Ευαισθητοποίηση και εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας

Υπάρχει μια παλιά ρήση στην κυβερνοασφάλεια που λέει ότι ο άνθρωπος είναι ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας. Αυτό ισχύει όλο και περισσότερο, καθώς οι φορείς απειλών ανταγωνίζονται μεταξύ τους στο πώς θα εκμεταλλευτούν τους ευκολόπιστους ή απρόσεκτους υπαλλήλους. «Όμως, μπορείτε αυτόν τον αδύναμο κρίκο να τον μετατρέψετε σε μια πρώτη γραμμή άμυνας», λέει ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρείας ψηφιακής ασφάλειας ESET. «Το κλειδί είναι να εφαρμόσετε ένα αποτελεσματικό πρόγραμμα ευαισθητοποίησης και εκπαίδευσης γύρω από την κυβερνοασφάλεια».

Σύμφωνα με σχετική έρευνα, το 82% των παραβιάσεων δεδομένων που μελετήθηκαν το 2021 εμπλέκουν το «ανθρώπινο στοιχείο». Λαμβάνοντας υπόψη το τοπίο των σύγχρονων απειλών στον κυβερνοχώρο, είναι αναμενόμενο ότι οι εργαζόμενοι αποτελούν το νούμερο ένα στόχο για επιθέσεις. «Δώστε τους όμως τις απαραίτητες γνώσεις για να εντοπίζουν τα προειδοποιητικά σημάδια μιας επίθεσης και να κατανοούν το πότε και το πώς μπορεί να θέτουν σε κίνδυνο ευαίσθητα δεδομένα και υπάρχει μια τεράστια πιθανότητα να μειωθεί ο κίνδυνος» παροτρύνει ο ειδικός από την ESET.

Τι είναι η εκπαίδευση για την ευαισθητοποίηση στην κυβερνοασφάλεια;

Ίσως η λέξη «ευαισθητοποίηση» να μην περιγράφει ακριβώς όλα όσα θέλουν να πετύχουν οι υπεύθυνοι ασφαλείας πληροφορικής με τα προγράμματα εκπαίδευσης. Στην πραγματικότητα, ο στόχος τους είναι να αλλάξουν οι συμπεριφορές μέσω της εκπαίδευσης για το πού κρύβονται οι βασικοί κίνδυνοι στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές μπορούν να μετριάσουν τον κίνδυνο.

Στόχος αυτής της διαδικασίας είναι να ενδυναμώσει τους υπαλλήλους ώστε να παίρνουν τις σωστές αποφάσεις γύρω από τους κινδύνους κυβερνοασφάλειας. Ως εκ τούτου, μπορεί να θεωρηθεί ως ένας θεμελιώδης πυλώνας για τους οργανισμούς που επιθυμούν να δημιουργήσουν μια εταιρική κουλτούρα security-by-design.

Γιατί είναι απαραίτητη η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας;

Όπως κάθε πρόγραμμα εκπαίδευσης, ο στόχος είναι να ενισχυθούν οι δεξιότητες του ατόμου ώστε να γίνει καλύτερος στη δουλειά του. Στην προκειμένη περίπτωση, η βελτίωση σε θέματα ασφάλειας όχι μόνο θα βοηθήσει το άτομο να ανταπεξέλθει σε διάφορους ρόλους, αλλά θα μειώσει και τον κίνδυνο μιας δυνητικά επιζήμιας παραβίασης της ασφάλειας.

Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά κάθε οργανισμού. Αν πέσουν θύματα παραβίασης, τότε μπορεί να πέσει θύμα παραβίασης και ο οργανισμός. Κατά παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα και συστήματα IT αυξάνει τον κίνδυνο να συμβούν ατυχήματα που θα μπορούσαν επίσης να επηρεάσουν αρνητικά την εταιρεία.

Υπάρχουν διάφορες τάσεις που αναδεικνύουν την επείγουσα ανάγκη για εκπαιδευτικά προγράμματα σε θέματα ασφάλειας:

Κωδικοί πρόσβασης: Τα στατικά διαπιστευτήρια υπάρχουν από τότε που υπάρχουν τα συστήματα υπολογιστών. Και παρά τις εκκλήσεις των ειδικών σε θέματα ασφάλειας όλα αυτά τα χρόνια, παραμένουν η πιο δημοφιλής μέθοδος πιστοποίησης ταυτότητας χρηστών. Ο λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς να χρησιμοποιούν τους κωδικούς πρόσβασης. Η πρόκληση είναι ότι αποτελούν επίσης τεράστιο στόχο για τους χάκερ. Αν καταφέρουν να ξεγελάσουν έναν υπάλληλο ώστε να παραδώσει τους κωδικούς του ή αν μπορέσουν να μαντέψουν αυτούς του κωδικούς, τότε συχνά δεν υπάρχει τίποτα άλλο που να στέκεται εμπόδιο στην πλήρη πρόσβαση στο δίκτυο της εταιρείας.

Σύμφωνα με εκτιμήσεις, πάνω από τους μισούς υπαλλήλους στην Αμερική έχουν γράψει τους κωδικούς πρόσβασης σε χαρτί. Οι κακές πρακτικές χρήσης κωδικών πρόσβασης ανοίγουν την πόρτα στους χάκερ. Και καθώς αυξάνεται ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.

Κοινωνική μηχανική: Οι άνθρωποι είμαστε κοινωνικά πλάσματα. Αυτό μας κάνει ευάλωτους στην πειθώ. Θέλουμε να πιστεύουμε στις ιστορίες που μας λένε και στο άτομο που τις αφηγείται. Αυτός είναι και ο λόγος για τον οποίο έχει τόσο καλά αποτελέσματα η κοινωνική μηχανική: η χρήση τεχνικών πειθούς, όπως η πίεση του χρόνου και η αντιποίηση αρχής από τους κακόβουλους δράστες για να εξαπατήσουν το θύμα και να το αναγκάσουν να εκτελέσει τις εντολές τους. Η μέθοδος της κοινωνικής μηχανής έχει εφαρμογή πχ σε ένα μήνυμα ηλεκτρονικού ψαρέματος (phishing), ένα μήνυμα κειμένου (smishing) ή ένα τηλεφώνημα (vishing), αλλά χρησιμοποιείται επίσης και σε επιθέσεις παραβίασης ηλεκτρονικού ταχυδρομείου επιχειρήσεων (BEC) αλλά και σε άλλες απάτες.

Η «επαγγελματοποίηση» του κυβερνοεγκλήματος: Σήμερα οι φορείς απειλών διαθέτουν ένα πολύπλοκο και εξελιγμένο υπόγειο δίκτυο σκοτεινών δικτυακών τόπων μέσω του οποίου αγοράζουν και πωλούν δεδομένα και υπηρεσίες – τα πάντα, από την φιλοξενία ιστοσελίδων μέχρι το ransomware-as-a-service. Λέγεται ότι ο τζίρος του κυβερνοεγκλήματος ανέρχεται σε τρισεκατομμύρια. Αυτή η «επαγγελματοποίηση» του κυβερνοεγκλήματος έχει φυσικά οδηγήσει τους κακόβουλους παράγοντες στο να εστιάζουν τις προσπάθειές τους εκεί όπου η απόδοση της επένδυσης είναι υψηλότερη. Σε πολλές περιπτώσεις, αυτό σημαίνει ότι βάζουν στο στόχαστρο  τους ίδιους τους χρήστες: υπαλλήλους εταιρειών και καταναλωτές. 

Υβριδική εργασία: Οι εργαζόμενοι που δουλεύουν από το σπίτι θεωρείται ότι είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους ηλεκτρονικού «ψαρέματος» και να εμπλακούν σε επικίνδυνες συμπεριφορές, όπως η χρήση συσκευών εργασίας για προσωπική χρήση. Ως εκ τούτου, η εμφάνιση μιας νέας εποχής υβριδικής εργασίας έχει ανοίξει την πόρτα στις επιθέσεις σε εταιρικούς χρήστες όταν αυτοί είναι πιο ευάλωτοι. Χωρίς να αναφέρουμε το γεγονός ότι τα οικιακά δίκτυα και οι υπολογιστές μπορεί να είναι λιγότερο καλά προστατευμένα από τα αντίστοιχα εταιρικά.

Γιατί η εκπαίδευση είναι σημαντική;

Σε τελική ανάλυση, μια σοβαρή παραβίαση της ασφάλειας, είτε προέρχεται από επίθεση τρίτων είτε από τυχαία αποκάλυψη δεδομένων, θα μπορούσε να οδηγήσει σε μεγάλη οικονομική ζημία και ζημία στην φήμη της εταιρείας. Μια πρόσφατη μελέτη αποκάλυψε ότι το 20% των επιχειρήσεων που υπέστησαν μια τέτοια παραβίαση σχεδόν χρεοκόπησαν. Μια άλλη έρευνα υποστηρίζει ότι το μέσο κόστος μιας παραβίασης δεδομένων παγκοσμίως είναι πλέον υψηλότερο από ποτέ: πάνω από 4,2 εκατ. δολάρια ΗΠΑ.

Δεν είναι μόνο ένας υπολογισμός κόστους για τους εργοδότες. Πολλοί κανονισμοί, όπως οι HIPAA, PCI DSS και Sarbanes-Oxley (SOX), απαιτούν από τους οργανισμούς που συμμορφώνονται να εκτελούν προγράμματα εκπαίδευσης ευαισθητοποίησης των εργαζομένων σε θέματα ασφάλειας.

Πώς να κάνετε τα προγράμματα εκπαίδευσης να λειτουργήσουν

Εξηγήσαμε το «γιατί», αλλά τι γίνεται με το «πώς»; Οι υπεύθυνοι ασφάλειας πληροφοριακών συστημάτων (CISO) θα πρέπει να ξεκινήσουν καταρχάς κάνοντας μια εισαγωγική συζήτηση με το τμήμα ανθρώπινου δυναμικού, που συνήθως διαχειρίζεται τα εταιρικά προγράμματα κατάρτισης. Μπορεί να είναι σε θέση να δώσει συμβουλές ή να προσφέρει συντονισμένη υποστήριξη.

Μεταξύ των θεματικών που θα μπορούσαν να καλυφθούν από την εκπαίδευση θα μπορούσαν να είναι:

1. Κοινωνική μηχανική και phishing/vishing/smishing
2. Τυχαία αποκάλυψη πληροφοριών μέσω ηλεκτρονικού ταχυδρομείου
3. Προστασία στο διαδίκτυο (ασφαλής αναζήτηση και χρήση δημόσιου Wi-Fi)
4. Βέλτιστες πρακτικές κωδικών πρόσβασης και έλεγχος ταυτότητας πολλαπλών παραγόντων
5. Ασφαλής απομακρυσμένη και κατ’ οίκον εργασία
6. Πώς να εντοπίζετε εσωτερικές απειλές

Πάνω απ’ όλα, να έχετε κατά νου ότι τα μαθήματα θα πρέπει να είναι:

• Διασκεδαστικά και να μοιάζουν με παιχνίδι (σκεφτείτε τη θετική ενίσχυση αντί για μηνύματα που βασίζονται στο φόβο).
• Να βασίζονται σε ασκήσεις προσομοίωσης πραγματικού κόσμου
• Να πραγματοποιούνται σε τακτά διαστήματα σε όλη τη διάρκεια του έτους, σε μορφή σύντομων μαθημάτων (10-15 λεπτά)
• Να περιλαμβάνουν όλα τα μέλη του προσωπικού, συμπεριλαμβανομένων των στελεχών, των μερικώς απασχολούμενων και των συμβασιούχων
• Να είναι ικανά να παράγουν αποτελέσματα που μπορούν να χρησιμοποιηθούν για την προσαρμογή των προγραμμάτων στις ατομικές ανάγκες
• Να προσαρμόζονται για να ταιριάζουν σε διαφορετικούς ρόλους

Αφού αποφασιστούν όλα αυτά, είναι σημαντικό να βρείτε τον κατάλληλο πάροχο κατάρτισης. Τα καλά νέα είναι ότι υπάρχουν πολλές επιλογές στο διαδίκτυο σε διάφορες τιμές, συμπεριλαμβανομένων δωρεάν εργαλείων. Και ο Phil Muncaster της ESET κλείνει λέγοντας: «Δεδομένου του σημερινού τοπίου απειλών, η αδράνεια δεν αποτελεί επιλογή».