Cu toții facem greșeli. La urma urmei, suntem doar oameni. Din păcate, atunci când vine vorba de securitatea cibernetică, aceasta este și un fel de problemă. Factorii umani din securitatea cibernetică sunt poate cea mai mare provocare atunci când construim o strategie eficientă de prevenire a amenințărilor.
Eroarea umană este principala cauză a încălcărilor datelor și securității , responsabilă pentru 52% dintre astfel de incidente. O persoană, ademenită de spear phishing, a fost cea care a deschis porțile atacului Comitetului Național Democrat de anul trecut, precum și atacurilor majore împotriva Snapchat și a industriei de îngrijire a sănătății – pentru a numi câteva exemple ale acestui factor uman.
Amenințările create din punct de vedere social ocolesc multe sisteme de securitate cibernetică exploatând erorile umane. Ei folosesc manipularea psihologică pentru a împinge utilizatorii să efectueze o acțiune sau să furnizeze informații. În cazul atacurilor prin e-mail, cum ar fi phishingul, aceasta implică adesea clic pe un link încorporat, descărcarea de programe malware precum ransomware sau oferirea de parole și autorizare financiară.
Un exemplu din ce în ce mai des întâlnit este Business E-mail Compromise (BEC), când un hacker vizează directorii corporativi cu comunicații care folosesc o copie și un design vicleni pentru a părea ca și cum ar fi dintr-o sursă de încredere. Atacatorul cere apoi un transfer bancar de bani. Potrivit FBI, aceste atacuri au costat organizații mai mult de 2,3 miliarde de dolari din 2013, cu o creștere de 270% doar din ianuarie 2015.
„Cel mai slab lanț din securitatea cibernetică este ființa umană in contextul de inginerie socială . Este cel mai de jos fruct agățat. Majoritatea atacurilor pe care le vedem pe teren chiar acum vizează persoane neinformate”, spune Yves Lacombe , director de asistență tehnică la Vircom.
El continuă: „Soluția simplă este că dacă cineva îți trimite prin e-mail ceva care pare legitim, tot abordezi asta cu o îndoială rezonabilă. Dacă cineva vă cere să faceți ceva care are un impact monetar, obțineți întotdeauna o confirmare verbală.”
Pentru Lacombe, acest lucru necesită autentificare cu doi factori IRL. Asta înseamnă să instruiți utilizatorii să ridice telefonul și să întrebe persoana care le-a trimis prin e-mail dacă într-adevăr a cerut banii. „Trebuie să cultivi un scepticism sănătos cu privire la orice tranzacție legată de e-mail. Oamenii sunt prea de încredere”, spune el.
„Persoana din serviciul clienți ar fi putut dejuca acest atac spunând că ar acționa doar dacă ar fi putut-o suna înapoi la numărul ei de acasă în prealabil. Alternativ, ar trebui să implementați și o parolă convenită în prealabil, care ar fi aproape imposibil de ghicit sau Google, deci nu numele de fată al mamei tale . Totul se întoarce la autentificarea cu doi factori”, spune Lacombe. „Mai bine, autorizați doar personalul serviciului pentru clienți să vorbească cu titularul contului și nu cu soțul!”
Iată câteva sfaturi pentru prevenirea erorilor umane în securitatea cibernetică (sau cel puțin încercarea de a face acest lucru).
Luați utilizatorii phishing!
Cu excepția cazului în care lucrați cu o grupă deosebit de expertă în tehnologie, mulți dintre utilizatorii dvs. finali s-ar putea să nu știe nici măcar ce este „phishing”. Oferă-le cursuri de bază de conștientizare a securității cibernetice, astfel încât să poată nu numai să identifice amenințările, dar să aprecieze munca pe care o faci și gravitatea situației. Dacă doriți un mod plin de umor de a face acest lucru, consultați postarea noastră „ Protecția avansată a metaforelor: securitate cibernetică vs. semantică cibernetică ”.
Emitetorul este și destinatar?
Directorul operațiunilor de securitate e-mail al Vircom Marc Chouinard , subliniază că e-mailurile hackerilor și atacurile de tip phishing vor veni adesea de la o adresă a expeditorului care este diferită de adresa de răspuns. El spune: „În noul nostru produs, verificăm „FROM” și „REPLY-TO” pentru a vedea dacă sunt valori diferite. În continuare ar trebui să vă instruiți utilizatorii că, dacă primesc o factură prin e-mail de la cineva, dar răspunsul merge în altă parte (adică un e-mail personal sau Gmail), probabil că este vorba de phishing.”
Hack-te... Etic.
Hackerii etici încearcă să încalce sistemele de securitate ale companiei dvs. fără intenții rău intenționate. În schimb, o folosesc ca experiență educațională pentru a evidenția zonele slabe. Adesea, aceasta înseamnă utilizarea atacurilor concepute social împotriva utilizatorilor pentru a vedea cum răspund. Cel mai recent, Airbnb și Spotify le-au cerut hackerilor etici să-și testeze sistemele .
Parole, parole, parole...
Prea des, utilizatorii își fac parolele nu numai simple, ci și similare în toate conturile profesionale, personale și de rețele sociale. Dacă cineva este spart, întregul castel de cărți se prăbușește. Antrenați-vă utilizatorii să creeze parole puternice, memorabile și unice cu acești 3 pași simpli pentru a crea o parolă puternică . Pentru a face un pas mai departe, managerii de parole ale companiei vă pot ajuta, de asemenea, să vă asigurați că utilizatorii dvs. respectă politica dvs. de securitate cibernetică. Pentru sfaturi și sugestii, consultați articolul nostru de blog „ 3 Top manageri de parole și de ce trebuie să utilizați cel puțin unul ”.
Gândește-te înainte de a da clik!
Utilizatorii ar trebui să știe să verifice întotdeauna cu expeditorul înainte de a face clic pe un link suspect. Chiar dacă pare să provină dintr-o sursă legitimă, de încredere, este nevoie doar de o atingere pentru a infecta un sistem cu malware. Cel puțin, utilizatorii ar trebui să treacă cu mouse-ul peste un link pentru a vedea destinația și să fie paranoici față de orice cu un domeniu care nu se potrivește cu presupusul expeditor.
Creați un plan de securitate cibernetică accesibil.
Faceți un plan ușor accesibil atât fizic, cât și mental. Utilizatorii ar trebui să îl poată vedea în mod regulat sau să îl poată ridica rapid atunci când nu sunt siguri de ce să facă. De asemenea, ar trebui să poată digera informațiile. Deoarece majoritatea dintre ei probabil nu sunt experți IT, încercați să împachetați cunoștințele în bucăți „de dimensiunea unui octet”.
Nu fi blând cu software-ul.
În cele din urmă, ar trebui să lucrați cu un furnizor de top de securitate cibernetică care vă poate oferi cea mai bună apărare de primă linie pentru a preveni ca multe amenințări să ajungă chiar și la utilizatorii finali. De asemenea, ar trebui să vă poată ajuta cu criptarea și autentificarea în siguranță a datelor dvs., precum și să treceți la soluții bazate pe cloud.
Sursa: VirCom
