مقالات

خطای انسانی از مهم‌ترین تهدیدات سایبری در سازمان‌هاست

  • منتشر شده توسط author-avatar
خطای انسانی
۱۱ تیر

کارکنان، یکی از بزرگ‌ترین خطرات برای امنیت سایبری یک سازمان هستند. در واقع، خطای انسانی به‌عنوان عامل اصلی نقض حریم داده‌ها عنوان می‌شود.

اما از سوی دیگر کارکنان یک سازمان می‌توانند بزرگ‌ترین سرمایه برای امنیت سایبری یک سازمان نیز باشند. چنان‌چه کارکنان، دانش لازم برای شناسایی تهدیدات را به‌واسطه آموزش‌های کارآمد و تعهدآور در خصوص آگاهی امنیتی به دست آورند، می‌توانند همچون یک خط دفاعیِ مضاعف برای سازمان عمل کنند.

 

۱. کلاهبرداری‌های ایمیلی

حمله فیشینگ، رایج‌ترین روشی است که مجرمان سایبری از آن برای دسترسی به شبکه یک سازمان استفاده می‌کنند. آنها از زیاده‌خواهی ذاتی انسان‌ها سوءاستفاده می‌کنند تا هدف خود را با ارائه پیشنهادهای فریبنده (مانند کالا و خدمات رایگان، فرصت‌های مالی و غیره) یا ایجاد احساس اضطرار، فریب دهند و در دام کلاهبرداری‌هایشان اسیر کنند.

آگاهی‌  دادن در مورد حملات فیشینگ باید جزئی از برنامه آموزش امنیت در هر سازمان باشد. این مبحث باید  شامل ارائه نمونه‌هایی از ایمیل‌های رایج و مرتبط فیشینگ و نکاتی برای شناسایی حملات انجام‌شده باشد، از جمله:

  • به ایمیل‌های ناشناس و ناخواسته اعتماد نکنید
  • هیچ نوع سند مالی را برای افرادی که از طریق ایمیل درخواست داده‌اند ارسال نکنید، به‌خصوص قبل از چک کردن این موضوع با مدیر شرکت
  • همیشه اسپم را فیلتر کنید.
  • کلاینت ایمیل خود را به‌درستی پیکربندی کنید.
  • برنامه آنتی‌ویروس و فایروال را نصب کرده و همیشه آنها را به‌روزرسانی کنید.
  • روی لینک‌های ناشناس در پیام‌های ایمیل کلیک نکنید.
  • در مورد فایل‌های پیوست ایمیل‌ها دقت به خرج دهید. هرگونه پیوست مشکوک از طریق تلفن یا هر رسانه دیگر از سوی یک فرستنده به ظاهر معتبر را قبل از باز کردن بررسی کنید.
  • به یاد داشته باشید که حملات فیشینگ می‌تواند در هر رسانه‌ای اعم از ایمیل، پیامک، پلتفرم‌های همکاری سازمانی و غیره رخ دهد.

 

۲. بدافزار

بدافزار، نرم‌افزار مخربی است که مجرمان سایبری از آن برای سرقت داده‌های حساسی مانند اطلاعات کاربری، اطلاعات مالی و غیره یا آسیب رساندن به سیستم‌های سازمان همچون نصب باج‌افزار و بدافزار حذف‌کننده استفاده می‌کنند. یک بدافزار به روش‌های مختلفی از جمله ایمیل‌های فیشینگ، دانلودهای درایوبای و رسانه‌های آلوده جداشدنی، می‌تواند وارد یک سازمان شود.در موضوع بدافزار، آموزش آگاهی امنیتی به کارکنان باید دربرگیرنده روش‌های رایج انتقال، تهدیدها و تأثیرات آن بر سازمان باشد. نکات مهم عبارت‌اند از:

• به فایل‌های ضمیمه ایمیل‌ها، وب‌سایت‌ها و دیگر موارد مشکوک باشید.

• نرم‌افزارهای غیرمجاز را نصب نکنید.

• آنتی‌ویروس را همیشه در حالت اجرا و به‌روز نگه دارید.

• در صورت آلودگی به بدافزار، تیم فناوری اطلاعات یا امنیت را به‌سرعت در جریان بگذارید.

 

۳. امنیت رمز عبور

رمز عبور، رایج‌ترین و ساده‌ترین سیستم احراز هویت موجود است. اکثر کارمندان چندین حساب آنلاین دارند که با ارائه یک نام کاربری (اغلب آدرس ایمیل) و یک رمز عبور به آنها دسترسی پیدا می‌کنند.یک رمز عبور با امنیت ضعیف می‌تواند یکی از بزرگ‌ترین تهدیدها برای امنیت مدرن سازمانی محسوب شود. چند نکته مهم امنیتی در رابطه با رمز عبور که باید در محتوای آموزشی گنجانده شوند:

• همیشه برای هر حساب آنلاین از یک رمز عبور منحصربه‌فرد استفاده کنید.

• رمزهای عبور باید به صورت تصادفی تولید شوند.

• رمز عبور باید ترکیبی از حروف، اعداد و نمادها باشد.

• برای هر حساب کاربری از یک برنامه مدیریت رمز عبور برای تولید و ذخیره رمزهای عبور قوی استفاده کنید.

• در صورتی که  احراز هویت چندعاملی (MFA) موجود است برای کاهش مخاطراتی که متوجه رمز عبور هستند از آن استفاده کنید.

 

۴. رسانه‌های جداشدنی

رسانه‌های جداشدنی نظیر یو اس بی‌، سی‌دی و غیره، ابزارهای سودمندی برای مجرمان سایبری هستند، چرا که به کمک بدافزارهای ذخیره شده در آنها می‌توانند سیستم‌های دفاعی امنیتی مبتنی بر شبکه یک سازمان را دور بزنند. بدافزار را می‌توان بر روی رسانه نصب و پیکربندی کرد به طوری که اجرای آن به صورت خودکار اجرا شود یا یک فایل با نامی فریبنده در آن وارد کرد که کارمندان رابه کلیک روی آن ترغیب کند. رسانه‌های جداشدنی آلوده می‌توانند داده‌ها را سرقت کنند، باج‌افزار نصب کنند یا حتی رایانه‌ای را که به آن متصل شده‌اند به طور کلی از کار بیندازند.رسانه‌های جداشدنی آلوده و مخرب را می‌توان با انداختن در پارکینگ‌ها و مکان‌های عمومی یا توزیع در کنفرانس‌ها و سایر رویدادهای جمعی تکثیر کرد. کارمندان باید برای مدیریت صحیح رسانه‌های جداشدنی غیرقابل اعتماد آموزش ببینند:

• هرگز رسانه‌های جداشدنی غیرقابل اعتماد را به رایانه وصل نکنید.

• تمام رسانه‌های جداشدنی غیرقابل اعتماد یا مشکوک را برای اسکن شدن به مدیر امنیت یا فناوری اطلاعات شرکت تحویل دهید.

• Autorun یا همان گزینه اجرای خودکار را در همه رایانه‌ها غیرفعال کنید.

 

۵. عادات امن اینترنت

تقریباً هر کارمند، به‌ویژه کسانی که در بخش فناوری کار می‌کنند به اینترنت دسترسی دارند. به همین دلیل، استفاده ایمن از اینترنت از اهمیت بالایی برای شرکت‌ها برخوردار است.برنامه‌های آموزشی امنیتی باید عادات اینترنتی ایمن را که مانع نفوذ مهاجمان به شبکه شرکتی می‌شود در سرفصل‌های خود داشته باشند. چند محتوای مهم که باید در آموزش گنجانده شوند:

• توانایی تشخیص دامنه‌های مشکوک و جعلی (مانند yahooo.com به جای yahoo.com )

• تفاوت بین HTTP و HTTPS و نحوه شناسایی یک اتصال ناامن

• خطرات دانلود نرم‌افزارهای نامعتبر یا مشکوک از اینترنت

• خطرات لاگین یا وارد کردن اطلاعات کاربری در وب‌سایت‌های غیرقابل اعتماد یا خطرناک؛ از جمله صفحات جعلی و فیشینگ

• حملات گودال آب (watering hole attacks)، دانلودهای درایوبای و سایر تهدیدات و خطرات ناشی از مرور سایت‌های مشکوک

 

۶. خطرات شبکه‌های اجتماعی

شرکت‌ها از شبکه‌های اجتماعی، چه در سطح درون مرزی و چه در سطح جهانی، به عنوان ابزاری قدرتمند برای خلق یک برند و همچنین راه‌اندازی فروش آنلاین استفاده می‌کنند. متأسفانه، مجرمان سایبری نیز از رسانه‌های اجتماعی برای حملاتی استفاده می‌کنند که سیستم‌ها و شهرت سازمان را به خطر می‌اندازد.یک سازمان برای اینکه جلوی از دست رفتن داده‌های حیاتی را بگیرد، باید یک برنامه آموزشی پابرجا در خصوص استفاده از شبکه‌های اجتماعی داشته باشد که استفاده از این شبکه‌ها را محدود کرده و کارکنان را از تهدیدات رسانه‌های اجتماعی آگاه کند:

• حملات فیشینگ می‌توانند همانند آنچه در ایمیل اتفاق می‌افتد در رسانه‌های اجتماعی نیز رخ دهند.

• مجرمان سایبری می‌توانند با جعل کردن برندهای مورد اعتماد،  داده‌ها را به سرقت ببرند یا موتور بدافزارها را روشن کنند.

• اطلاعات منتشر شده در رسانه‌های اجتماعی می‌تواند برای ساخت ایمیل‌های فیشینگ هدف‌دار (spearphishing) مورد سوء‌استفاده قرار گیرد.

 

۷. امنیت فیزیکی و کنترل‌های محیطی

آگاهی امنیتی فقط به آنچه که در رایانه‌ها یا دستگاه‌های قابل حمل شرکت شما وجود دارد مربوط نمی‌شود. کارکنان باید از خطرات امنیتی بالقوه در جنبه‌های فیزیکی محیط کار خود آگاه باشند، از جمله:

• بازدیدکنندگان یا افرادی که تازه استخدام شده‌اند، افرادی که هنگام تایپ رمزعبور توسط کارمندان، آنها را زیر نظر می‌گیرند. اصطلاح معروف برای آن، «دید زدن از روی شانه» است.

• دادن اجازه ورود به بازدیدکنندگانی که ادعا می‌کنند بازرس، سم‌پاش یا برخی مهمانان غیر معمول هستند و احتمالا قصدشان ورود به سیستم است و اصطلاحی که برای آن به کار می‌برند «جعل هویت» است.

• اجازه دادن به یک فرد که شما را تا ورود به یک منطقه ممنوعه همراهی کند یا به ‌قول معروف، همان «حرکت سپر به سپر»

• نوشتن رمزهای عبور روی تکه کاغذ و گذاشتن آن بر روی میز

• روشن گذاشتن رایانه بدون گذرواژه هنگام ترک محل کار

• در معرض دسترسی گذاشتن تلفن یا دستگاه اختصاصی شرکت

• درست عمل نکردن کنترل‌های امنیتی فیزیکی مانند درها، قفل‌ها و غیره

 

۸. سیاست میز پاک

اطلاعات حساس روی میز مانند برگ‌های یادداشت پشت چسب‌دار، کاغذها و پرینت‌ها، می‌توانند به آسانی سرقت شوند و یا در معرض دید چشمان کنجکاو قرار گیرند. سیاست میز پاک، بیانگر این است که اطلاعات قابل مشاهده روی میز باید به آنچه در حال حاضر ضروری است، محدود شود. قبل از  اینکه به هر دلیلی از محل کار خارج شوید، تمام اطلاعات حساس و محرمانه باید به طور ایمن ذخیره شوند.

 

۹. مدیریت داده‌ها و حریم خصوصی

اکثر سازمان‌ها حجم زیادی از اطلاعات حساس را جمع‌آوری، ذخیره و پردازش می‌کنند. این اطلاعات شامل داده‌های مشتری، سوابق کارمندان، استراتژی‌های کسب‌و‌کار و سایر داده‌های مهم برای عملکرد صحیح کسب‌وکار است. در صورتی که هریک از این داده ‌ا به صورت عمومی افشا شوند یا در دسترس یک رقیب یا مجرم سایبری قرار گیرند، ممکن است سازمان با تبعاتی همچون جریمه‌های قانونی قابل توجه، آسیب به روابط شرکت با  مشتریان و از دست دادن مزیت رقابتی مواجه شود.کارکنان یک سازمان باید در مورد نحوه مدیریت صحیح داده‌های حساس کسب‌وکار آموزش ببینند تا بتوانند از امنیت داده‌ها و حریم خصوصی مشتری محافظت کنند. محتوای آموزشی مهم می‌تواند شامل موارد زیر باشد:

• استراتژی طبقه‌بندی داده‌های کسب‌و‌کار و نحوه شناسایی و محافظت از داده‌ها در هر سطح

• الزامات قانونی که عملکردهای روزانه یک کارمند را تحت تاثیر قرار دهند

• مکان‌های ذخیره‌سازی تایید شده برای داده‌های حساس در شبکه سازمانی

• استفاده از یک رمز عبور قوی و احراز هویت چندعاملی (MFA) برای حساب‌هایی با دسترسی به داده‌های حساس

 

۱۰. خط مشی همراه آوردن ابزارهای شخصی به محیط کار (BYOD)

خط‌مشی‌های BYOD کارمندان را قادر می‌سازد از دستگاه‌های شخصی خود در محیط کار استفاده کنند. هرچند که این کار باعث افزایش کارآمدی می‌شود و به کارمندان امکان می‌دهد تا با دستگاه‌هایی که با آن راحت هستند کار کنند، اما  خطرات امنیتی بالقوه‌ای را نیز به همراه دارد. آموزش آگاهی امنیتی به کارکنان در مقوله خط‌مشی‌های BYOD باید شامل نکات زیر باشد:

• تمامی وسایل مورد استفاده در محل کار باید با یک رمز عبور قوی ایمن شوند تا در برابر سرقت محافظت شوند

• رمزگذاری فول دیسک را برای دستگاه های BYOD فعال کنید

• هنگام کار از طریق Wi-Fi غیرقابل اعتماد از VPN روی دستگاه‌ها استفاده کنید

• دستگاه های مورد تایید BYOD باید با آنتی‌ویروس مورد تایید شرکت کار کنند

• برنامه‌ها را فقط از اپ‌استورهای شناخته شده یا به طور مستقیم از وب‌سایت سازنده آنها دانلود کنید 

 

نتیجه

کارکنان نقش مهمی در راه‌اندازی یک کسب‌وکار موفق دارند. یک نیروی کار آموزش ندیده و سهل‌انگار می‌تواند شرکت شما را در معرض خطرات پی در پی نقض حریم داده قرار دهد. بنابراین، سازمان‌ها باید یک برنامه آموزشی امنیتی با ثبات را اتخاذ کنند که دربرگیرنده دستورالعمل‌های لازم و ضروری برای خنثی کردن حوادث سایبری قریب‌الوقوع باشد. همچنین سازمان شما باید جلسات آموزشی ماهانه ترتیب دهد، برای یادآوری‌های مکرر برنامه داشته باشد، همه کارکنان جدید را در مورد خط‌مشی‌های جدید آموزش دهد، مواد آموزشی را در دسترس قرار دهد و اقدامات خلاقانه‌ای برای پاداش دادن به کارکنانی در نظر بگیرد که در تضمین امنیت سازمان نقش داشته‌اند.

 

بعدی آنتی‌ویروس‌ها همیشه موفق به شناسایی حملات نمی‌شوند
بازگشت به لیست
قبلی عدم به‌روزرسانی نرم‌افزارها امنیت کاربران را تهدید می‌کند