نحوه آموزش آگاهی امنیتی به کارکنان
آموزش آگاهی امنیت سایبری
آموزش آگاهی امنیت سایبری، برای کمک به ایمن کردن “فایروال انسانی” سازمان تان (یعنی کارمندان) لازم و ضروری می باشد. توانایی کارمندان شما در تشخیص تهدیدات سایبری تا حد زیادی به دانش آنها در مورد روش ها و تکیک های رایج حمله سایبری بستگی دارد.
بر اساس گزارش در سال 2022 متاسفانه تنها 25 درصد سازمانها سالانه دو ساعت یا بیشتر را به آموزش رسمی اختصاص میدهند. کارمندان توسط کارفرمایان بخاطر حملات واقعی و شبیه سازی شده «تنبیه» و «مجازات» می شوند، حتی اگر آنها هیچ آموزشی ندیده باشند.
در اینجا به بررسی 19 نتیجه مهم در مورد آگاهی امنیتی که باید قبل از دستورالعمل رویداد بعدی آموزش آگاهی سایبری خود بدانید، می پردازیم:
هنگامی که نوبت به ایمن سازی دفاع سایبری سازمان شما می رسد، اقداماتی وجود دارد که می توانید برای تحقق این امر انجام دهید. این فرایند شامل تقویت دفاع فنی تان با اجرای بهترین شیوههای امنیتی سرور ایمیل و انجام ارزیابیهای منظم ریسک امنیت سایبری می باشد.
1. 82 درصد از نقضهای اطلاعاتی ناشی از ضعفهای امنیتی مرتبط با «عنصر انسانی» می باشد.
اولین نتیجه ی آگاهی امنیتی ما، داده های Verizon می باشند. نتایج تحقیقات نقض اطلاعات در سال 2022 (DBIR) نشان میدهد که از هر 10 نقض اطلاعاتی، هشت مورد شامل آسیبپذیریهای مربوط به انسان می باشد.
به عنوان مثال، این روند شامل کارمندانی می شود که در معرض حملات فیشینگ، سایر تاکتیکهای مهندسی اجتماعی قرار می گیرند، و یا افراد بدی که از اطلاعات حساب کاربری سرقت شده ی کارمندان استفاده میکنند.
چگونه می توانید این آسیب پذیری ها را کاهش دهید؟
یکی از مؤثرترین روش ها این است که کارکنان خود را با دانش مورد نیاز مسلح کنید تا تهدیدات بالقوه را بشناسند و بدانند که چگونه با خیال راحت به آنها پاسخ دهند. از جمله اینکه:
- ارائه نمونه های واقعی در مورد ایمیل های کلاهبرداری فیشینگ، پیام های متنی و نمونه های دیگر از تاکتیک های مهندسی اجتماعی.
- آموزش کارکنان در مورد آنچه که باید هنگام دریافت یا باز کردن پیام های مشکوک انجام دهند.
- به آنها اطلاع دهید که به چه کسانی باید مسائل و نگرانی های مربوط به امنیت را در سازمان تان گزارش دهند.
- کمک به آنها در شناخت فرآیندهای مربوط به گزارش دهی این مسائل.
2. 13 درصد اهداف جرایم سایبری باج افزار در دسته ی مشتری/خرده فروشی قرار می گیرند.
دادههای گزارش دفاع دیجیتال در اکتبر 2021 مایکروسافت نشان میدهد که مشاغل خردهفروش و مشتریان هدف اصلی جرایم سایبری مرتبط با باجافزار هستند. تیم تشخیص و پاسخ آنها (DART) نشان می دهد که دو بخش دیگری که مورد هدف هستند، شامل تولید/کشاورزی و بیمه/مالی می شوند که با 12% برابری می کنند.
3. 69 درصد از شرکت ها سرمایه گذاری خود را در بخش بودجه بندی امنیت سایبری شان افزایش می دهند.
به نظر می رسد که شرکت های زیادی شروع به سرمایه گذاری در بخش امنیت سایبری کرده اند. تقریباً 70٪ از سازمان ها تصمیم گرفته اند که بودجه امنیت سایبری خود را در سال 2022 افزایش دهند و تقریباً یک چهارم از آنها، این بودجه حداقل تا 11٪ افزایش خواهند داد.
4. 36 درصد از سازمان ها پیاده سازی آگاهی امنیت سایبری در مقیاس واقعی و آموزش متقابل SecOps را گزارش کرده اند.
بر اساس اطلاعات در دسترس، بیش از یک سوم سازمانها گزارش کرده اند که آموزشهای آگاهی امنیتی و عملیات امنیتی آموزش متقابل را در مقیاس واقعی اجرا کردهاند. 16 درصد از افراد گزارش داده اند که قبلاً مزایایی را بخاطر انجام این کار تجربه کرده اند و 46 درصد دیگر گفته اند که قبلاً اجرای این جلسات آموزشی را شروع کرده اند یا قصد دارند در آینده این جلسات آموزشی را اجرا کنند.
تا جایی که پیادهسازی در مقیاس واقعی پیش رود، آموزش آگاهی امنیتی و عملیات امنیتی متقابل بالاترین رتبه را در بین 3.602 پاسخدهنده در مورد نحوه اولویتبندی این سازمانها بر سرمایهگذاری بودجه امنیت سایبری خواهند داشت.
5. 79 درصد از سازمان ها افزایش حجم ایمیل را گزارش می دهند
Mimecast در سال 2022 گزارش می دهد که تقریبا 80٪ از سازمان ها گفته اند که استفاده از ایمیل در حال افزایش می باشد. در کنار جهش بزرگی که در حجم ایمیل اتفاق افتاده، محققان Mimecast افزایش تهدیدات مبتنی بر ایمیل را در سال گذشته گزارش کردند که 26٪ از آنها در دسته ی تهدیدات “مهم” قرار دارند.
6. APWG گزارش کرده است که حملات فیشینگ وب سایت از اوایل سال 2020 سه برابر شده است.
حملات فیشینگ وب سایت یک مشکل بزرگ می باشد. به گفته ی گروه کاری ضد فیشینگ (APWG) شناسایی وب سایت های فیشینگ در پایان سال 2021 به بالاترین حد خود رسیده است (تنها در دسامبر 2021، این میزان به 316.747 مورد رسیده است).
7. شناخت فیشینگ توسط کارکنان از سال 2021، 15 درصد کاهش پیدا کرده است.
افراد کمی هستند که اصطلاح «فیشینگ» را می شناسند و درک می کنند. فیشینگ اصطلاحی است که هم یک روش حمله و هم دسته ای از روش های حمله در بر می گیرد. گاهی اوقات به جای مهندسی اجتماعی بکار گرفته می شود، مجموعهای از تاکتیکهایی ست که توسط مجرمان سایبری برای رسیدن به اهدافی مانند جمعآوری اطلاعات حساس، اطلاعات ورود به سیستم کارمند یا مشتری مورد استفاده قرار می گیرد.
در برخی موارد، برخی از زیرمجموعههای حملات فیشینگ (به عنوان مثال، کلاهبرداری از مدیر عامل) حتی میتوانند شما را مجبور کنند تا با کمک جعل انتقال وجه الکترونیکی فوری به حسابهایی که مهاجمان دارند، انجام دهید.
8. آموزش شبیه سازی سایبری کارکنان را 50 درصد کمتر، مستعد فیشینگ می کند.
آموزش فیشینگ شبیه سازی شده تأثیر زیادی بر توانایی کارکنان جهت مقاومت در برابر حملات فیشینگ دارد. وقتی کارمندان آموزش های شبیه سازی شده این حمله را دریافت می کنند، 50 درصد کمتر در معرض فیشینگ قرار می گیرند.
9. بیش از 10 درصد کارمندان می دانند که باج افزار چیست.
بیش از 10 درصد افراد درباره باجافزار آگاهی دارند. اما آیا آنها می دانند که چگونه این نوع روش حمله را، قبل از اینکه خیلی دیر شود، تشخیص دهند؟
10. 88 درصد از کسب و کارها حمله باج افزار را تجربه کردند
از هر 10 سازمان، 9 سازمان حداقل یک حمله باج افزار را در سال گذشته تجربه کرده اند. مطالعه انجام شده بر روی 201 کسب و کار کوچک و متوسط نشان می دهد که 44 درصد از اطلاعات نقض شده به خاطر حملات غیرقابل بازیابی می باشند. آن سازمانها با هزینههای مستقیم مرتبط جهت متوقف سازی حملات مواجه شدند، بلکه هزینههای بالقوه ناشی از آن را هم متحمل شده اند:
- تلاش برای بازیابی اطلاعات،
- پرداخت جریمه های نظارتی و
- دفاع در برابر دعاوی یا ارائه تسویه حساب.
11. آلمان با تشخیص خطر ناشی از پیوست های ایمیل توسط 85 درصد از کارمندانش، پیشتاز می باشد.
آگاهی امنیت سایبری نیروی کار آلمان از سایر پاسخ دهندگان به نظرسنجی Proofpoint State of the Phish 2022 از کشورهای مختلف در سطح جهانی بهتر است. این نتیجه آگاهی امنیتی را با 42 درصد از کارگران ایالات متحده مقایسه کنید که این تصور غلط را دارند که اگر یک ایمیل حاوی لوگوی آشنا باشد، به این معناست که آنها ایمن هستند.
بر اساس نظرسنجی دیگری از سوی Proofpoint 80٪ از مشاغل از طریق فروشندگان شخص ثالث در معرض نفوذ قرار می گیرند.
12. 15 درصد از سازمان ها رویدادهای امنیت سایبری را به عنوان شایع ترین علت خاموشی در سال 2021 گزارش می کنند.
با این که دلایل بسیاری برای قطع برق وجود دارد، حملات سایبری رایج ترین و تاثیرگذارترین آنها به نظر می رسد. بر اساس تحقیقات «رویداد امنیت سایبری» رایجترین دلیل رخ دادن خاموشیها در سال 2021 می باشد. این دلیل، بخاطر حذف تصادفی، بازنویسی یا خراب کردن دادهها و خاموشی مرتبط با زیرساخت ها و شبکه های عمومی جدی گرفته شد که هر دو با 14 درصد در جایگاه دوم قرار گرفتند.
13. سازمان ها رتبه مدیر عامل، آموزش آگاهی سایبری هیئت مدیره برای مدیران عامل را به عنوان یک عامل برتر جهت بهبود امنیت سایبری در نظر می گیرند.
آموزش رهبران سازمان ها بهترین راه برای کمک به آنها جهت ارائه بهتر اهداف امنیت سایبری در راستای ایجاد جامعه دیجیتالی امن تر تا سال 2030 می باشد.
14. 88 درصد از اعضای هیئت مدیره در سال 2021 تهدیدهای مبتنی بر سایبر را به عنوان یک “ریسک تجاری مهم” تلقی کردند.
بر اساس تحقیقات تقریباً هشت نفر از هر 10 عضو هیئتمدیره، مسائل امنیت سایبری را به عنوان خطرات تجاری در نظر می گیرند. با توجه به اینکه جرایم سایبری در حال افزایش می باشد، این مسئله قطعاً منطقی می باشد. اما آنچه غیر منطقی ست این است که کمتر از یک هشتم هیئتهای مدیره (BoDs) دارای کمیته امنیت سایبری اختصاصی هستند که اعضای هیئت مدیره در آن شرکت یا رهبری میکنند.
15. مهم ترین فاکتور هزینه ساز در رابطه با نقض های اطلاعاتی پیروی از قانون می باشد.
بر اساس گزارش وجود نقص زیاد در پیروی از قانون برای سازمانها 2.3 میلیون دلار بیشتر از سازمانهایی که در پیروی از قانون دارای نقص های کمتری هستند، هزینه دارد. یعنی سازمانهایی که بر پیروی از قانون تاکید می کنند و آن را در اولویت میگذارند، نسبت به همتایان خود که این کار را انجام نمی دهند، احتمالاً هزینه کمتری را جهت مجازاتها، جریمهها یا دعاوی ناشی از نقض دادهها صرف میکنند.
حتی اگر شما فردی هستید که شغلتان مستقیماً به پیروی از قانون مربوط نمی شود، باز هم می توانید تأثیر غیرمستقیمی بر روی پیروی سازمان خود داشته باشید. برای جلوگیری از نقض اطلاعات ارزشمند خود حفظ فایروال انسانی را جدی بگیرید. بنابراین، شما باید حداقل شناخت اولیه ای نسبت به الزامات پیروی و آنچه که مستلزم آن است، داشته باشید. چرا؟ چون پیروی از قانون مهم است و به هر طریقی بر همه مشاغل ما تأثیر می گذارد. بنابراین، کمک به شرکت برای حفظ پیروی وظیفه ی هر کارمندی می باشد.
16. 62 درصد از حملات CloudStrike Security Cloud در سه ماهه چهارم 2021 شامل بدافزار نبوده است.
بر اساس گزارش بیشتر مهاجمان از بدافزار فراتر رفته اند و بر روی حملات بدون بدافزار متمرکز شده اند. این رویکرد، که با عنوان حملات Living Off the Land (LOTL) یا کسب روزی از زمین شناخته میشود، شامل مهاجمانی ست که از اطلاعات کاربری قانونی استفاده میکنند تا از شناسایی شدن توسط آنتیبدافزارهای سنتی و محصولات مرتبط با آنتیویروس جلوگیری کنند.
17. 79.5 درصد از وب سایت ها از HTTPS به عنوان پروتکل پیش فرض استفاده می کنند.
پروتکل انتقال فرامتن ایمن موجب میشود تا نماد قفل کوچک هنگام بازدید از وبسایتهای مورد علاقهتان در مرورگر وب ظاهر شود. این پروتکل به دو طرف اجازه می دهد تا داده های رمزگذاری شده را مبادله کنند. داده های بدست آمده از سوی W3Techs نشان می دهد که نزدیک به 80٪ وب سایت ها به طور خودکار از این پروتکل استفاده می کنند.
در طول رویدادهای آموزش آگاهی سایبری، اهمیت بازدید از وب سایت های امن را به کارکنان خود آموزش دهید. اما اگر واقعاً میخواهید به آنها (و سازمانتان) کمک کنید، اهمیت ارزیابی وبسایتها و جستجوی اطلاعات هویت دیجیتالی سایت را در گواهی SSL/TLS به آنها بیاموزید. اگر نمی توانند هویت سازمانی را که صاحب وب سایت می باشد، تأیید کنند، بهتر است فوراً سایت را ترک کنند و هرگز اطلاعات حساسی ارائه نکنند.
18. 52٪ از کارگران گزارش می دهند که همیشه از یک شبکه خصوصی مجازی هنگام کار از راه دور استفاده می کنند
بیش از نیمی از کارکنان همیشه از یک شبکه خصوصی مجازی (VPN) هنگام کار از راه دور بر روی یک دستگاه شرکتی استفاده میکنند. 14 درصد دیگر می گویند که «گاهی اوقات» این کار را انجام می دهند. یعنی بقیه افراد یا اصلاً از آن استفاده نمی کنند یا اگر هم استفاده می کنند، به ندرت این کار را انجام می دهند.
اما چرا هنگام کار در خارج از دفتر فیزیکی سازمان، استفاده از شبکه خصوصی مجازی (VPN) یک مرحله حیاتی است؟ چون آنها به یک شبکه خارجی متکی هستند که ممکن است امن باشد یا حتی نباشد. همین امر باعث میشود که حسابهای آنها و سیستمها و دادههای سازمان در معرض خطر قرار گیرند.
مثالی در این باره
به عنوان مثال، فرض کنید یکی از کارمندان شما در یک کنفرانس صنعتی در سراسر کشور شرکت می کند. پس از خروج از فرودگاه، آنها قبل از ورود به هتل، وقت آزاد دارند، بنابراین در یک قهوهخانه محلی توقف میکنند. وقتی وایفای دستگاهشان را روشن میکنند، «وایفای رایگان کافه» را میبینند و فکر میکنند «که خیلی خوش شانس هستند!» بنابراین، آنها به آن متصل می شوند و چند ساعت ارزشمند را صرف انجام این کار می کنند.
اما این شبکه قهوه خانه نیست – بلکه یک شبکه دوقلوی شرور می باشد (یعنی یک شبکه بی سیم که توسط مهاجمی کنترل می شود که می تواند ارتباطات شما را رهگیری کند و داده های شما را در حین انتقال سرقت کنند یا تغییر دهد). بنابراین، در حال حاضر، یک مهاجم ناشناس تمام اطلاعات ورود به سیستم کارمند شما را در طول اتصال خود در اختیار می گیرد. و هر حسابی که آنها در حین اتصال به آن شبکه به آن وارد شدهاند و همه سیستمهای آسیب پذیر شما در معرض خطر قرار میگیرد.
19. 70 درصد از افرادی که اطلاعات کاربری شان در معرض نقض قرار گرفته، هنوز هم از همان رمز عبورها استفاده می کنند.
آخرین و مهم ترین مورد لیست نتایج آگاهی امنیتی: استفاده مجدد از رمز عبور. قانون مبتنی بر تجربه یعنی اگر به شما اطلاع داده شود که حساب شما در معرض خطر قرار گرفته است (آدرس ایمیل یا نام کاربری و رمز عبور )، در اسرع وقت اقدام به، آپدیت اطلاعات خود خواهید کرد.
اما بر اساس گزارش تقریباً سه چهارم افراد استفاده مجدد از رمزهایی عبور را انتخاب میکنند که در معرض نقض قرار گرفتهاند. این رفتار درست مثل ایمن سازی خانه با کلیدی است که میدانید (شوهر، همسر، فرد مهم و … سابقتان) هنوز یک کپی از آن را دارد – این ایده، ایده خوبی نیست و شما و اشیای با ارزشتان را در معرض خطر قرار میدهد.
کاربران IT بدترین متخلفین برای دانلود فایل های مخرب بودند.
برخی از صنایع هنگام کلیک کردن بر روی ایمیلهای فیشینگ، دانلود پیوستهای مخرب، متخلفان جدیتری نسبت به سایرین هستند. سه متخلف اصلی در کلیک بر روی ایمیل های فیشینگ عبارتند از آموزش (27.6 درصد)، امور مالی و بیمه (26.6 درصد) و فناوری اطلاعات (25.6 درصد).
در مورد نیاز به آموزش فیشینگ و آگاهی سایبری، هیچ کارمندی را از قلم نندازید. مهم نیست که چه سمتی دارند، هر کارمندی که شبکه یا دستگاه شرکتی شما را لمس می کند باید به طور منظم آموزش ببیند.
نظرات نهایی در مورد اهمیت آگاهی امنیت سایبری
نحوه ی افزایش “آگاه سایبری” و تقویت دفاع انسانی سازمان
- آگاهی سایبری را وارد رسم و رسوم های شرکت خود کنید. به کارمندان خود کمک کنید تا بدون ترس از سرزنش شدن یا تلافی، ایمیلهای مشکوک و حوادث امنیتی احتمالی را گزارش دهند.
- کارکنان را ملزم به تکمیل آموزش آگاهی سایبری کنید. شما نهایتا این آموزش را حداقل بصورت سالانه ارائه دهید. به عنوان بخشی از معارفه و معاشرت سازمانی این آموزش را در اختیار کارمندان جدید هم قرار دهید.
- کارمندان را در مورد امنیت حساب به بهترین شیوه آموزش دهید. به کارمندان کمک کنید اهمیت استفاده از رمزهای عبور منحصر به فرد برای هر حساب را درک کنند. استفاده مجدد از رمز عبور یک رویکرد خطرناک می باشد که حساب آنها و کل سازمان شما را در معرض خطر قرار می دهد.
- نمونه های واقعی از ایمیل های فیشینگ و وب سایت ها را ارائه دهید. بررسی نمونههای واقعی ایمیلهای فیشینگ و وبسایتها میتواند به کارمندان شما کمک کند تا درک بهتری از نحوه تشخیص تهدیدات احتمالی داشته باشند.
- شبیه سازی های فیشینگ را بصورت منظم را انجام دهید. ارسال ایمیلهای فیشینگ جعلی برای کارمندان شما یک راه عالی برای تست آگاهی و دانش سایبری آنها می باشد.
اتصال از راه دور و امضای دیجیتال
- به کارمندان آموزش دهید که از VPN برای اتصال از راه دور (و ایمن) به منابع شبکه استفاده کنند. اتصال به شبکه های ناامن یکی از خطرناک ترین کارهایی است که کارمندان می توانند انجام دهند. اطلاعات حساس توسط افراد بد قابل ردیابی می باشد.
- امضای ایمیل را بخشی از استراتژی امنیتی ایمیل خود قرار دهید. از کارمندان بخواهید ایمیل های خود را به صورت دیجیتالی امضا کنند و به آنها آموزش دهند که چگونه امضای دیجیتال را در ایمیل هایی که از دیگران دریافت می کنند، تأیید کنند. امضاهای دیجیتال رمزنگاری از قدرت زیرساخت کلید عمومی (PKI) برای افزودن هویت قابل تأیید به ایمیل ها و کمک به محافظت از یکپارچگی خود پیام ها استفاده می کنند.
سخن پایانی
آموزش آگاهی امنیت سایبری یکی از مهم ترین فاکتورهایی ست که می تواند در کاهش تهدیدات به افراد و سازمان ها کمک فراوانی کند و باید تمامی سازمان ها دپارتمان هایی جهت آموزش آگاهی سایبری راه اندازی کنند و دوره هایی را برای کارکنان خود برگزار کنند. همچنین سازمان ها می توانند از مشاوران و وکلای سایبری مشاوره های لازم را دریافت کنند و اگر قربانی حملات مذکور شدند، به وکلای سایبری ماهر مراجعه کنند.
وکیل طباطبایی به همراه کارکنان با تجربه و دانش آموخته ی خود در این زمینه آماده است تا ضمن ارائه ی مشاوره های لازم به دفاع از پرونده سازمان شما بپردازد و در کوتاهترین زمان ممکن، مشکل شما را حل و فصل نماید.