Elképesztően pontos hamis Google bejelentkezési oldal. Emma Williams, CC BY-ND

A cégeket minden nap adathalász csalásokkal bombázzák. A világon több mint 500 kiberbiztonsági szakembert felmérő közelmúltbeli felmérés szerint 76% jelentett hogy szervezetük 2016 -ban adathalász támadás áldozatává vált.

Ezek a csalások e -mailek formájában történnek, amelyek megpróbálják rávenni a személyzetet, hogy töltsenek le rosszindulatú mellékleteket, kattintson a hamis linkekre, vagy adjanak meg személyes adatokat vagy más érzékeny adatokat. Egy célzott „lándzsa” adathalász e -mail kampányt hibáztattak azért, hogy a közelmúltbeli kibertámadást kezdeményezték nagy áramkimaradás Ukrajnában.

Még ennél is aggasztóbb, hogy az adathalász támadások a legnépszerűbb módok arra, hogy ransomware -t juttassanak el egy szervezet hálózatára. Ez egy olyan típusú szoftver, amely általában titkosítja a fájlokat, vagy zárolja a számítógép képernyőjét, amíg váltságdíjat nem fizetnek. Az igényelt összegek általában elég kicsi, ami azt jelenti, hogy sok szervezet egyszerűen kifizeti a váltságdíjat anélkül, hogy természetesen garancia lenne arra, hogy rendszerei feloldódnak. Ezekkel az adathalász támadásokkal szemben az alkalmazottak a a kiberbiztonság frontvonala. Az adathalász e -mailekkel szembeni sebezhetőségük csökkentése ezért kritikus kihívássá vált a vállalatok számára.

Fegyelmi problémák

Miközben a szervezetek küzdenek a fenyegetés megfékezéséért, az egyik ötlet, amely egyre nagyobb teret nyer, az a lehetséges felhasználás fegyelmi eljárások az adathalász e -mailekre kattintó személyzettel szemben. Ez a továbbképzések elvégzésétől a hivatalos fegyelmi intézkedésekig terjed, különösen az úgynevezett „ismétlődő kattintók” esetében (azok az emberek, akik többször válaszolnak az adathalász e-mailekre). Ők képviselik a különösen gyenge pont a kiberbiztonságban.

Ez nem szükséges - sőt, nem is jó ötlet. Kezdetben még mindig nem értjük, hogy mi az oka annak, hogy az emberek először válaszolnak az adathalász e -mailekre. A kutatás csak a felszínét vakarja, miért válaszolhatnak rájuk az emberek. E -mail szokások, munkahely kultúra és normák, az egyén tudásának mértéke, legyen szó akár a munkavállaló figyelméről, akár nagyfokú nyomás alatt - van az online kockázatok eltérő értelmezése, amelyek mind befolyásolhatják, hogy az emberek képesek -e azonosítani egy adathalász e -mailt egy adott időpontban.

Sajnos ez azt jelenti, hogy még mindig több a kérdés, mint a válasz. Bizonyos munkakörök sebezhetőbbek az általuk végzett feladatok miatt? Hatékony -e a képzés a személyzet oktatására az adathalász támadások kockázatairól? Képesek -e a munkavállalók szükség esetén a biztonságot előtérbe helyezni más munkahelyi követelményekkel szemben? Ezen ismeretlenek közül a fegyelmi megközelítésre való összpontosítás korainak tűnik, és kockáztatja, hogy félretesz más hatékonyabb erőfeszítéseket.

A célzott adathalász támadások is egyre kifinomultabbak és nehezebben észlelhetők, még a technikai felhasználók számára is. Legutóbbi támadások (on PayPal és a Googlepéldául) demonstrálja ezt.

Most hihetetlenül egyszerű olyan csaló e -mailt készíteni, amely nagyon hasonlít, ha nem majdnem azonos, egy legitimhez. A hamis e -mail címek, a pontos logók, a helyes elrendezések és az e -mail aláírások beépítése megnehezítheti az adathalász e -mailek megkülönböztetését az eredetitől.

Nyugodj meg és folytasd

Az adathalászok is nagyon jók forgatókönyvek létrehozása amelyek maximalizálják annak valószínűségét, hogy az emberek válaszolnak. Pánik- és sürgősségérzetet keltenek olyan dolgokban, mint például a szervezeten belüli tekintélyszemélyek utánzása válságérzetet kelteni. Vagy a lehetséges negatív hatásra összpontosítanak hogy nem válaszol. Ha elismerjük az adathalász arzenáljában megnövekedett kifinomultságot, nehezebb igazolni az alkalmazottak büntetését, mert csalásuk áldozatává váltak.

A szimulált adathalász támadásokat gyakran használják az alkalmazottak tudatosságának növelésére. Javaslatok érkeztek a kattintások arányának javítására ilyen programokat követvehiányzik az alkalmazottakra gyakorolt ​​lehetséges hatások körének átfogó értékelése. És néhány kutatást rámutat arra a lehetőségre, hogy az alkalmazottak pusztán feladják a fenyegetés kezelését, mivel ez vesztes csatának tűnik.

A hibáztatás és az áldozattá válás kultúrája miatt az alkalmazottak kevésbé hajlandóak beismerni hibáikat. Ezen eredmények bármelyike ​​valószínűleg károsítja a szervezet biztonsági személyzete és más alkalmazottai közötti kapcsolatot. Ez viszont negatív hatással lesz a szervezet biztonsági kultúrájára. Azt javasolja, hogy térjenek vissza a tekintélyelvű biztonsági szerephez, ami a kutatás azt mutatja visszalépés, ha teljes mértékben be akarjuk vonni az alkalmazottakat a biztonsági kezdeményezésekbe.

A szervezet adathalász támadásoknak való kitettségének mérséklése összetett és fejlődő kihívást jelent. A legutóbbi #AskOutLoud kampányt az ausztrál kormány az, hogy bátorítsuk az embereket arra, hogy kérjenek egy második véleményt, amikor gyanús e -mailt kapnak, jó példa arra, hogyan lehet elkezdeni kezelni ezt a kihívást. Beszélgetésre és közös élményekre ösztönöz. E megközelítés alkalmazása biztosíthatja, hogy az alkalmazottak felhatalmazást és bátorítást kapjanak a gyanú bejelentésére, ami alapvető fontosságú a kiberbiztonság fenntartásában.

A kutatás az világos hogy a kiberbiztonság a nyílt párbeszéden, az alkalmazottak részvételén múlik, amikor a megoldások kifejlesztéséről és a bizalomról van szó a szervezet biztonsági személyzete és más személyzet között. A régi közhely szerint: csak olyan erős vagy, mint a leggyengébb láncszem. Ezért elengedhetetlen, hogy minden alkalmazottat támogassanak annak érdekében, hogy hatékony frontvonalat képviselhessenek szervezetük védelmében.

A szerzőről

Emma Williams, tudományos munkatárs, University of Bath és Debi Ashenden, a kiberbiztonság professzora, Portsmouthi Egyetem

Ezt a cikket eredetileg közzétették A beszélgetés. Olvassa el a eredeti cikk.

Kapcsolódó könyvek

at InnerSelf Market és Amazon