اطلاعات شرکت شما در معرض خطر است. ممکن است کارمندان خودتان در معرض تهدید بعدی یک هکتیویست بسیار ماهر یا مجرم قرار گیرند. آن‌ها چطور تجهیز شده‌اند؟ شما برای آگاهی‌رسانی امنیتی چه اقدامی انجام داده‌اید؟ چندین سال است که اکثر حملات دیجیتالی از طریق تلاش‌های فیشینگ و تلاش‌های مرتبط با آن، سعی در سوء استفاده از عامل انسانی دارند. مطابق گزارشِ دیدگاه‌های پاسخگوی حملات 42‌٪ از مهاجمان برای نفوذ از کلاهبرداری‌ فیشینگ استفاده می‌کنند و این امر نیاز به آموزش مداوم کارمندان را تقویت می‌کند. هکرها و مهاجمین مخرب، قبل از هک کردن، به دنبال فریب کاربران هستتد تا راهی برای دسترسی به یک منبع دیجیتالی به آنها بدهند. به عبارت ساده‌تر: انسان‌ها ضعیف‌ترین پیوند در دیواره‌های دفاعی امنیت سایبری هر سازمان هستند. به همین دلیل است که مردم، معمولاً اولین هدف مهاجمان سایبری‌ای که از تاکتیک‌ها و ابزار‌هایی مانند باج‌افزار، فیشینگ هدف‌دار، بدافزار و مهندسی اجتماعی استفاده می‌کنند، هستند. در این مقاله از ارائه‌دهنده‌ آموزش آگاهی‌رسانی امنیتیِ KnowBe4، نویسنده توضیح می‌دهد که چرا انسان خطری حتی بیشتر از نقص‌ها و آسیب‌پذیری‌های نرم افزاری ایجاد می‌کند. برای رخنه به یک شرکت تجاری، سوء استفاده از هزاران انسان از پیدا کردن یک آسیب‌پذیری نرم‌افزاری راحت‌تر است. همچنین سازش کردن با انسان‌ها راحت‌تر است، به ویژه اگر فاقد آموزش مناسب در اصول اولیه‌ شیوه‌‌های امنیت شبکه باشند.

چرا آموزش آگاهی‌رسانی امنیتی برای هر سازمانی مهم است؟

حتی در میان شیوع اخیر روبات‌هایی که قادر به باز کردن درها و پرش به پشت بام‌ها هستند، سازمان‌ها از انسان‌ها به عنوان منبع اصلی خود برای تجارت و تعامل با مشتریان استفاده می‌کنند. البته کارهای ساده و تکراری را می‌توان به صورت خودکار انجام داد. اما انسان‌ها همیشه در پشت هر کار خودکار و در انتهای دیگر هر تماس تلفنی، ایمیل و جلسه‌ی گپ قرار دارند. و مردم نمایانگر “عامل انسانی” در هدف‌های مورد نظر مهاجمان سایبری هستند. تنها راه دفاع در برابر چنین حملاتی، آموزش یا به تعبیر صنعتی “آموزش آگاهی‌رسانی امنیتی” و به طور مستقیم تحت نظارت آموزش امنیت سایبری قرار می‌گیرد.

آموزش آگاهی‌رسانی امنیتی به دلیل تغییر سریع محیط و همچنین لیست طولانی آسیب‌پذیری‌ها، نمی‌تواند یک رویکرد یک‌مرحله‌ای یا یک برنامه‌ “تنظیم کن و فراموش کن” باشد. در عوض، برای اطمینان از امنیت شبکه در هر سازمان، آموزش امنیت سایبری باید مکرر، به روز شده و دائما آزمایش‌شده باشد.

آموزش آگاهی‌رسانی امنیتی چیست؟

آموزش آگاهی‌رسانی امنیتی با تصدیق سازمان مبنی بر اینکه کارمندان آنها ضعیف‌ترین پیوند امنیت سایبری هستند، آغاز می‌شود. از طرفی دیگر، آنها اولین خط دفاعی در برابر حملات سایبری هستند. آموزش آگاهی‌رسانی امنیتی این درک بنیادی را که تهدیدهای سایبری قریب‌الوقوع و مداومی وجود دارند، به همه کارمندان می‌دهد و آنها را برای حملات سایبری و تهدیدهای رایج آماده می‌کند.

آموزش آگاهی‌رسانی امنیتی به طور کلی شامل آموزش‌های مکرر و آزمایش‌های مداوم و گاها تصادفی است. شایع‌ترین تهدیدات امنیتی فناوری اطلاعات (و بنابراین به روزترین آموزش امنیت سایبری) شامل موارد زیر است:

  • هرزنامه (اسپم)

امروزه اسپم محدود به ایمیل مستقیم نیست و یکی از روش‌های اصلی این حمله از طریق رسانه‌های اجتماعی است. به عنوان مثال وقتی کسی شما را به اتصال به LinkedIn دعوت می‌کند، ممکن است آن دعوت‌نامه به ایمیل شما برسد، اما اثربخشی آن به طور مستقیم به اعتماد شما به سایت‌های رسانه‌های اجتماعی مختلف مرتبط است. مجرمان سایبری حتی می‌توانند بدافزارهای سرقت رمز عبور را در یک دعوت ساده‌ LinkedIn جاسازی کنند.

  • فیشینگ

فیشینگ یک روش رایج است که به موجب آن هکرها طیف گسترده‌ای از کاربران را با ایمیل‌هایی که حقیقی به نظر می‌رسند مورد هدف قرار می‌دهند، اما در واقع آنها قصد دارند تا کاربر آموزش‌ندیده را به سمت کلیک بر روی لینک‌های خطرناک سوق دهند. احتمالاً فاش شدن نام‌های کاربری، رمزهای عبور، اطلاعات شناسایی شخصی و حتی اطلاعات مالی را در پی دارد. فیشینگ به مانند پرتاب یک شبکه‌ گسترده‌ پر از طعمه و کشیدن هر چیزی که از آن است.

  • فیشینگ هدف‌دار

در حالی که طرح‌های فیشینگ شبکه‌ گسترده‌ای را در بر می‌گیرد، فیشینگ هدف‌دار از یک رویکرد بسیار هدفمند برای حمله به افراد خاص استفاده می‌کند. بد‌نام‌ترین حمله‌ فیشینگ هدف‌دار در تاریخ اخیر روی جان پودستا، رئیس ستاد انتخاباتی آن زمان هیلاری کلینتون صورت گرفته شد. حملات فیشینگ هدف‌دار افراد بلند مرتبه را با دسترسی به دارایی‌های دیجتالی ارزشمند آنها مورد هدف قرار می‌دهد. این ایمیل معمولاً به صورت دستی ساخته ‌می‌شود و از تمام اطلاعات موجود برای اینکه ایمیل دقیقاً شبیه به یک ایمیل واقعی از طرف دوست یا همکار باشد، استفاده می‌کند.

  • بدافزار

کوتاه‌شده‌ “نرم افزارهای مخرب” است، به هر نوع نرم‌افزاری که برای آسیب رساندن به دستگاه‌‌ها طراحی‌شده است، مانند ویروس‌ها، روت‌کیت‌ها، جاسوس‌افزار‌ها، کرم‌ها و اسب‌های تروا، بدافزار می‌گویند. بدافزار پیشرفته دارای هدف و مأموریتی خاص است که به طور معمول در سازمان یا شرکت انجام می‌شود. در سال 2017، بدافزار معروف به WannaCry در سراسر جهان گسترش یافت و صدها سازمان را فلج کرد.

  • باج‌افزار

همانند بدافزار، مهاجمان از باج افزار برای اخاذی پول (یا احتمالاً منابع دیگر) از سازمان مورد هدف استفاده می‌کنند. در ژوئن سال 2017، باج‌افزار NotPetya، یک نرم افزار حسابداری رایج در اوکراین را آلوده کرد. این باج‌افزار فایل‌ها را در درایوی رمزگذاری می‌کند، 300 دلار به صورت بیت‌کوین درخواست می‌کند، برای سرقت اطلاعات کاربری در حافظه تلاش می‌کند و تلاش می‌کند تا با استفاده از اعتبار‌‌نامه‌های سرقت‌شده، در شبکه پخش شود.

  • مهندسی اجتماعی

این روش ساده‌تر از آن چیزی است که به نظر می‌رسد. اگر فیلم Catch Me If You Can را دیده‌اید، شاهد نمونه‌ بسیار مؤثری از مهندسی اجتماعی بوده‌اید. Tripwire شایع‌ترین انواع حملات مهندسی اجتماعی را در سال 2015 مورد ارزیابی قرار داد، در هسته اصلی آن، مهندسی اجتماعی هنگامی اتفاق می‌افتد که شخصی، شخص دیگری را برای دسترسی به یک منبع فریب دهد. مهندسان اجتماعی از ابزارها و منابع متنوعی برای دستیابی به منابع مورد هدف استفاده می‌کنند، اما حمله‌ مستقیم یک به یک به همان صورت باقی می‌ماند.

بهترین روش های آموزش آگاهی‌رسانی امنیتی

دو مقاله‌ی زیر مهم‌ترین شیوه‌های آموزش آگاهی‌رسانی امنیتی در شرکت‌های آمریکایی را بیان می‌کنند.

  • امنیت Wombat – آموزش آگاهی‌رسانی امنیتی: بهترین روش‌هایی که باید در نظر گرفت.
  • موسسه Infosec – مؤلفه‌های یک برنامه‌ آگاهی‌رسانی امنیتی موفق.

دو مقاله تا حدی با هم همپوشانی دارند. با این حال، هر یک استراتژی منحصر به فردی را برای ایجاد فرهنگ امنیت در سازمان ارائه می‌دهند. بهترین شیوه‌های امنیت سایبری شامل موارد زیر می‌شوند:

  1.  رعایت کلیه قوانین و مقررات محلی و فدرال
  2. موافقت و مشارکت همه در این عمل – کل سازمان، همه یا هیچ چیز
  3. ایجاد یک مبنای مورد نیاز برای ارزیابی
  4.  ایجاد یک سیستم ارتباطی بسیار واضح در مورد برنامه
  5.  ایجاد آموزشی خیره‌کننده و حداقل کمی سرگرم کننده
  6. اجرا کردن، بررسی کردن و تکرار کردن
  7. ایجاد فرهنگ تقویت و انگیزه برای هوشیاری و یادگیری مداوم

این هفت نکته ممکن است به عنوان بخشی از الگو یا نقطه‌ شروع برای توسعه‌ برنامه‌ آموزش آگاهی‌رسانی امنیتی سازمان شما استفاده شود. نیازهای فردی هر سازمانی منحصر به فرد است. با این حال، معمولاً اهداف برنامه‌های آموزش آگاهی امنیتی کاملاً مشابه هستند.

اهداف آموزش آگاهی‌رسانی امنیتی

دلایل توسعه‌ برنامه‌ آگاهی‌رسانی امنیتی برای کارمندان، به بهترین وجه درک می‌شوند: امنیت. اگر سازمان شما داده‌های حساسی را نگه می‌دارد یا به آنها دسترسی دارد، به این معنی است که امنیت آن داده‌ها مهم‌ترین عامل در موفقیت و آینده‌ سازمان شما است و از آنجا که انسان‌ها متداول‌ترین هدف هکرها هستند، آموزش درست برای شناسایی تهدیدات وارده شده به سازمان برای کارمندان ضروری است. این دلیلی برای ایجاد، رشد و حفظ یک برنامه آموزش آگاهی‌رسانی امنیتی مستحکم برای کارمندان شما است.

اهداف برای تأیید و تقویت دلیلی، برای ایجاد برنامه مفید خواهند بود. در این مرحله است که اهداف شما برای برنامه‌ سازمانیتان منحصر به سازمان خودتان خواهد شد. هدف نهایی باید از ۱۰۰٪ تهدیداتی که برای داده‌های الکترونیکی سازمان و شبکه رایانه‌ای شما وجود دارد، آگاه باشد. اما بالاخره با این هدفی که همیشه در ذهن دارید باید از یک جایی شروع کنید.

در ابتدا، اهداف باید ساده باشند: ایجاد، تحویل و ارزیابی. با گذشت زمان، اهداف سه ماهه و سالانه‌ این برنامه به طور فزاینده‌ای با فراوانی و شدت حوادثی که در سازمان رخ می‌دهد، گره خواهند خورد. هکرهای سایبری مرتباً به دنبال روش‌های جدیدی برای سوء استفاده از نقاط ضعف هر سازمان هستند و برنامه‌ آگاهی‌رسانی امنیتی شما اغلب نسبت به آخرین سوء استفاده در صنعت یا فضای بازار شما واکنش نشان خواهد داد.

چگونه یک برنامه‌ آموزشی آگاهی‌رسانی امنیتی را آغاز کنیم؟

مراحل زیر می توانند به عنوان یک نقشه راه کلی برای شروع برنامه‌ آموزش آگاهی امنیتی مخصوص سازمان شما بکار گرفته شوند.

  1. الزامات امنیتی سازمان خود را همانطور که در مورد کارمندان اعمال می شود، مشخص کنید.
  2. بهترین روش برای ارائه‌ آموزش را تعیین کنید، به عنوان مثال، به صورت حضوری، ویدئویی، آنلاین و …
  3. برای محیط آموزشی مورد نظر محتوای مناسب ایجاد کنید. این مطالب، برنامه‌ی آموزشی‌ای است که توسط یک متخصص امنیتی معتبر در داخل سازمان تحویل داده می‌شود. این مطالب می‌توانند از پوسترهای آموزشی آگاهی‌رسانی امنیتی رایگان، نرم افزار تست ایمیل فیشینگ که به آموزش و ارزیابی کارمندان می‌پردازد گرفته تا ارائه‌ها‌ی آموزشی و آزمایش در محل، متفاوت باشند.
  4. برای کلیه کارمندان با توجه به شرایط، زمان‌بندی، تحویل، روش و نتایج مورد انتظار یک سری انتظارات تعیین کنید.
  5. جلسه‌های آموزشی چندگانه را با توجه به در دسترس بودن معمول کارکنان سازمان برنامه‌ریزی کنید، با این درک که هر کارمند اولویت‌های روزانه‌ مختلفی دارد و اینکه شرایط اضطراری در زندگی افراد اتفاق می‌افتد.
  6. آموزش را مطابق با انتظارات تعیین شده از قبل و هنگام برنامه‌ریزی بیان کنید.
  7. تا جایی که ممکن است در مورد خود آموزش از کارمندان بازخورد بگیرید.
  8. برای تعیین میزان اثربخشی این آموزش، از همه‌ کارکنان، ارزیابی‌های بعد از آموزش صورت گیرد.
  9. برای اثربخشی، آموزش و محیط آموزشی را مجدداْ ارزیابی کنید و متناسب با آن سازگار شوید. آموزش امنیتی یک رویکرد “تنظیم کن و فراموش کن” نیست. هم برنامه‌ آموزشی و هم کارکنان باید مرتباْ و به طور منظم به روز شوند.
  10. برای تعیین تأثیر کاربردی روی سلامت امنیتی سازمان، اجرای آموزش را با فراوانی حوادث امنیتی قرین کنید و بین آنها همبستگی ایجاد کنید.

برای کارکنان مهم است که برای چنین الزام و نیازی تجربه‌ مثبت داشته باشند. در غیر این صورت، آموزش به جای یک وسیله حیاتی برای محافظت از برند و سلامت سازمان، یک شر ضروری تلقی خواهد شد.

اثربخشی و ROI آموزش آگاهی‌رسانی امنیتی

وانمود کنید که کلیه پروتکل‌های امنیتی داده‌های سازمان برای عموم آزاد است زیرا افرادی که دسترسی مستقیم به داده‌ها دارند، به درستی در زمینه‌ امنیت داده‌ها آموزش ندیده‌اند. اگر کارمندان شما ندانند که چگونه خطرات امنیتی را ارزیابی کرده و تله‌های بالقوه‌ی خطرناک را تعیین کنند، شرکت شما ممکن است با یک مشکل جدی مواجه شود.

به همین دلیل پیش‌بینی یا تولید یک ROI قابل اطمینان در چنین آموزشی بسیار دشوار است. این اشتباه است که فرض کنیم فقط به خاطر اینکه آموزش وجود دارد سازمان به خطر نمی‌‌افتد و نخواهد افتاد، مگر اینکه سازمان داده‌های واقعی برای پشتیبانی کردن از چنین ادعایی داشته باشد. وقتی که آموزش آگاهی‌رسانی امنیتی اجرا و ارزیابی شود، با گذشت زمان، می‌توان بین آموزش موثر و کاهش حوادث مرتبط با امنیت ارتباط برقرار کرد.

ایوان دیموف از موسسه‌ی Infosec این آمار بینشانه را در مورد تاثیر آموزش آگاهی‌رسانی امنیتی از منابع مختلف جمع‌آوری کرده است:

  • 50٪ از کاربران اینترنت روزانه حداقل یک ایمیل فیشینگ دریافت می‌کنند، 97٪ از مردم نمی‌توانند ایمیل فیشینگ را شناسایی کنند، و در واقع 4٪ از مردم روی آنها کلیک می‌کنند.
  • 42٪ از پاسخ‌دهندگان به بررسی جرائم سایبری در ایالات متحده اظهار داشتند که آموزش آگاهی‌رسانی امنیتی کارمندان جدید به جلوگیری از حملات کمک کرده‌است.
  • در همین گزارش نشان داده شد که شرکت‌هایی که آموزش آگاهی‌رسانی امنیتی برای کارکنان ندارند، 322٪ بیشتر از سایرین ضرر مالی داشتند.

بر خلاف ROI، اثربخشی آموزش آگاهی‌رسانی امنیتی می‌تواند به روش مستقیم رو به جلو پیش‌بینی شود. از نرم‌افزار آموزش آگاهی‌رسانی امنیتی که آزمایشاتی مانند Wombat را ارائه می‌دهد، استفاده کنید. یک جلسه‌ آموزشی 15 دقیقه‌ای ماهانه می‌تواند ایمیل‌های فیشینگ شبیه‌سازی‌شده‌ای که در طول ماه رخ می‌دهند را پیگیری کند. نرم افزار تست فیشینگ باید گزارش‌های عملکردی ارائه دهد تا شما بتوانید با پیشرفت آموزش، پیشرفت‌های مربوط به رفتار کارکنان را اندازه‌گیری کنید.