Şirkətləri narahat edən əsas məsələlərdən biri rəqəmsal təhlükələrdən qorunmaq olub. Hətta müdaxilələrin və məlumatların oğurlanmasının qarşısını almaq üçün bir sıra tədbirlər, tətbiqlər və innovativ həllər qəbul etməklə, məsələ təkcə qabaqcıl texnologiyalardan deyil, həm də insan davranışından asılıdır. Bunu dataRain-dən olan kibertəhlükəsizlik üzrə ekspert Leonardo Baiardi deyir ki, kiberhücumların 74%-i insan faktorlarından qaynaqlanır. Rəhbər işçinin adekvat təliminin effektiv təhlükəsizlik strategiyası üçün necə vacib ola biləcəyini vurğulayır.
Baiardi korporativ mühitdə kiber risklərlə mübarizə apararkən insanı ən zəif halqa hesab edir. "Şirkətdə hər kəs məlumatların təhlükəsizliyinə cavabdeh olduqlarını başa düşməlidir və bu, yalnız təlim, hesabatlılıq və departamentlər arasında ünsiyyət vasitəsilə əldə edilir. Hər kəs məruz qaldıqları risklərdən xəbərdar olmalıdır."
Ekspertin rəyi təhlükəsizlik zəifliklərində insan faktorlarının mühüm rolunu vurğulayan Proofpoint-in 2023-cü il İnsan Faktorları Hesabatında tapılanları tamamlayır. Tədqiqat mobil qurğular vasitəsilə sosial mühəndislik hücumlarının həcminin on iki dəfə artdığını ortaya qoyur, bu hücum növü, zahirən zərərsiz görünən mesajlarla başlayan, əlaqələr yaradan. Bu, Baiardiyə görə baş verir, çünki insan davranışı manipulyasiya edilə bilər. "Əfsanəvi haker Kevin Mitnick-in dediyi kimi, insan ağlını sındırmaq üçün ən asan sərvətdir. Axı insanlar xarici təsirlərə çox həssas olan emosional təbəqəyə malikdirlər ki, bu da zərərli linklərə klikləmək və ya həssas məlumatları paylaşmaq kimi tələsik hərəkətlərə səbəb ola bilər".
Çox faktorlu autentifikasiyadan (MFA) yan keçmək üçün hazırlanmış fişinq dəstləri və istifadəçilərin təxminən 94%-nin hər ay hədəf alındığı bulud əsaslı hücumlar da hesabatda ən çox qeydə alınan təhlükələr sırasındadır.
Ən ümumi səhvlər
Təhlükəsizlik pozuntularına səbəb olan ən çox yayılmış səhvlər arasında Baiardi sadalayır: e-poçtların həqiqiliyini yoxlamaq; kompüterləri kiliddən çıxarmaq; korporativ məlumatlara daxil olmaq üçün ictimai Wi-Fi şəbəkələrindən istifadə; və proqram yeniləmələrinin gecikdirilməsi.
"Bu davranışlar müdaxilələr və məlumatların pozulması üçün qapıları aça bilər" deyə izah edir. Fırıldaqlara düşməmək üçün ekspert şübhəli keçidlərə kliklənməməyi tövsiyə edir. Buna görə də o, göndərəni, e-poçt domenini və mesajın aktuallığını yoxlamağı təklif edir. "Şübhələr hələ də qalırsa, məsləhət, siçan göstəricisini klikləmədən linkin üzərində buraxmaqdır ki, bu da sizə tam URL-ə baxmaq imkanı verir. Şübhəli görünürsə, bu, çox güman ki, zərərlidir" deyə o məsləhət görür.
Fişinq
Fişinq hücum vektoru kimi korporativ e-poçtdan istifadə edən ən böyük kiber təhlükələrdən biridir. Bundan qorunmaq üçün Baiardi laylı yanaşma təklif edir: möhkəm texniki tədbirlərə əlavə olaraq işçilər üçün məlumatlandırma və təlim.
Proqram təminatının və əməliyyat sistemlərinin yenilənməsi zəifliklərin azaldılması üçün çox vacibdir. "Hər gün yeni zəifliklər ortaya çıxır. Riskləri azaltmağın ən sadə yolu sistemləri yeniləməkdir. Daimi yeniləmələrin mümkün olmadığı missiya baxımından kritik mühitlərdə daha möhkəm strategiya lazımdır."
O, effektiv təlimin hücumların qarşısını almağa necə kömək etdiyinə dair real dünya nümunəsini təqdim edir. “Fişinq simulyasiyalarını və təlimlərini həyata keçirdikdən sonra biz işçilərdən gələn fişinq cəhdləri ilə bağlı hesabatların əhəmiyyətli dərəcədə artdığını müşahidə etdik və bu, təhdidlər qarşısında daha zərif tənqidi məna nümayiş etdirdi”.
Təlimin effektivliyini ölçmək üçün Baiardi aydın əhatə dairəsinin müəyyən edilməsini və əvvəlcədən müəyyən edilmiş ölçülərlə dövri simulyasiyaların aparılmasını təklif edir. “İşçilərin potensial təhlükələrə reaksiyalarının kəmiyyət və keyfiyyətini ölçmək lazımdır”.
İcraçı, kibertəhlükəsizlik təhsili şirkəti Knowbe4-ün hesabatına istinad edərək, Braziliyanın Kolumbiya, Çili, Ekvador və Peru kimi ölkələrdən geri qaldığını göstərir. 2024-cü il sorğusu işçilərin kibertəhlükəsizliyin vacibliyini başa düşməsi, lakin təhdidlərin necə işlədiyini və fəaliyyət göstərdiyini həqiqətən dərk etməməsi məsələsini vurğulayır. Buna görə də o, təhlükəsiz təcrübələrin təşviqində təşkilat mədəniyyətinin vacibliyini vurğulayır: “Yaxşı şəkildə həyata keçirilən kibertəhlükəsizlik mədəniyyəti proqramı olmadan, şirkətin bu aspektdə sahib olduğu yetkinlik səviyyəsini ölçmək mümkün deyil”.
Mütəxəssis, həmçinin E-poçt Təhlükəsizliyi, Uyğunluq və Zəifliyin Qiymətləndirilməsi, Son Nokta Təhlükəsizliyi və Bulud İdarəçiliyi kimi möhkəm və tez həyata keçirilən həllər təqdim edən dataRain tərəfindən irəli sürülən kibertəhlükəsizlik təkliflərinin çatdırılmasına rəhbərlik etmək üçün məsuliyyət daşıyır. "Kibertəhlükəsizlik davamlı problemdir və insanlar məlumatın qorunmasını və sistemlərin bütövlüyünü təmin etmək üçün əsasdır. Təlim və maarifləndirməyə sərmayə qoymaq bütün təşkilatın təhlükəsizliyinə sərmayə qoymaqdır. Və bütün çatdırılmalarımız müştərinin təhdidlər barədə məlumatlılığını artırmağa imkan verən biliklərin ötürülməsi ilə müşayiət olunur "deyə o yekunlaşdırır.
