گروه فناوری _ طبق گزارش جدید آزمایشگاه کسپرسکی و B2B International، "عوامل انسانی در امنیت فناوری اطلاعات: چگونه کارکنان سازمان را از داخل آسیبپذیر میکنند"، کارکنان وقایع امنیتی فناوری اطلاعات را در 53% تجارتهای امارات متحده عربی پنهان میکنند.
به گزارش بولتن نیوز ، کارکنان حوادثی که درگیر آن بودهاند و ممکن است منجر به پیامدهای چشمگیر و افزایش آسیب کلی شود را، پنهان میکنند. یک رویداد گزارش نشده میتواند یک نقص بسیار بزرگتر را نشان دهد و تیمهای امنیتی باید بتوانند به سرعت تهدیدات را شناسایی کنند تا بتوانند تاکتیک،های مناسب برای کاهش اثرات آن را پیدا کنند.
با این حال، کارکنان ترجیح میدهند سازمانها را در معرض خطر قرار دهند تا اینکه یک مشکل را گزارش کنند، زیرا آنها از مجازات میترسند یا خجالت میکشند که مسئولیت چیزی که اشتباه است را بپذیرند.
بعضی از شرکتها قوانین سختگیرانه را اعمال کرده و مسئولیتهای اضافی را بر کارکنان تحمیل میکنند، به جای آن که آنها را تشویق کنند که فقط مراقب باشند و همکاری کنند. این بدان معنی است که حفاظت از سایبر نه تنها در قلمرو فنآوری، بلکه در فرهنگ و آموزش سازمان نیز قرار دارد. این جایی است که مدیریت ارشد و بخش منابع انسانی باید درگیر شوند.
Slava Borilin، مدیر برنامههای آموزش امنیت در آزمایشگاه کسپرسکی، میگوید: "مشکل پنهان کردن حوادث نه تنها به کارمندان، بلکه به مدیران ارشد و بخشهای منابع انسانی ارتباط دارد. اگر کارکنان حوادث را پنهان میکنند، باید دلیلی برای اینکار وجود داشته باشد. در بعضی موارد، شرکتها خطرات بسیار دقیق، اما نامشخصی را بیان میکنند و فشار زیادی را روی کارکنان میگذارند و هشدار میدهند که این کار و آن کار را انجام ندهند، اگر نه مسئولیت چیزی که اشتباه پیش برود بر عهده آنها خواهد بود. چنین سیاستهایی باعث ترس و اضطراب میشود و کارکنان را تنها با یک گزینه ترک میکند - برای اجتناب از مجازات هرکاری که لازم است انجام دهند. اگر فرهنگ امنیتسایبری شما مثبت باشد، یعنی براساس یک رویکرد آموزشی باشد، نه یک رویکرد محدود کننده، از بالا به پایین، نتایج واضح خواهد بود."
بوریلین همچنین یک مدل امنیت صنعتی را که در آن گزارشگری و رویکرد 'یادگیری از اشتباه' در مرکز تجارت است، یادآوری میکند. به عنوان مثال، الون ماسکِ تسلا در بیانیه اخیر خود خواست هر گونه حادثهای که به ایمنی کارگران مربوط میشود را مستقیما به او گزارش کنند، به این صورت او میتواند نقش مهمی را در تغییر بازی کند.
ضعیفترین لینک
با توجه به اینکه سالانه 46 درصد از حوادث امنیتی فناوری اطلاعات در سطح جهانی ناشی از اشتباه کارکنان است، این آسیبپذیری تجاری باید در سطوح مختلف، نه فقط از طریق اداره امنیت IT، مورد توجه قرار گیرد.
اول کارکنان بیاطلاع و بیدقت یکی از علل احتمال وقوع یک حادثه سایبری هستند - دوم یک بدافزار. در حالی که نرم افزارهای مخرب بیشتر و پیچیدهتر شدهاند، واقعیت غمانگیز این است که عامل دائمی انسان میتواند خطر بیشتری ایجاد کند.
به طور خاص، بیدقتی کارکنان در هنگام حملات هدفمند، یکی از بزرگترین آسیبهای امنیتی شرکتهای امنیت سایبری است. در حالی که هکرهای پیشرفته ممکن است همیشه از تروجانهای سفارشی و تکنیکهای پیشرفته برای برنامه ریزی استفاده کنند، احتمالا از ساده ترین نقطه ورود یعنی طبیعت انسانی برای شروع استفاده میکنند.
براساس این تحقیق، 26 درصد از حملات هدفمند به کسب و کارهای امارات متحده عربی در سال گذشته بخاطر مهندسی فیشینگ / مهندسی اجتماعی بوده است. برای مثال، یک حسابرس بیدقت میتواند یک فایل مخرب را به عنوان صورتحساب یکی از پیمانکاران متعدد شرکت باز کند. این می تواند زیرساخت کل سازمان را خنثی کند، و حسابدار را به یک همدست ناخواسته برای مهاجمان تبدیل کند.
دیوید جکوبی، محقق امنیتی در آزمایشگاه کسپرسکی می گوید: "مجرمان سایبری اغلب از کارمندان برای ورود به زیرساختهای شرکت استفاده میکنند. ایمیلهای فیشینگ، رمزهای عبور ضعیف، تماسهای جعلی از پشتیبانی فنی - ما همه اینها را دیدهایم. حتی یک فلش کارت معمولی که در پارکینگ اداره یا در نزدیکی میز کار دبیرخانه قرار دارد، میتواند کل شبکه را به خطر بیندازد - تمام چیزی که شما نیاز دارید، شخصی است که در مورد آن نداند و یا به امنیت توجه نکند و این دستگاه میتواند به راحتی به اینترنت وصل شود و خرابی به بار بیاورد."
حملههای هدفمند پیشرفته به سازمانها هر روز اتفاق نمیافتد - اما نرمافزارهای مخربِ معمولی به صورت گروهی ضربه میزنند. متاسفانه، تحقیق همچنین نشان میدهد که در مواردی که نرمافزارهای مخرب مورد استفاده قرار میگیرند، کارکنان بیاطلاع و بیدقت نیز اغلب درگیر آن میشوند، که باعث ایجاد عفونتهای مخرب در 55% حوادث امارات متحده عربی میشود.
عامل انسانی: اقلیم شرکتها و فراتر از آن
سازمانهای سراسر جهان در حال حاضر از این مشکل که کارکنانشان تجارت آنها را آسیبپذیر میکنند، آگاه هستند : 57 درصد از شرکتهای مورد بررسی در امارات متحده عربی اعتراف میکنند که کارکنان بزرگترین ضعف در امنیت فناوری اطلاعات آنها هستند. نیاز به پیادهسازی اقدامات متمرکز بر پرسنل بیشتر و بیشتر درحال آشکار شدن است: 39% تجارتهای امارات متحده عربی به دنبال بهبود امنیت خود از طریق ارائه آموزش به کارکنانشان هستند، و این راه دومین روش محبوب در دفاع سایبری است.
بهترین راه محافظت از سازمانها در برابر تهدیدات اینترنتی مربوط به خطاهای انسانی این است که ابزار مناسب را با روشهای مناسب ترکیب کنید. این باید شامل تلاشهای مدیریتی و بخش منابع انسانی برای ایجاد انگیزه و تشویق کارکنان به مراقب و کمک حال بودن در هنگام حادثه، باشد. آموزشهای آگاهی امنیتی برای کارکنان، ارائه دستورالعملهای روشن به جای اسناد چند صفحهای، ایجاد مهارتهای قوی و انگیزه، و پرورش فضای مناسب کار، اولین مراحلی هستند که سازمانها باید انجام دهند.
از لحاظ فن آوریهای امنیتی، بیشتر تهدیدات – ازجمله فیشینگ - که قصدشان هدف قرار دادن کارکنان بی اطلاع یا بیدقت است، میتواند با راهحلهای امنیتی پایدار حل شود. این میتواند نیازهای ویژه بلوک پیام سرور (SMB) و شرکتهای سازمانی را از لحاظ قابلیت، حفاظتِ از قبل پیکربندی شده و یا تنظیمات امنیتی پیشرفته برای کاهش خطرات، پوشش دهد.
منبع: http://www.itp.net
http://www.itp.net/mobile/613803-it-security-in-the-dark-as-employees-hide-incidents
گروه ترجمه بولتن نیوز
شما می توانید مطالب و تصاویر خود را به آدرس زیر ارسال فرمایید.
bultannews@gmail.com