چند روز پیش مثل همیشه جلسات دو روزه ی Black Hat 2017 تشکیل شد که در این زمان موضوعات داغی مورد بحث قرار گرفت. شاید یکی از این موضوعات بحث برانگیز آموزش امنیت سایبری بود.
در این بین نکته ای جالب از متخصص Arun Vishwanath از دانشگاه Buffalo مطرح شد. او در مورد مشکلات بسیاری که با آموزش امنیت سایبری رفع می شود صحبت کرد.
در طول صحبت های مختلف، Vishwanath که بر روی آموزش کارمندان تمرکز کرده بود، بحث قربانی شدن مکرر کارمندان در محل کار را به میان کشید. او در این کنفرانس کمپانی ها و شرکت ها را با چگونگی ارائه ی آموزش های امنیت سایبری به کارمندان خود به چالش کشید.
Vishwanath به این شکل به ادامه ی صحبت های خود پرداخت: جمع آوری تیمی که به آموزش کارمندان در شرکت ها کمک کند و آن ها را با تهدیدات به روز آشنا کند کاری راحت و آسان نیست. در لابراتوار کسپرسکی، ما مدام اطلاعات را با تیم امنیتی نرم افزار خود به اشتراک می گذاریم تا آن ها بتوانند آموزش و راهنمایی های لازم را به دیگر کارکنان بدهند و کارمندان نیز بتوانند به بهترین شکل این راهنمایی ها را در جای جای فعالیت های کاری خود بگنجانند. در ادامه ی مقاله برخی از نکات مهم در مورد امنیت سایبری ذکر شده است که مطالعه و اجرای آن خالی از لطف نخواهد بود:
باج افزارها: تیم امنیتی یک سازمان می بایستی کارمندان خود را با انواع نرم افزارهای مخرب خصوصا باج افزارها آشنا سازند و اقدامات فوری و راه های جلوگیری از آن ها را به این افراد آموزش دهند.
خطرات و حملات فیشینگ: همانطور که می دانید حملات فیشنگ جزء تهدیداتی است که افراد بسیاری به آن دچار می شوند و در بین مجرمان محبوبیت بسیاری داد. از این رو بهتر است کارمندان به خوبی با این نوع از حمله آشنا باشند و راه های جلوگیری از آن را دریابند.
اختصاص بودجه ی کافی برای امنیت سایبری: در مورد امنیت سایبری با مدیر خود صحبت کنید و از او بخواهید بودجه ای کافی برای امنیت سایبری در نظر بگیرد.
مطالعه مقالات امنیتی: مطالعه ی مقالات امنیتی و مکرر باعث می شود شما با تمامی خطرات آشنا باشید و راه های مقابله با آن ها را فراگیرید و البته می توانید آن را با همکاران خود به اشتراک بگذارید.
باج افزارهای رمزنگار: بیایید به این موضوع واقع بینانه نگاه کنیم. باج افزارها همه جا هستند و هیچ جا هم نخواهند رفت. طی سال گذشته ما شاهد حملات بزرگی از جمله بیمارستان ها و شرکت های بزرگ مخابراتی بودیم. و البته به خوبی می دانید که واناکرای فاجعه ای بود که نمی توان آن را نادیده گرفت و از آن چشم پوشی کرد.
در بعضی از مواقع بهتر است شما درک کارمندان را نسبت به مسائل امنیتی بالا ببرید. شاید واقعا آن ها هیچ دیدی نسبت به امنیت نداشته باشند. بیایید تصور کنیم که شما مسئول بالا بردن سطح آگاهی کارمندان خود هستید. اول اینکه باید از خود بپرسید که آگاهی امنیت سایبری چیست؟ به راستی چیست؟ ما از شرکت B2B برای جمع آوری اطلاعات 5000 شرکت از سراسر جهان در رابطه با درک مشکلات امنیتی کمک گرفتیم. از این جمع آوری یافته های زیر را بدست آوردیم:
• 46% از حوادث سایبری در سال گذشته ناشی از بی آگاهی کارمندانی بوده است که به صورت کاملا اتفاقی و ناخواسته امنیت سایبری را به خطر انداخته بودند؛
• در بین شرکت هایی که تحت تاثیر نرم افزارهای مخرب قرار گرفتند، 53% از آن ها گزارش کرده اند که آلودگی بدون وجود کارمندان بی توجه هرگز رخ نمی داد و 36% از آن ها مقصر را مهندسی اجتماعی می دانستند که کارمندان را مجبور به اقدام کارهای ناخواسته می کردند؛
• حملات هدفمند شامل فیشینگ و مهندسی اجتماعی در 28% از موارد موفقیت آمیز بود؛
• در 40% از موارد، کارمندان سعی بر پنهان نگه داشتن حمله داشتند و با این کار آسیب شدیدتری را به سازمان و کل مجموعه زدند؛
• تقریبا نیمی از پاسخ دهندگان در مورد اینکه کارمندان می توانند به صورت اتفاقی اطلاعات شرکت را از طریق دستگاه های تلفن همراه خود به بیرون از شرکت درز دهند و باعث افشای آن ها شود، ابراز نگرانی کردند.
نتیجه گیری
• جلساتی ویژه را برای کارمندان خود در رابطه با موضوعات امنیتی و آموزش در این رابطه اختصاص دهید.
• از یک نرم افزار امنیتی برای شبکه ی کسب و کار خود استفاده کنید تا بتواند سیستم ها را در برابر آلودگی ها حفظ کند.