان، ارزیابیهای بعد از آموزش صورت گیرد.
- برای اثربخشی، آموزش و محیط آموزشی را مجدداْ ارزیابی کنید و متناسب با آن سازگار شوید. آموزش امنیتی یک رویکرد “تنظیم کن و فراموش کن” نیست. هم برنامه آموزشی و هم کارکنان باید مرتباْ و به طور منظم به روز شوند.
- برای تعیین تأثیر کاربردی روی سلامت امنیتی سازمان، اجرای آموزش را با فراوانی حوادث امنیتی قرین کنید و بین آنها همبستگی ایجاد کنید.
برای کارکنان مهم است که برای چنین الزام و نیازی تجربه مثبت داشته باشند. در غیر این صورت، آموزش به جای یک وسیله حیاتی برای محافظت از برند و سلامت سازمان، یک شر ضروری تلقی خواهد شد.
اثربخشی و ROI آموزش آگاهی رسانی امنیتی
وانمود کنید که کلیه پروتکلهای امنیتی دادههای سازمان برای عموم آزاد است زیرا افرادی که دسترسی مستقیم به دادهها دارند، به درستی در زمینه امنیت دادهها آموزش ندیدهاند. اگر کارمندان شما ندانند که چگونه خطرات امنیتی را ارزیابی کرده و تلههای بالقوه خطرناک را تعیین کنند، شرکت شما ممکن است با یک مشکل جدی مواجه شود.
به همین دلیل پیشبینی یا تولید یک ROI قابل اطمینان در چنین آموزشی بسیار دشوار است. این اشتباه است که فرض کنیم فقط به خاطر اینکه آموزش وجود دارد سازمان به خطر نمیافتد و نخواهد افتاد، مگر اینکه سازمان دادههای واقعی برای پشتیبانی کردن از چنین ادعایی داشته باشد. وقتی که آموزش آگاهیرسانی امنیتی اجرا و ارزیابی شود، با گذشت زمان، میتوان بین آموزش موثر و کاهش حوادث مرتبط با امنیت ارتباط برقرار کرد.
ایوان دیموف از موسسهی Infosec این آمار را در مورد تاثیر آموزش آگاهیرسانی امنیتی از منابع مختلف جمعآوری کرده است:
50%از کاربران اینترنت روزانه حداقل یک ایمیل فیشینگ دریافت میکنند، 97٪ از مردم نمیتوانند ایمیل فیشینگ را شناسایی کنند، و در واقع 4٪ از مردم روی آنها کلیک میکنند.
42٪ از پاسخدهندگان به بررسی جرائم سایبری در ایالات متحده اظهار داشتند که آموزش آگاهی رسانی امنیتی کارمندان جدید به جلوگیری از حملات کمک کرده است.
در همین گزارش نشان داده شد که شرکتهایی که آموزش آگاهی رسانی امنیتی برای کارکنان ندارند، 322٪ بیشتر از سایرین ضرر مالی داشتند.
بر خلافROI، اثربخشی آموزش آگاهی رسانی امنیتی میتواند به روش مستقیم رو به جلو پیشبینی شود. از نرمافزار آموزش آگاهیرسانی امنیتی که آزمایشاتی مانند Wombat را ارائه میدهد، استفاده کنید. یک جلسه آموزشی 15 دقیقهای ماهانه میتواند ایمیلهای فیشینگ شبیهسازی شدهای که در طول ماه رخ میدهند را پیگیری کند. نرم افزار تست فیشینگ باید گزارشهای عملکردی ارائه دهد تا شما بتوانید با پیشرفت آموزش، پیشرفتهای مربوط به رفتار کارکنان را اندازهگیری کنید.