О человечество! Почему люди являются вашим самым большим фактором риска кибербезопасности

Опубликовано: 2 Апреля, 2023
О человечество! Почему люди являются вашим самым большим фактором риска кибербезопасности

Часто кажется, что независимо от того, насколько продвинутыми стали системы ИТ-безопасности за эти годы, шквал кибератак неуклонно продолжается. Часто упоминаемая причина этого заключается в том, что хакеры не останавливаются на достигнутом. Они постоянно ищут способы обойти новейшие технические средства защиты. Однако основная причина роста числа кибератак заключается в том, что люди — люди, с которыми вы работаете, — остаются самым большим фактором риска кибербезопасности. Взглянув на крупные атаки, имевшие место на протяжении многих лет, можно сказать, что их успех можно отнести к действиям сотрудника, подрядчика или поставщика. Существует ряд причин, по которым риск кибербезопасности человека является слабым звеном в ИТ-безопасности.

Вы можете обмануть людей легче, чем системы

Изображение 1694
Шаттерсток

Если приложение требует, чтобы вы предоставили действительный идентификатор пользователя и пароль для успешного входа, обойти этот элемент управления будет довольно сложно. Вам понадобятся глубокие технические знания, чтобы обойти эту защиту. Тем не менее, вы не можете сказать то же самое о людях.

Например, злоумышленник может использовать фарминг или фишинг, чтобы заставить сотрудника поделиться своим идентификатором пользователя и паролем. Они могут создать правдоподобный предлог, например, проблему с обслуживанием системы, которая требует от сотрудников предоставления учетных данных для входа в систему для ручной аутентификации. Злоумышленнику нужно только завоевать доверие сотрудника, и он может убедить его поделиться такой конфиденциальной информацией.

Люди не всегда предсказуемы

Системы строятся на алгоритмах. Это правила, которые определяют, какое действие или ответ предпримет приложение, когда ему будут предоставлены определенные входные данные. В этом смысле системы предсказуемы, за исключением относительно редких случаев, когда существует непредвиденная или неустраненная ошибка. С другой стороны, поведение человека не всегда предсказуемо.

Даже если в организации есть четко определенные процедуры, нет гарантии, что сотрудник каждый раз будет следовать им одинаково. Кроме того, только потому, что сотрудник придерживался этического поведения в прошлом, не означает, что он будет делать это и в будущем. Хорошие работники могут стать мошенниками. Это несоответствие создает лазейку, которой может легко воспользоваться злоумышленник.

Вы можете стимулировать людей нарушать правила

Системы негибкие и реагируют только на введенные данные. Говорят об искусственном интеллекте и машинном обучении в будущем, которые придадут системам динамизм, отражающий человеческий интеллект. Но даже при этом в системах AI/ML все равно необходимо будет жестко запрограммировать определенные правила, от которых они не могут отклоняться. Люди реагируют на раздражители. Это включает в себя денежные и неденежные стимулы.

Таким образом, хакер может предложить сотруднику значительное финансовое вознаграждение, если сотрудник захочет извлечь и поделиться конфиденциальной информацией из организации, в которой он работает. Работник, испытывающий финансовые затруднения, может легко поддаться этому искушению.

Люди страдают от усталости

Изображение 4337
Шаттерсток

Роботы быстро заняли большую часть процесса производства автомобилей. Им не нужны перерывы или сон, как людям-рабочим, поскольку они не устают от работы. Все, что им нужно, это плановое техническое обслуживание, и они будут работать как часы 24 часа в сутки, 7 дней в неделю. Однако люди страдают от усталости.

Если вы представитель службы поддержки клиентов, которому приходится ежедневно принимать 150 или 200 телефонных звонков, ваша бдительность и психологическая устойчивость в начале дня, безусловно, не будут такими же, как ваше состояние в последний час дня. Неизбежно наступает усталость, а вместе с ней и потеря концентрации и повышенный риск ошибки.

На самом деле, многие мошенники знают об этом и звонят в последние полчаса или около того, когда знают, что сотрудники с нетерпением ждут ухода с работы. Именно в это время работники чаще всего непреднамеренно раскрывают конфиденциальные данные.

Люди делают ошибки

Политики и процедуры предназначены для обеспечения базовой линии, которая определяет поведение сотрудников в организации. Но люди от природы склонны к ошибкам. Многие кибератаки, основанные на факторе риска кибербезопасности человека, были успешными не потому, что сотрудник или поставщик преднамеренно хотели нарушить правила. Вместо этого они использовали человеческий фактор.

Классический пример — сотрудник, который забывает выйти из сети компании, покидая свое рабочее место в конце рабочего дня. Уборщик офиса, мошеннический коллега, удаленный злоумышленник или кто-то еще со злым умыслом может легко использовать эту возможность для доступа и извлечения ценной информации.

Люди забывают

Когда организация впервые нанимает новых сотрудников и информирует их об их роли, они обычно делятся копиями процедурных документов, которым новые сотрудники должны следовать при выполнении своих обязанностей. В первые пару недель и месяцев работы они будут неукоснительно обращаться к этим документам всякий раз, когда им нужно что-то сделать.

Однако со временем и по мере того, как они осваивают процесс, они будут все меньше и меньше обращаться к этой документации. Именно здесь упущение одного или двух шагов может нанести ущерб кибербезопасности компании. Например, сотрудник может забыть зашифровать конфиденциальный документ перед отправкой его клиенту по электронной почте, тем самым создав возможность для перехвата данных злоумышленником.

Люди любят ярлыки

Изображение 10081
Шаттерсток

Мир прогрессировал, потому что люди на протяжении тысячелетий постоянно искали способы делать что-то быстрее и с меньшими физическими усилиями. Подумайте о любом крупном изобретении в истории человечества, и вы увидите стремление повысить эффективность. К сожалению, это стремление к удобству и комфорту может иметь и негативные последствия.

Например, сотрудник никогда не должен записывать пароль или придумывать пароль, который легко угадать. Несмотря на это, люди по-прежнему записывают свои пароли и кладут бумажку где-нибудь в пределах досягаемости прохожих. Сотрудники также будут использовать легко взламываемые пароли, такие как , , и т. д. Эти ярлыки создают пробелы в управлении, которыми может легко воспользоваться злоумышленник.

Контролируйте фактор риска кибербезопасности человека

В конечном счете, ваша самая большая защита от риска кибербезопасности человека — это обучение и осведомленность сотрудников. Знания помогут вашим сотрудникам лучше понять свою роль в защите систем и данных организации от несанкционированного доступа и использования. Это укореняет сознание безопасности в их повседневной работе.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023