Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 13
DIGITAL TV 190
ilka aggelia
30 Ιουνίου 2022 09:42

Ευαισθητοποίηση και εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F06%2Feset 1

Υπάρχει μια παλιά ρήση στην κυβερνοασφάλεια που λέει ότι ο άνθρωπος είναι ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας. Αυτό ισχύει όλο και περισσότερο, καθώς οι φορείς απειλών ανταγωνίζονται μεταξύ τους στο πώς θα εκμεταλλευτούν τους ευκολόπιστους ή απρόσεκτους υπαλλήλους. «Όμως, μπορείτε αυτόν τον αδύναμο κρίκο να τον μετατρέψετε σε μια πρώτη γραμμή άμυνας», λέει ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρείας ψηφιακής ασφάλειας ESET. «Το κλειδί είναι να εφαρμόσετε ένα αποτελεσματικό πρόγραμμα ευαισθητοποίησης και εκπαίδευσης γύρω από την κυβερνοασφάλεια».

Σύμφωνα με σχετική έρευνα, το 82% των παραβιάσεων δεδομένων που μελετήθηκαν το 2021 εμπλέκουν το «ανθρώπινο στοιχείο». Λαμβάνοντας υπόψη το τοπίο των σύγχρονων απειλών στον κυβερνοχώρο, είναι αναμενόμενο ότι οι εργαζόμενοι αποτελούν το νούμερο ένα στόχο για επιθέσεις. «Δώστε τους όμως τις απαραίτητες γνώσεις για να εντοπίζουν τα προειδοποιητικά σημάδια μιας επίθεσης και να κατανοούν το πότε και το πώς μπορεί να θέτουν σε κίνδυνο ευαίσθητα δεδομένα και υπάρχει μια τεράστια πιθανότητα να μειωθεί ο κίνδυνος» παροτρύνει ο ειδικός από την ESET.

Τι είναι η εκπαίδευση για την ευαισθητοποίηση στην κυβερνοασφάλεια;

Ίσως η λέξη «ευαισθητοποίηση» να μην περιγράφει ακριβώς όλα όσα θέλουν να πετύχουν οι υπεύθυνοι ασφαλείας πληροφορικής με τα προγράμματα εκπαίδευσης. Στην πραγματικότητα, ο στόχος τους είναι να αλλάξουν οι συμπεριφορές μέσω της εκπαίδευσης για το πού κρύβονται οι βασικοί κίνδυνοι στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές μπορούν να μετριάσουν τον κίνδυνο.

Στόχος αυτής της διαδικασίας είναι να ενδυναμώσει τους υπαλλήλους ώστε να παίρνουν τις σωστές αποφάσεις γύρω από τους κινδύνους κυβερνοασφάλειας. Ως εκ τούτου, μπορεί να θεωρηθεί ως ένας θεμελιώδης πυλώνας για τους οργανισμούς που επιθυμούν να δημιουργήσουν μια εταιρική κουλτούρα security-by-design.

Γιατί είναι απαραίτητη η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας;

Όπως κάθε πρόγραμμα εκπαίδευσης, ο στόχος είναι να ενισχυθούν οι δεξιότητες του ατόμου ώστε να γίνει καλύτερος στη δουλειά του. Στην προκειμένη περίπτωση, η βελτίωση σε θέματα ασφάλειας όχι μόνο θα βοηθήσει το άτομο να ανταπεξέλθει σε διάφορους ρόλους, αλλά θα μειώσει και τον κίνδυνο μιας δυνητικά επιζήμιας παραβίασης της ασφάλειας.

Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά κάθε οργανισμού. Αν πέσουν θύματα παραβίασης, τότε μπορεί να πέσει θύμα παραβίασης και ο οργανισμός. Κατά παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα και συστήματα IT αυξάνει τον κίνδυνο να συμβούν ατυχήματα που θα μπορούσαν επίσης να επηρεάσουν αρνητικά την εταιρεία.

Υπάρχουν διάφορες τάσεις που αναδεικνύουν την επείγουσα ανάγκη για εκπαιδευτικά προγράμματα σε θέματα ασφάλειας:

Κωδικοί πρόσβασης: Τα στατικά διαπιστευτήρια υπάρχουν από τότε που υπάρχουν τα συστήματα υπολογιστών. Και παρά τις εκκλήσεις των ειδικών σε θέματα ασφάλειας όλα αυτά τα χρόνια, παραμένουν η πιο δημοφιλής μέθοδος πιστοποίησης ταυτότητας χρηστών. Ο λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς να χρησιμοποιούν τους κωδικούς πρόσβασης. Η πρόκληση είναι ότι αποτελούν επίσης τεράστιο στόχο για τους χάκερ. Αν καταφέρουν να ξεγελάσουν έναν υπάλληλο ώστε να παραδώσει τους κωδικούς του ή αν μπορέσουν να μαντέψουν αυτούς του κωδικούς, τότε συχνά δεν υπάρχει τίποτα άλλο που να στέκεται εμπόδιο στην πλήρη πρόσβαση στο δίκτυο της εταιρείας.

Σύμφωνα με εκτιμήσεις, πάνω από τους μισούς υπαλλήλους στην Αμερική έχουν γράψει τους κωδικούς πρόσβασης σε χαρτί. Οι κακές πρακτικές χρήσης κωδικών πρόσβασης ανοίγουν την πόρτα στους χάκερ. Και καθώς αυξάνεται ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.

Κοινωνική μηχανική: Οι άνθρωποι είμαστε κοινωνικά πλάσματα. Αυτό μας κάνει ευάλωτους στην πειθώ. Θέλουμε να πιστεύουμε στις ιστορίες που μας λένε και στο άτομο που τις αφηγείται. Αυτός είναι και ο λόγος για τον οποίο έχει τόσο καλά αποτελέσματα η κοινωνική μηχανική: η χρήση τεχνικών πειθούς, όπως η πίεση του χρόνου και η αντιποίηση αρχής από τους κακόβουλους δράστες για να εξαπατήσουν το θύμα και να το αναγκάσουν να εκτελέσει τις εντολές τους. Η μέθοδος της κοινωνικής μηχανής έχει εφαρμογή πχ σε ένα μήνυμα ηλεκτρονικού ψαρέματος (phishing), ένα μήνυμα κειμένου (smishing) ή ένα τηλεφώνημα (vishing), αλλά χρησιμοποιείται επίσης και σε επιθέσεις παραβίασης ηλεκτρονικού ταχυδρομείου επιχειρήσεων (BEC) αλλά και σε άλλες απάτες.

Η «επαγγελματοποίηση» του κυβερνοεγκλήματος: Σήμερα οι φορείς απειλών διαθέτουν ένα πολύπλοκο και εξελιγμένο υπόγειο δίκτυο σκοτεινών δικτυακών τόπων μέσω του οποίου αγοράζουν και πωλούν δεδομένα και υπηρεσίες – τα πάντα, από την φιλοξενία ιστοσελίδων μέχρι το ransomware-as-a-service. Λέγεται ότι ο τζίρος του κυβερνοεγκλήματος ανέρχεται σε τρισεκατομμύρια. Αυτή η «επαγγελματοποίηση» του κυβερνοεγκλήματος έχει φυσικά οδηγήσει τους κακόβουλους παράγοντες στο να εστιάζουν τις προσπάθειές τους εκεί όπου η απόδοση της επένδυσης είναι υψηλότερη. Σε πολλές περιπτώσεις, αυτό σημαίνει ότι βάζουν στο στόχαστρο  τους ίδιους τους χρήστες: υπαλλήλους εταιρειών και καταναλωτές. 

Υβριδική εργασία: Οι εργαζόμενοι που δουλεύουν από το σπίτι θεωρείται ότι είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους ηλεκτρονικού «ψαρέματος» και να εμπλακούν σε επικίνδυνες συμπεριφορές, όπως η χρήση συσκευών εργασίας για προσωπική χρήση. Ως εκ τούτου, η εμφάνιση μιας νέας εποχής υβριδικής εργασίας έχει ανοίξει την πόρτα στις επιθέσεις σε εταιρικούς χρήστες όταν αυτοί είναι πιο ευάλωτοι. Χωρίς να αναφέρουμε το γεγονός ότι τα οικιακά δίκτυα και οι υπολογιστές μπορεί να είναι λιγότερο καλά προστατευμένα από τα αντίστοιχα εταιρικά.

Γιατί η εκπαίδευση είναι σημαντική;

Σε τελική ανάλυση, μια σοβαρή παραβίαση της ασφάλειας, είτε προέρχεται από επίθεση τρίτων είτε από τυχαία αποκάλυψη δεδομένων, θα μπορούσε να οδηγήσει σε μεγάλη οικονομική ζημία και ζημία στην φήμη της εταιρείας. Μια πρόσφατη μελέτη αποκάλυψε ότι το 20% των επιχειρήσεων που υπέστησαν μια τέτοια παραβίαση σχεδόν χρεοκόπησαν. Μια άλλη έρευνα υποστηρίζει ότι το μέσο κόστος μιας παραβίασης δεδομένων παγκοσμίως είναι πλέον υψηλότερο από ποτέ: πάνω από 4,2 εκατ. δολάρια ΗΠΑ.

Δεν είναι μόνο ένας υπολογισμός κόστους για τους εργοδότες. Πολλοί κανονισμοί, όπως οι HIPAA, PCI DSS και Sarbanes-Oxley (SOX), απαιτούν από τους οργανισμούς που συμμορφώνονται να εκτελούν προγράμματα εκπαίδευσης ευαισθητοποίησης των εργαζομένων σε θέματα ασφάλειας.

Πώς να κάνετε τα προγράμματα εκπαίδευσης να λειτουργήσουν

Εξηγήσαμε το «γιατί», αλλά τι γίνεται με το «πώς»; Οι υπεύθυνοι ασφάλειας πληροφοριακών συστημάτων (CISO) θα πρέπει να ξεκινήσουν καταρχάς κάνοντας μια εισαγωγική συζήτηση με το τμήμα ανθρώπινου δυναμικού, που συνήθως διαχειρίζεται τα εταιρικά προγράμματα κατάρτισης. Μπορεί να είναι σε θέση να δώσει συμβουλές ή να προσφέρει συντονισμένη υποστήριξη.

Μεταξύ των θεματικών που θα μπορούσαν να καλυφθούν από την εκπαίδευση θα μπορούσαν να είναι:

  1. Κοινωνική μηχανική και phishing/vishing/smishing
  2. Τυχαία αποκάλυψη πληροφοριών μέσω ηλεκτρονικού ταχυδρομείου
  3. Προστασία στο διαδίκτυο (ασφαλής αναζήτηση και χρήση δημόσιου Wi-Fi)
  4. Βέλτιστες πρακτικές κωδικών πρόσβασης και έλεγχος ταυτότητας πολλαπλών παραγόντων
  5. Ασφαλής απομακρυσμένη και κατ’ οίκον εργασία
  6. Πώς να εντοπίζετε εσωτερικές απειλές

Πάνω απ’ όλα, να έχετε κατά νου ότι τα μαθήματα θα πρέπει να είναι:

  • Διασκεδαστικά και να μοιάζουν με παιχνίδι (σκεφτείτε τη θετική ενίσχυση αντί για μηνύματα που βασίζονται στο φόβο).
  • Να βασίζονται σε ασκήσεις προσομοίωσης πραγματικού κόσμου
  • Να πραγματοποιούνται σε τακτά διαστήματα σε όλη τη διάρκεια του έτους, σε μορφή σύντομων μαθημάτων (10-15 λεπτά)
  • Να περιλαμβάνουν όλα τα μέλη του προσωπικού, συμπεριλαμβανομένων των στελεχών, των μερικώς απασχολούμενων και των συμβασιούχων
  • Να είναι ικανά να παράγουν αποτελέσματα που μπορούν να χρησιμοποιηθούν για την προσαρμογή των προγραμμάτων στις ατομικές ανάγκες
  • Να προσαρμόζονται για να ταιριάζουν σε διαφορετικούς ρόλους

Αφού αποφασιστούν όλα αυτά, είναι σημαντικό να βρείτε τον κατάλληλο πάροχο κατάρτισης. Τα καλά νέα είναι ότι υπάρχουν πολλές επιλογές στο διαδίκτυο σε διάφορες τιμές, συμπεριλαμβανομένων δωρεάν εργαλείων. Και ο Phil Muncaster της ESET κλείνει λέγοντας: «Δεδομένου του σημερινού τοπίου απειλών, η αδράνεια δεν αποτελεί επιλογή».

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 14
Στο νέο τεύχος 14 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή επαγγελματία της αγοράς, στους υπεύθυνους ασφαλείας και εκπαί...
Hikvision Smart Hybrid Light
Η πρωτοποριακή τεχνολογία Smart Hybrid Light της Hikvision έρχεται για να βελτιστοποιήσει στον μέγιστο βαθμό τις δυνατότητες καταγραφής των καμερών, ειδικά κατά τις κρίσιμες νυχτερινές ώρες. Με τρ...
Hikvision Smart Hybrid Light
Η νέα σειρά αναλογικών καμερών 1080p D0T-LTS της Hikvision μάς εισάγει στο Turbo HD 8.0 με νέα χαρακτηριστικά που ξεχωρίζουν, όπως η δυνατότητα αμφίδρομης επικοινωνίας (Two-way-Audio) και ο διπλός...
ELDES ESIM320
Το ESIM320 της ELDES είναι ένας gate controler σχεδιασμένος να προσφέρει προστασία και άνεση στη διαχείριση πύλης και άλλων ηλεκτρονικών συσκευών. Μπορεί να τοποθετηθεί σε οποιοδήποτε είδος κτιρίο...
OPTEX AP-SERIES
Η σειρά αισθητήρων ανιχνευτών εισβολής AP της OPTEX αποτελεί μία πρόσθετη λύση ασφάλειας για όσους θέλουν να αναβαθμίσουν τον εσωτερικό τους χώρο προσθέτοντας ένα ακόμα επίπεδο ασφαλείας στο σύστη...
IoT σε ξενοδοχειακές μονάδες
Στον τομέα της φιλοξενίας, η ευημερία του προσωπικού, η διασφάλιση των περιουσιακών στοιχείων και η ασφάλεια των επισκεπτών, είναι οι τρεις λέξεις κλειδί για την επιτυχία. Σήμερα, το τεχνολογικό τ...
Video Analytics σε αεροδρόμια
Τα αεροπορικά ταξίδια είναι ένας από τους ταχύτερους και πιο αποτελεσματικούς τρόπους ταξιδιού παγκοσμίως. Καθημερινά πραγματοποιούνται περισσότερες από 100.000 εμπορικές πτήσεις και ως εκ τούτου ...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...