ความปลอดภัยทางไซเบอร์: ปัจจัยมนุษย์มีส่วนรับผิดชอบต่อการโจมตี 74%

หนึ่งในความกังวลหลักของบริษัทคือการป้องกันภัยคุกคามทางดิจิทัล และแม้กระทั่งการนําชุดมาตรการ แอปพลิเคชัน และโซลูชันที่เป็นนวัตกรรมมาใช้เพื่อป้องกันการบุกรุกและการโจรกรรมข้อมูล ปัญหาดังกล่าวไม่เพียงแต่ขึ้นอยู่กับเทคโนโลยีขั้นสูงเท่านั้น แต่ยังรวมถึงพฤติกรรมของมนุษย์ด้วย การค้นพบคือผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ dataRain, Leonardo Baiardi ซึ่งชี้ให้เห็นว่าการโจมตีทางไซเบอร์ 74% เกิดจากปัจจัยมนุษย์ ผู้บริหารเน้นย้ําว่าการฝึกอบรมพนักงานอย่างเหมาะสมสามารถจําเป็นสําหรับกลยุทธ์ความปลอดภัยที่มีประสิทธิภาพได้อย่างไร 

Baiardi ถือว่ามนุษย์เป็นจุดอ่อนที่สุดเมื่อต้องรับมือกับความเสี่ยงทางไซเบอร์ในสภาพแวดล้อมขององค์กร “ทุกคนในบริษัทต้องเข้าใจว่าพวกเขามีความรับผิดชอบต่อความปลอดภัยของข้อมูลและสิ่งนี้จะเกิดขึ้นได้ด้วยการฝึกอบรมความรับผิดชอบและการสื่อสารระหว่างพื้นที่เท่านั้น ทุกคนต้องตระหนักถึงความเสี่ยงที่พวกเขาถูกเปิดเผย” 

ความคิดเห็นของผู้เชี่ยวชาญช่วยเสริมสิ่งที่พบในรายงานปัจจัยมนุษย์ปี 2023 ของ Proofpoint ซึ่งเน้นย้ําถึงบทบาทที่สําคัญของปัจจัยมนุษย์ในช่องโหว่ด้านความปลอดภัยการศึกษาเผยให้เห็นปริมาณการโจมตีทางวิศวกรรมสังคมผ่านอุปกรณ์มือถือเพิ่มขึ้นสิบสองเท่าซึ่งเป็นประเภทของการโจมตีที่เริ่มต้นด้วยข้อความที่ดูเหมือนไม่เป็นอันตรายสร้างความสัมพันธ์ที่เกิดขึ้นตาม Baiardi เนื่องจากพฤติกรรมของมนุษย์สามารถถูกจัดการได้ "Ja กล่าวแฮ็กเกอร์ในตํานาน Kevin Mitnick ว่าจิตใจของมนุษย์เป็นทรัพย์สินที่ง่ายที่สุดในการแฮ็ก

ชุดฟิชชิ่งสําหรับการเลี่ยงผ่านการรับรองความถูกต้องแบบหลายปัจจัย (MFA) และการโจมตีบนคลาวด์ซึ่งมีผู้ใช้ประมาณ 94% ตกเป็นเป้าหมายทุกเดือน ก็เป็นหนึ่งในภัยคุกคามที่มีการรายงานมากที่สุดเช่นกัน

ข้อผิดพลาดที่พบบ่อยที่สุด

ในบรรดาข้อผิดพลาดที่พบบ่อยที่สุดที่นําไปสู่การละเมิดความปลอดภัย Baiardi แสดงรายการ: การไม่ตรวจสอบความถูกต้องของอีเมล ปลดล็อคคอมพิวเตอร์ทิ้งไว้ การใช้เครือข่าย Wi-Fi สาธารณะเพื่อเข้าถึงข้อมูลองค์กร และเลื่อนการอัปเดตซอฟต์แวร์ออกไป 

“พฤติกรรมเหล่านี้สามารถเปิดประตูสู่การบุกรุกและการประนีประนอมของข้อมูล”อธิบาย เพื่อไม่ให้ตกอยู่ในการหลอกลวงผู้เชี่ยวชาญแนะนําให้หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยดังนั้นจึงบ่งบอกถึงการตรวจสอบผู้ส่งโดเมนของอีเมลและความเร่งด่วนของข้อความ“ถ้ายังมีข้อสงสัยเคล็ดลับคือการปล่อยให้ตัวชี้เมาส์บนลิงก์โดยไม่ต้องคลิกทําให้คุณสามารถดู URL เต็มรูปแบบได้ หากดูน่าสงสัยอาจเป็นอันตราย”เขารายงาน

ฟิชชิ่ง

ฟิชชิ่งเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุด โดยใช้อีเมลขององค์กรเป็นพาหะในการโจมตี เพื่อปกป้องตัวคุณเอง Baiardi แนะนําแนวทางแบบเป็นชั้น: การรับรู้และการฝึกอบรมสําหรับพนักงาน ตลอดจนมาตรการทางเทคนิคที่แข็งแกร่ง

การรักษาซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยอยู่เสมอเป็นสิ่งสําคัญอย่างยิ่งในการลดช่องโหว่“ช่องโหว่ใหม่เกิดขึ้นทุกวัน วิธีที่ง่ายที่สุดในการลดความเสี่ยงคือการทําให้ระบบทันสมัยอยู่เสมอในสภาพแวดล้อมที่มีความสําคัญต่อภารกิจซึ่งไม่สามารถดําเนินการอัปเดตอย่างต่อเนื่องได้จําเป็นต้องมีกลยุทธ์" ที่แข็งแกร่งยิ่งขึ้น

เขาให้ตัวอย่างที่แท้จริงของการฝึกอบรมที่มีประสิทธิภาพช่วยป้องกันการโจมตี “หลังจากใช้การจําลองฟิชชิ่งและการฝึกอบรมเราได้เห็นการเพิ่มขึ้นอย่างมีนัยสําคัญในรายงานของความพยายามฟิชชิ่งโดยพนักงานแสดงให้เห็นถึงความรู้สึกที่สําคัญที่แม่นยํายิ่งขึ้นของภัยคุกคาม."

เพื่อวัดประสิทธิผลของการฝึกอบรม Baiardi แนะนําให้กําหนดขอบเขตที่ชัดเจนและดําเนินการจําลองเป็นระยะด้วยตัวชี้วัดที่กําหนดไว้ล่วงหน้า "คุณต้องวัดปริมาณและคุณภาพของการตอบสนองของพนักงานต่อภัยคุกคามที่เป็นไปได้"

ผู้บริหารกล่าวถึงว่าตามรายงานของ Knowbe4 บริษัท การศึกษาด้านความปลอดภัยทางไซเบอร์บราซิลอยู่เบื้องหลังประเทศต่างๆเช่นโคลอมเบียชิลีเอกวาดอร์และเปรู การสํารวจในปี 2024 ชี้ให้เห็นถึงปัญหาของพนักงานที่เข้าใจถึงความสําคัญของความปลอดภัยทางไซเบอร์ แต่ไม่เข้าใจ ในความเป็นจริงว่าภัยคุกคามทํางานและทํางานอย่างไร ดังนั้นจึงเน้นย้ําถึงความสําคัญของวัฒนธรรมองค์กรในการส่งเสริมแนวทางปฏิบัติที่ปลอดภัย: "หากไม่มีโปรแกรมวัฒนธรรมความปลอดภัยทางไซเบอร์ที่ดําเนินการอย่างดีก็เป็นไปไม่ได้ที่จะวัดระดับวุฒิภาวะที่บริษัทมีในเรื่องนี้" 

ผู้เชี่ยวชาญยังรับผิดชอบในการดําเนินการส่งมอบข้อเสนอความปลอดภัยทางไซเบอร์ที่ได้รับการส่งเสริมโดย dataRain ซึ่งนําเสนอโซลูชันที่แข็งแกร่งและรวดเร็วในการดําเนินการ เช่น ความปลอดภัยของอีเมล, การปฏิบัติตามข้อกําหนดและการประเมินช่องโหว่, ความปลอดภัยของจุดสิ้นสุดและการกํากับดูแลระบบคลาวด์ "ความปลอดภัยทางไซเบอร์เป็นความท้าทายอย่างต่อเนื่องและผู้คนเป็นส่วนสําคัญในการสร้างความมั่นใจในการปกป้องข้อมูลและความสมบูรณ์ของระบบ การลงทุนในการฝึกอบรมและการรับรู้คือการลงทุนด้านความปลอดภัยของทั้งองค์กร