Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 10
DIGITAL TV 187
30 Ιουνίου 2022 10:42

Ευαισθητοποίηση και εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας

eset 1 5ba2ac63

Υπάρχει μια παλιά ρήση στην κυβερνοασφάλεια που λέει ότι ο άνθρωπος είναι ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας. Αυτό ισχύει όλο και περισσότερο, καθώς οι φορείς απειλών ανταγωνίζονται μεταξύ τους στο πώς θα εκμεταλλευτούν τους ευκολόπιστους ή απρόσεκτους υπαλλήλους. «Όμως, μπορείτε αυτόν τον αδύναμο κρίκο να τον μετατρέψετε σε μια πρώτη γραμμή άμυνας», λέει ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρείας ψηφιακής ασφάλειας ESET. «Το κλειδί είναι να εφαρμόσετε ένα αποτελεσματικό πρόγραμμα ευαισθητοποίησης και εκπαίδευσης γύρω από την κυβερνοασφάλεια».

Σύμφωνα με σχετική έρευνα, το 82% των παραβιάσεων δεδομένων που μελετήθηκαν το 2021 εμπλέκουν το «ανθρώπινο στοιχείο». Λαμβάνοντας υπόψη το τοπίο των σύγχρονων απειλών στον κυβερνοχώρο, είναι αναμενόμενο ότι οι εργαζόμενοι αποτελούν το νούμερο ένα στόχο για επιθέσεις. «Δώστε τους όμως τις απαραίτητες γνώσεις για να εντοπίζουν τα προειδοποιητικά σημάδια μιας επίθεσης και να κατανοούν το πότε και το πώς μπορεί να θέτουν σε κίνδυνο ευαίσθητα δεδομένα και υπάρχει μια τεράστια πιθανότητα να μειωθεί ο κίνδυνος» παροτρύνει ο ειδικός από την ESET.

Τι είναι η εκπαίδευση για την ευαισθητοποίηση στην κυβερνοασφάλεια;

Ίσως η λέξη «ευαισθητοποίηση» να μην περιγράφει ακριβώς όλα όσα θέλουν να πετύχουν οι υπεύθυνοι ασφαλείας πληροφορικής με τα προγράμματα εκπαίδευσης. Στην πραγματικότητα, ο στόχος τους είναι να αλλάξουν οι συμπεριφορές μέσω της εκπαίδευσης για το πού κρύβονται οι βασικοί κίνδυνοι στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές μπορούν να μετριάσουν τον κίνδυνο.

Στόχος αυτής της διαδικασίας είναι να ενδυναμώσει τους υπαλλήλους ώστε να παίρνουν τις σωστές αποφάσεις γύρω από τους κινδύνους κυβερνοασφάλειας. Ως εκ τούτου, μπορεί να θεωρηθεί ως ένας θεμελιώδης πυλώνας για τους οργανισμούς που επιθυμούν να δημιουργήσουν μια εταιρική κουλτούρα security-by-design.

Γιατί είναι απαραίτητη η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας;

Όπως κάθε πρόγραμμα εκπαίδευσης, ο στόχος είναι να ενισχυθούν οι δεξιότητες του ατόμου ώστε να γίνει καλύτερος στη δουλειά του. Στην προκειμένη περίπτωση, η βελτίωση σε θέματα ασφάλειας όχι μόνο θα βοηθήσει το άτομο να ανταπεξέλθει σε διάφορους ρόλους, αλλά θα μειώσει και τον κίνδυνο μιας δυνητικά επιζήμιας παραβίασης της ασφάλειας.

Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά κάθε οργανισμού. Αν πέσουν θύματα παραβίασης, τότε μπορεί να πέσει θύμα παραβίασης και ο οργανισμός. Κατά παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα και συστήματα IT αυξάνει τον κίνδυνο να συμβούν ατυχήματα που θα μπορούσαν επίσης να επηρεάσουν αρνητικά την εταιρεία.

Υπάρχουν διάφορες τάσεις που αναδεικνύουν την επείγουσα ανάγκη για εκπαιδευτικά προγράμματα σε θέματα ασφάλειας:

Κωδικοί πρόσβασης: Τα στατικά διαπιστευτήρια υπάρχουν από τότε που υπάρχουν τα συστήματα υπολογιστών. Και παρά τις εκκλήσεις των ειδικών σε θέματα ασφάλειας όλα αυτά τα χρόνια, παραμένουν η πιο δημοφιλής μέθοδος πιστοποίησης ταυτότητας χρηστών. Ο λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς να χρησιμοποιούν τους κωδικούς πρόσβασης. Η πρόκληση είναι ότι αποτελούν επίσης τεράστιο στόχο για τους χάκερ. Αν καταφέρουν να ξεγελάσουν έναν υπάλληλο ώστε να παραδώσει τους κωδικούς του ή αν μπορέσουν να μαντέψουν αυτούς του κωδικούς, τότε συχνά δεν υπάρχει τίποτα άλλο που να στέκεται εμπόδιο στην πλήρη πρόσβαση στο δίκτυο της εταιρείας.

Σύμφωνα με εκτιμήσεις, πάνω από τους μισούς υπαλλήλους στην Αμερική έχουν γράψει τους κωδικούς πρόσβασης σε χαρτί. Οι κακές πρακτικές χρήσης κωδικών πρόσβασης ανοίγουν την πόρτα στους χάκερ. Και καθώς αυξάνεται ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.

Κοινωνική μηχανική: Οι άνθρωποι είμαστε κοινωνικά πλάσματα. Αυτό μας κάνει ευάλωτους στην πειθώ. Θέλουμε να πιστεύουμε στις ιστορίες που μας λένε και στο άτομο που τις αφηγείται. Αυτός είναι και ο λόγος για τον οποίο έχει τόσο καλά αποτελέσματα η κοινωνική μηχανική: η χρήση τεχνικών πειθούς, όπως η πίεση του χρόνου και η αντιποίηση αρχής από τους κακόβουλους δράστες για να εξαπατήσουν το θύμα και να το αναγκάσουν να εκτελέσει τις εντολές τους. Η μέθοδος της κοινωνικής μηχανής έχει εφαρμογή πχ σε ένα μήνυμα ηλεκτρονικού ψαρέματος (phishing), ένα μήνυμα κειμένου (smishing) ή ένα τηλεφώνημα (vishing), αλλά χρησιμοποιείται επίσης και σε επιθέσεις παραβίασης ηλεκτρονικού ταχυδρομείου επιχειρήσεων (BEC) αλλά και σε άλλες απάτες.

Η «επαγγελματοποίηση» του κυβερνοεγκλήματος: Σήμερα οι φορείς απειλών διαθέτουν ένα πολύπλοκο και εξελιγμένο υπόγειο δίκτυο σκοτεινών δικτυακών τόπων μέσω του οποίου αγοράζουν και πωλούν δεδομένα και υπηρεσίες – τα πάντα, από την φιλοξενία ιστοσελίδων μέχρι το ransomware-as-a-service. Λέγεται ότι ο τζίρος του κυβερνοεγκλήματος ανέρχεται σε τρισεκατομμύρια. Αυτή η «επαγγελματοποίηση» του κυβερνοεγκλήματος έχει φυσικά οδηγήσει τους κακόβουλους παράγοντες στο να εστιάζουν τις προσπάθειές τους εκεί όπου η απόδοση της επένδυσης είναι υψηλότερη. Σε πολλές περιπτώσεις, αυτό σημαίνει ότι βάζουν στο στόχαστρο  τους ίδιους τους χρήστες: υπαλλήλους εταιρειών και καταναλωτές. 

Υβριδική εργασία: Οι εργαζόμενοι που δουλεύουν από το σπίτι θεωρείται ότι είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους ηλεκτρονικού «ψαρέματος» και να εμπλακούν σε επικίνδυνες συμπεριφορές, όπως η χρήση συσκευών εργασίας για προσωπική χρήση. Ως εκ τούτου, η εμφάνιση μιας νέας εποχής υβριδικής εργασίας έχει ανοίξει την πόρτα στις επιθέσεις σε εταιρικούς χρήστες όταν αυτοί είναι πιο ευάλωτοι. Χωρίς να αναφέρουμε το γεγονός ότι τα οικιακά δίκτυα και οι υπολογιστές μπορεί να είναι λιγότερο καλά προστατευμένα από τα αντίστοιχα εταιρικά.

Γιατί η εκπαίδευση είναι σημαντική;

Σε τελική ανάλυση, μια σοβαρή παραβίαση της ασφάλειας, είτε προέρχεται από επίθεση τρίτων είτε από τυχαία αποκάλυψη δεδομένων, θα μπορούσε να οδηγήσει σε μεγάλη οικονομική ζημία και ζημία στην φήμη της εταιρείας. Μια πρόσφατη μελέτη αποκάλυψε ότι το 20% των επιχειρήσεων που υπέστησαν μια τέτοια παραβίαση σχεδόν χρεοκόπησαν. Μια άλλη έρευνα υποστηρίζει ότι το μέσο κόστος μιας παραβίασης δεδομένων παγκοσμίως είναι πλέον υψηλότερο από ποτέ: πάνω από 4,2 εκατ. δολάρια ΗΠΑ.

Δεν είναι μόνο ένας υπολογισμός κόστους για τους εργοδότες. Πολλοί κανονισμοί, όπως οι HIPAA, PCI DSS και Sarbanes-Oxley (SOX), απαιτούν από τους οργανισμούς που συμμορφώνονται να εκτελούν προγράμματα εκπαίδευσης ευαισθητοποίησης των εργαζομένων σε θέματα ασφάλειας.

Πώς να κάνετε τα προγράμματα εκπαίδευσης να λειτουργήσουν

Εξηγήσαμε το «γιατί», αλλά τι γίνεται με το «πώς»; Οι υπεύθυνοι ασφάλειας πληροφοριακών συστημάτων (CISO) θα πρέπει να ξεκινήσουν καταρχάς κάνοντας μια εισαγωγική συζήτηση με το τμήμα ανθρώπινου δυναμικού, που συνήθως διαχειρίζεται τα εταιρικά προγράμματα κατάρτισης. Μπορεί να είναι σε θέση να δώσει συμβουλές ή να προσφέρει συντονισμένη υποστήριξη.

Μεταξύ των θεματικών που θα μπορούσαν να καλυφθούν από την εκπαίδευση θα μπορούσαν να είναι:

  1. Κοινωνική μηχανική και phishing/vishing/smishing
  2. Τυχαία αποκάλυψη πληροφοριών μέσω ηλεκτρονικού ταχυδρομείου
  3. Προστασία στο διαδίκτυο (ασφαλής αναζήτηση και χρήση δημόσιου Wi-Fi)
  4. Βέλτιστες πρακτικές κωδικών πρόσβασης και έλεγχος ταυτότητας πολλαπλών παραγόντων
  5. Ασφαλής απομακρυσμένη και κατ’ οίκον εργασία
  6. Πώς να εντοπίζετε εσωτερικές απειλές

Πάνω απ’ όλα, να έχετε κατά νου ότι τα μαθήματα θα πρέπει να είναι:

  • Διασκεδαστικά και να μοιάζουν με παιχνίδι (σκεφτείτε τη θετική ενίσχυση αντί για μηνύματα που βασίζονται στο φόβο).
  • Να βασίζονται σε ασκήσεις προσομοίωσης πραγματικού κόσμου
  • Να πραγματοποιούνται σε τακτά διαστήματα σε όλη τη διάρκεια του έτους, σε μορφή σύντομων μαθημάτων (10-15 λεπτά)
  • Να περιλαμβάνουν όλα τα μέλη του προσωπικού, συμπεριλαμβανομένων των στελεχών, των μερικώς απασχολούμενων και των συμβασιούχων
  • Να είναι ικανά να παράγουν αποτελέσματα που μπορούν να χρησιμοποιηθούν για την προσαρμογή των προγραμμάτων στις ατομικές ανάγκες
  • Να προσαρμόζονται για να ταιριάζουν σε διαφορετικούς ρόλους

Αφού αποφασιστούν όλα αυτά, είναι σημαντικό να βρείτε τον κατάλληλο πάροχο κατάρτισης. Τα καλά νέα είναι ότι υπάρχουν πολλές επιλογές στο διαδίκτυο σε διάφορες τιμές, συμπεριλαμβανομένων δωρεάν εργαλείων. Και ο Phil Muncaster της ESET κλείνει λέγοντας: «Δεδομένου του σημερινού τοπίου απειλών, η αδράνεια δεν αποτελεί επιλογή».

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το Security Report Απριλίου

    Κυκλοφορεί το Security Report Απριλίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Απριλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές π...
  • Athens Electronix 2024

    Athens Electronix 2024

    Με τεράστια επιτυχία ολοκληρώθηκε η Athens Electronix 2024, η μεγαλύτερη έκθεση της χρονιάς στην πρωτεύουσα, η οποία διοργανώθηκε από την Libra Press στον Πολυχώρο Εκδηλώσεων Δαΐς, στις 2 και 3 Μα...
  • Διευθυνσιοδοτούμενα συστήματα πυρανίχνευσης της Satel

    Διευθυνσιοδοτούμενα συστήματα πυρανίχνευσης της Satel

    Με μεγάλη επιτυχία ολοκληρώθηκε ένα ακόμα σεμινάριο που διοργάνωσε η ARK Academy στις εγκαταστάσεις της στον Ταύρο, την Πέμπτη, 29 Φεβρουαρίου, με θέμα τα συστήματα διευθυνσιοδοτούμενης πυρανίχνευ...
  • Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;

    Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;

    Ο κατασκευαστικός κλάδος, ακρογωνιαίος λίθος της αστικής ανάπτυξης και γενικότερα της οικονομίας, υφίσταται σημαντικές αλλαγές τα τελευταία χρόνια. Στο επίκεντρο αυτών των αλλαγών, βρίσκεται για μ...
  • Lenkeng AV transmitters

    Lenkeng AV transmitters

    H Lenkeng ιδρύθηκε το 2004 στην Κίνα και είναι ένας από τους κορυφαίους παγκόσμιους κατασκευαστές συστημάτων video transmission, παράγοντας ποιοτικά και καινοτόμα προϊόντα, που ακολουθούν τα τελευ...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Cyprus, τεύχος 11

    Security Cyprus, τεύχος 11

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή ...
  • Dahua Insider

    Dahua Insider

    Βελτιωμένη γενιά Access Controller με νέες δυνατότητες και λειτουργίες Ο νέος Insider Access Controller της Dahua, ASC3202B, έρχεται να γίνει η «καρδιά» της εγκατάστασήςμας. Ενσωματώνει Web Int...
  • Security TOP 50

    Security TOP 50

    Η κατάταξη των εταιρειών Security, που δημοσιεύει κάθε χρόνο στην επίσημη ιστοσελίδα του το περιοδικό asmag.com, είναι πλέον διαθέσιμη! Το asmag.com, που σε συνεργασία με κορυφαία στελέχη του κλάδ...
  • PIAM 2.0

    PIAM 2.0

    Το PIAM (Physical Identity and Access Management), που αναφέρεται στον έλεγχο πρόσβασης και σημαίνει διαχείριση της φυσικής ταυτότητας και της πρόσβασης, είναι στην πραγματικότητα ένα σύστημα που ...
  • Body worn κάμερες: Ξεκινά η πιλοτική εφαρμογή τους το 2024 στη χώρα μας

    Body worn κάμερες: Ξεκινά η πιλοτική εφαρμογή τους το 2024 στη χώρα μας

    Οι body worn κάμερες, που κατά βάση χρησιμοποιούνται από τις αρχές επιβολής του νόμου, μπορούν μεταξύ άλλων να τοποθετηθούν στις στολές των αστυνομικών και έχουν αποδειχθεί ιδιαίτερα χρήσιμες,...
  • Πώς επηρεάζονται οι αγοραστικές συνήθειες του καταναλωτικού κοινού από τα δεδομένα

    Πώς επηρεάζονται οι αγοραστικές συνήθειες του καταναλωτικού κοινού από τα δεδομένα

    Η ικανότητα συλλογής, ανάλυσης και εξαγωγής πληροφοριών / δεδομένων από πολλαπλές πηγές μπορεί να έχει άμεσο θετικό αντίκτυπο για μία επιχείρηση, κάτι που γίνεται καλύτερα αντιληπτό όταν εξετάζουμ...
  • Πρωτόκολλο DALI

    Πρωτόκολλο DALI

    Το πρωτόκολλο επικοινωνίας φωτιστικών ασφαλείας DALI (Digital Addressable Lighting Interface) αναδεικνύει μια νέα εποχή στον χώρο της τεχνολογίας φωτισμού, προσφέροντας εξελιγμένες δυνατότητες ελέ...
  • Ajax Special Event: Νέα προϊόντα και λύσεις στην 5η κατά σειρά virtual παρουσίαση!

    Ajax Special Event: Νέα προϊόντα και λύσεις στην 5η κατά σειρά virtual παρουσίαση!

    Το 5ο κατά σειρά εικονικό event της Ajax Systems ολοκληρώθηκε με τεράστια επιτυχία στις 20 Οκτωβρίου του 2023! Για μία ακόμα χρονιά, η εταιρεία άνοιξε τα χαρτιά της ανακοινώνοντας νέες αλλαγές στο...
  • Ο ρόλος των καμερών ασφαλείας στο industry 4.0

    Ο ρόλος των καμερών ασφαλείας στο industry 4.0

    Πριν από το 2014, ο όρος αναζήτησης «industry 4.0» στο Google ήταν πρακτικά ανύπαρκτος. Αυτό έπαψε να ισχύει από το 2019, όπου το 68% των ερωτηθέντων μιας παγκόσμιας έρευνας που πραγματοποίησε η M...