Un o brif bryderon cwmnïau fu amddiffyn rhag bygythiadau digidol. A hyd yn oed wrth fabwysiadu cyfres o fesurau, cymwysiadau ac atebion arloesol i atal ymyrraethau a dwyn data, mae'r mater yn dibynnu nid yn unig ar dechnolegau uwch ond hefyd ar ymddygiad dynol. Mae hyn yn ôl yr arbenigwr seiberddiogelwch Leonardo Baiardi o dataRain, sy'n tynnu sylw at y ffaith bod 74% o seiberymosodiadau yn cael eu hachosi gan ffactorau dynol. Mae'r swyddog gweithredol yn tynnu sylw at sut y gall hyfforddiant digonol i weithwyr fod yn hanfodol ar gyfer strategaeth ddiogelwch effeithiol.
Mae Baiardi yn ystyried mai'r bod dynol yw'r ddolen wannaf wrth ddelio â risgiau seiber mewn amgylchedd corfforaethol. "Mae angen i bawb yn y cwmni ddeall eu bod yn gyfrifol am ddiogelwch data, a dim ond trwy hyfforddiant, atebolrwydd a chyfathrebu rhwng adrannau y cyflawnir hyn. Mae angen i bawb fod yn ymwybodol o'r risgiau y maent yn agored iddynt."
Mae barn yr arbenigwr yn ategu'r hyn a ganfuwyd yn Adroddiad Ffactorau Dynol 2023 Proofpoint, sy'n tynnu sylw at rôl arwyddocaol ffactorau dynol mewn gwendidau diogelwch. Mae'r astudiaeth yn datgelu cynnydd deuddeg gwaith yn nifer yr ymosodiadau peirianneg gymdeithasol trwy ddyfeisiau symudol, math o ymosodiad sy'n dechrau gyda negeseuon sy'n ymddangos yn ddiniwed, gan greu perthnasoedd. Mae hyn yn digwydd, yn ôl Baiardi, oherwydd gellir trin ymddygiad dynol. "Fel y dywedodd yr haciwr chwedlonol Kevin Mitnick, y meddwl dynol yw'r ased hawsaf i'w hacio. Wedi'r cyfan, mae gan fodau dynol haen emosiynol sy'n agored iawn i ddylanwad allanol, a all arwain at gamau gweithredu di-hid fel clicio ar ddolenni maleisus neu rannu gwybodaeth sensitif," meddai.
Mae citiau gwe-rwydo a gynlluniwyd i osgoi dilysu aml-ffactor (MFA), ac ymosodiadau cwmwl, lle mae tua 94% o ddefnyddwyr yn cael eu targedu bob mis, hefyd ymhlith y bygythiadau a gofnodwyd amlaf yn yr adroddiad.
Camgymeriadau mwyaf cyffredin
Ymhlith y camgymeriadau mwyaf cyffredin sy'n arwain at dorri diogelwch, mae Baiardi yn rhestru: peidio â gwirio dilysrwydd negeseuon e-bost; gadael cyfrifiaduron heb eu cloi; defnyddio rhwydweithiau Wi-Fi cyhoeddus i gael mynediad at wybodaeth gorfforaethol; ac oedi diweddariadau meddalwedd.
“Gall yr ymddygiadau hyn agor drysau ar gyfer ymyrraethau a pheryglu data,” eglura. Er mwyn osgoi syrthio i sgamiau, mae'r arbenigwr yn argymell osgoi clicio ar ddolenni amheus. Felly, mae'n awgrymu gwirio'r anfonwr, parth yr e-bost, a brys y neges. “Os oes amheuon o hyd, awgrym yw gadael pwyntydd y llygoden dros y ddolen heb glicio, gan ganiatáu ichi weld yr URL cyflawn. Os yw'n edrych yn amheus, mae'n debyg ei fod yn faleisus,” mae'n cynghori.
Gwe-rwydo
Mae gwe-rwydo yn un o'r bygythiadau seiber mwyaf, gan ddefnyddio e-bost corfforaethol fel fector ymosodiad. Er mwyn amddiffyn yn ei erbyn, mae Baiardi yn awgrymu dull haenog: ymwybyddiaeth a hyfforddiant i weithwyr, yn ogystal â mesurau technegol cadarn.
Mae cadw meddalwedd a systemau gweithredu yn gyfredol yn hanfodol i leihau gwendidau. “Mae gwendidau newydd yn dod i’r amlwg bob dydd. Y ffordd symlaf o leihau risgiau yw trwy gadw systemau’n gyfredol. Mewn amgylcheddau hollbwysig i’r genhadaeth, lle nad yw diweddariadau cyson yn bosibl, mae angen strategaeth fwy cadarn.”
Mae'n rhoi enghraifft o'r byd go iawn o sut mae hyfforddiant effeithiol yn helpu i atal ymosodiadau. "Ar ôl gweithredu efelychiadau a hyfforddiant gwe-rwydo, gwelsom gynnydd sylweddol yn nifer yr adroddiadau am ymdrechion gwe-rwydo gan weithwyr, gan ddangos synnwyr beirniadol mwy mireinio yn wyneb bygythiadau."
Er mwyn mesur effeithiolrwydd hyfforddiant, mae Baiardi yn awgrymu diffinio cwmpas clir a chynnal efelychiadau cyfnodol gyda metrigau wedi'u diffinio ymlaen llaw. "Mae angen mesur maint ac ansawdd ymatebion gweithwyr i fygythiadau posibl."
Mae'r swyddog gweithredol yn dyfynnu adroddiad gan y cwmni addysg seiberddiogelwch Knowbe4, sy'n dangos bod Brasil ar ei hôl hi o gymharu â gwledydd fel Colombia, Chile, Ecwador, a Pheriw. Mae arolwg 2024 yn tynnu sylw at y mater o weithwyr yn deall pwysigrwydd seiberddiogelwch, ond heb ddeall yn iawn sut mae bygythiadau'n gweithredu ac yn gweithredu. Felly, mae'n pwysleisio pwysigrwydd diwylliant sefydliadol wrth hyrwyddo arferion diogel: "Heb raglen diwylliant seiberddiogelwch sydd wedi'i gweithredu'n dda, mae'n amhosibl mesur lefel yr aeddfedrwydd sydd gan gwmni yn yr agwedd hon."
Mae'r arbenigwr hefyd yn gyfrifol am arwain y ddarpariaeth o gynigion seiberddiogelwch a hyrwyddir gan dataRain, sy'n darparu atebion cadarn a chyflym i'w gweithredu fel Diogelwch E-bost, Asesiadau Cydymffurfiaeth a Bregusrwydd, Diogelwch Terfynbwynt, a Llywodraethu Cwmwl. “Mae seiberddiogelwch yn her barhaus, ac mae pobl yn hanfodol i sicrhau diogelwch gwybodaeth a chyfanrwydd systemau. Mae buddsoddi mewn hyfforddiant ac ymwybyddiaeth yn fuddsoddi yn niogelwch y sefydliad cyfan. Ac mae ein holl ddarpariaethau yn cyd-fynd â throsglwyddo gwybodaeth, sy'n ein galluogi i gynyddu ymwybyddiaeth y cleient o fygythiadau,” mae'n dod i'r casgliad.
