565
Κάλλιον το προλαμβάνειν ή το θεραπεύειν.ΙΠΠΟΚΡΑΤΗΣ, 460-370 π.Χ
Ο ανθρώπινος παράγοντας (Human Factor) εξακολουθεί να είναι ο πιο σημαντικός παράγοντας κινδύνου όσον αφορά την ασφάλεια στον κυβερνοχώρο. Σύμφωνα με μελέτη της Kaspersky, το 52% των επιχειρήσεων αναφέρουν ότι οι εργαζόμενοι τους είναι η μεγαλύτερη αδυναμία στον τομέα της ασφάλειας της πληροφορικής, με τις απρόσεκτες και ακούσιες ενέργειές τους να θέτουν σε κίνδυνο την ασφάλεια στον κυβερνοχώρο. Σύμφωνα με διάφορες άλλες μελέτες, το ανθρώπινο σφάλμα ευθύνεται για την πλειονότητα των παραβιάσεων δεδομένων, από 60% έως και 90%.
Στην πλειονότητα των περιπτώσεων, δεν είναι σκόπιμη η ευθύνη, αλλά η έλλειψη εκπαίδευσης και επιμέλειας. (Φυσικά, θα υπάρχουν πάντα κακόβουλα άτομα, αλλά αυτή είναι μια εντελώς άλλη κατάσταση). Γι’ αυτό οι οργανισμοί πρέπει να εντάξουν την εκπαίδευση ασφαλείας στις κανονικές τους δραστηριότητες και να δημιουργήσουν μια κουλτούρα συνεχούς εκπαίδευσης.
Αποτελούν οι εργαζόμενοι απειλή;
Μελέτη του 2018 από εταιρεία διαχείρισης κινδύνων διαπίστωσε ότι το ανθρώπινο σφάλμα αντιπροσώπευε το 88% των περιστατικών ασφαλείας στο Ηνωμένο Βασίλειο. Άλλη έρευνα του το 2020 ανέφερε ότι το 60% των παραβιάσεων δεδομένων προκλήθηκαν ακούσια από ανθρώπους. Ενώ οι αριθμοί ποικίλλουν από έρευνα σε έρευνα, η γενική συναίνεση είναι ότι το ανθρώπινο σφάλμα ευθύνεται για πάρα πολλά περιστατικά στον κυβερνοχώρο. Μια πρόσφατη έκθεση του Ινστιτούτου Ponemon διαπίστωσε ότι ο αριθμός των συμβάντων στον Κυβερνοασφάλεια που προκαλούνται από εσωτερικούς χρήστες έχει αυξηθεί κατά 47% από το 2018. Το πρόβλημα επιδεινώνεται, αντί να καλυτερεύει.
Λίγα λόγια για το… έργο:
Οι δράστες χρησιμοποιούν την δυνατότητα των εταιρειών-παρόχων κινητής τηλεφωνίας για αντικατάσταση της κάρτας SIM στην περίπτωση απώλειας, καταστροφής ή ακόμη και αντικατάστασης λόγω μεγέθους της (nano-sim), πράγμα σύνηθες στην μετάβαση από ένα παλιό σε ένα τελευταίας τεχνολογίας κινητό. Παρουσιάζονται, λοιπόν, σε ένα κατάστημα κινητής τηλεφωνίας του παρόχου σας και πλαστοπροσωπώντας σας (συνήθως με ψεύτικη εξουσιοδότηση ή πλαστή ταυτότητα) ζητούν μια νέα κάρτα SIM, την οποία τοποθετούν σε ένα δικό τους τηλέφωνο.
Τα σφάλματα αποτελούν την πλειοψηφία. Τα πιο συνηθισμένα ανθρώπινα λάθη περιλαμβάνουν κλικ σε συνδέσμους που αποστέλλονται μέσω email, άνοιγμα άγνωστων συνημμένων και εισαγωγή προσωπικών ή εμπιστευτικών πληροφοριών σε μια φιλική και οικεία ιστοσελίδα όπου ο χρήστης έχει λογαριασμό. Αυτά τα σφάλματα οφείλονται στην κοινωνική μηχανική (social engineering) – την τεχνική με την οποία οι χάκερ εκμεταλλεύονται την τυπική ανθρώπινη συμπεριφορά.
Η πανδημία και η απομακρυσμένη εργασία πολλαπλασιάζουν τον κίνδυνο
Όπως έχω επισημάνει και στο άρθρο μου «Ο Ανθρώπινος Παράγοντας στην Ασφάλεια στον Κυβερνοχώρο την εποχή του COVID-19» , το οποίο δημοσιεύτηκε από το Διεθνές Ινστιτούτο για την Κυβερνοασφάλεια (www.csii.gr), η στροφή προς την τηλεργασία, λόγω του COVID-19, έθεσε νέες προκλήσεις ασφάλειας για τις επιχειρήσεις και οι παραδοσιακές λύσεις ασφάλειας δεν καταφέρνουν να περιορίσουν το πρόβλημα της εσωτερικής απειλής και της τυχαίας απώλειας δεδομένων. Σύμφωνα με πρόσφατη μελέτη της Barracuda Networks, το 46% των ερωτηθέντων είχαν βιώσει τουλάχιστον ένα περιστατικό ασφαλείας από τη στιγμή που υπήρχαν περιορισμοί κλειδώματος, ενώ το 51% σημείωσε αύξηση στις επιθέσεις ηλεκτρονικού “ψαρέματος”, μέσω email (email phishing attacks).
Πολλοί οργανισμοί έσπευσαν σε μια στρατηγική «εργασία από το σπίτι», κυρίως για τους αρχάριους/ανεκπαίδευτους εργαζόμενους, που σημαίνει ότι σε ορισμένα μέτρα ασφαλείας ενδέχεται να είχε δοθεί λιγότερη προσοχή ή είχαν παραλειφθεί πλήρως. Ο άλλος βασικός παράγοντας έρχεται και πάλι με την ανθρώπινη συμπεριφορά. Η έρευνα από την Tessian αποκάλυψε ότι το 52% των υπαλλήλων πιστεύουν ότι μπορούν να ξεφύγουν από τον έλεγχο της «επικίνδυνης συμπεριφοράς» όταν εργάζονται από το σπίτι, συμπεριλαμβανομένης της κοινοποίησης εμπιστευτικών αρχείων μέσω email αντί για πιο αξιόπιστες μεθόδους, ενώ χρησιμοποιούν συχνά τις δικές τους συσκευές και δίκτυα, γεγονός που προσθέτει περαιτέρω επιπλοκές.
Η «υγιεινή» της ασφαλείας και η εκπαίδευση στον κυβερνοχώρο
Οι εργαζόμενοι δεν μπορούν να θεωρηθούν αποκλειστικά υπεύθυνοι για αυτά τα σφάλματα. Η ευθύνη βαραίνει εξίσου τους εργοδότες τους. Γεγονός αποτελεί ότι οι περισσότερες εταιρείες δεν διαθέτουν αρκετά χρήματα στην εκπαίδευση όταν κάνουν τεχνολογικές επενδύσεις. Οι οργανισμοί ξοδεύουν συνήθως το 85% του προϋπολογισμού τους για την τεχνολογία και μόνο το 5% για την εκπαίδευση και την κατάρτιση για αυτήν την τεχνολογία. Με τέτοια στατιστικά στοιχεία, είναι περίεργο το γεγονός ότι δεν εμφανίζονται περισσότερα ανθρώπινα λάθη.
Οι εταιρείες ξοδεύουν όλο και περισσότερα χρηματικά ποσά για τη διατήρηση της ασφάλειας πληροφορικής της επιχείρησής τους, εφαρμόζοντας εργαλεία όπως έλεγχο ταυτότητας πολλαπλών παραγόντων και προηγμένα τείχη προστασίας (firewalls), αλλά μόνο τα εργαλεία δεν αρκούν για να εγγυηθούν τη βέλτιστη ασφάλεια στον κυβερνοχώρο. Η εκπαίδευση σε θέματα ασφάλειας που απλά αλλά αποτελεσματικά υπογραμμίζει τη σημασία των ενεργειών των εργαζομένων, θα δημιουργήσει μεγαλύτερη ευαισθητοποίηση και θα διασφαλίσει ότι ο οργανισμός μπορεί να απολαύσει την ευελιξία ενός σύγχρονου ψηφιακού χώρου εργασίας ενώ ταυτόχρονα παραμένει ασφαλής.
Στο πλαίσιο αυτής της αλλαγής, χρειάζεται περισσότερος χρόνος και προσπάθεια για την «υγιεινή» της ασφάλειας στον κυβερνοχώρο. Η «υγιεινή» του κυβερνοχώρου είναι ένας συλλογικός όρος για τις πρακτικές και τα βήματα που χρησιμοποιούν οι χρήστες υπολογιστών και άλλων συσκευών για τη διατήρηση της υγείας του συστήματος και τη βελτίωση της ασφάλειας στο διαδίκτυο. Οι παραβιάσεις δεν είναι το μόνο πράγμα που μπορεί να αντιμετωπίσει η «καλή υγιεινή» στον κυβερνοχώρο. Μπορεί επίσης να βοηθήσει στην πρόληψη της απώλειας δεδομένων, των εσφαλμένων δεδομένων και άλλων.
Οι εταιρείες πρέπει να εφαρμόσουν μια πολιτική «υγιεινής» στον κυβερνοχώρο που να περιλαμβάνει μια συγκεκριμένη συνιστώσα κατάρτισης και εκπαίδευσης, διότι αυτά δεν είναι πράγματα που μπορούν να θεωρηθούν δεδομένα που γνωρίζουν οι εργαζόμενοι. Η ασφάλεια είναι πλέον μέρος της δουλειάς του καθενός και η εκπαίδευση πρέπει να γίνεται ώστε να καταστεί αυτό το γεγονός σαφές.
Δημιουργία κουλτούρας συνεχούς εκπαίδευσης
Οι απειλές για την ασφάλεια εξελίσσονται συνεχώς και αλλάζουν. Κατά συνέπεια, το ίδιο πρέπει να γίνεται και για την εκπαίδευση. Η εκπαίδευση δεν είναι μια εφάπαξ ή άνευ σημασίας ανάγκη ή απλώς μια δραστηριότητα προσαρμογής σε ένα εργασιακό περιβάλλον. Πρέπει να ενσωματωθεί στις καθημερινές και εβδομαδιαίες λειτουργίες του οργανισμού και ο καλύτερος τρόπος είναι με την εκπαίδευση εύκολα προσβάσιμη στους υπαλλήλους, όποτε και όπου κι αν βρίσκονται.
Τα συστήματα διαχείρισης εκμάθησης δημιουργήθηκαν για να διευκολύνουν αυτό το είδος εκπαίδευσης. Με εκπαιδευτικές ενότητες που βρίσκονται σε ένα κεντρικό αποθηκευτικό σημείο, εύκολα προσβάσιμο, γίνεται πιο εύκολη η εκπαίδευση των υπαλλήλων σχετικά με τους κινδύνους, τα εργαλεία και τις διαδικασίες που απαιτούνται για την ασφάλεια στον κυβερνοχώρο. Αυτό τους δίνει τη δυνατότητα να βρίσκονται σε εγρήγορση για την πρόληψη των κυβερνοεπιθέσεων και των παραβιάσεων δεδομένων.
Ένα σύστημα διαχείρισης εκμάθησης, μπορεί επίσης να μοιράζει εύκολα σημαντικές ενημερώσεις ασφαλείας (κανονισμούς, ενημερώσεις λογισμικού κ.α.), καθώς και πληροφορίες, σε όλα τα τμήματα του οργανισμού και να τις διαθέτει ανά πάσα στιγμή στους υπαλλήλους του. Μπορεί επίσης να παρέχει εκπαίδευση ειδικά για τον ρόλο, την τοποθεσία ή την εξειδίκευση ενός υπαλλήλου.
Εκπαίδευση για ένα πιο ασφαλές μέλλον
Δεν είναι απολύτως δίκαιο να επαναλαμβάνουμε την άποψη ότι οι εργαζόμενοι αποτελούν τη μεγαλύτερη ευθύνη ασφάλειας ενός οργανισμού όταν αφιερώνεται τόσο λίγος χρόνος και πόροι για την εκπαίδευσή τους σε νέες τεχνολογίες και στη βασική «υγιεινή» στον κυβερνοχώρο. Αυτό είναι ιδιαίτερα σημαντικό με την έκρηξη της απομακρυσμένης εργασίας και τον αυξημένο κίνδυνο που αντιπροσωπεύει αυτό το «νέο φαινόμενο». Δεδομένου του όγκου των συμβάντων στον κυβερνοχώρο που προκαλούνται από ανθρώπινο σφάλμα, οι εργοδότες πρέπει να επανεξετάσουν την εκπαιδευτική τους προσέγγιση για την ασφάλεια ώστε να βοηθήσουν τους υπαλλήλους τους να εφαρμόσουν σταθερά μέτρα ασφαλείας. Πρέπει επίσης να διασφαλίσουν ότι αυτή είναι μια συνεχής προσπάθεια ενσωματωμένη στις καθημερινές λειτουργίες.