Ο κόσμος είναι μεγάλος και οι κυβερνοεγκληματίες γνωρίζουν ότι δεν έχετε χρόνο για να φροντίσετε και για το παραμικρό. Μία συνηθισμένη λανθασμένη αντίληψη και πλάνη είναι ότι οι κυβερνοεγκληματίες παραμονεύουν σε σκοτεινά υπόγεια, αξιοποιώντας στον μέγιστο δυνατό βαθμό τις δυνατότητες και τα συστήματα τους για να δημιουργήσουν εξαιρετικά προηγμένα exploits που μπορούν να τινάξουν στον αέρα κάθε τρέχον σύστημα ασφαλείας. Τις περισσότερες φορές όμως, τα πράγματα δεν είναι έτσι.
Οι κυβερνοεγκληματίες και οι χάκερ αναζητούν τα φρούτα που κρέμονται χαμηλότερα και παίρνουν τον εύκολο δρόμο προτού αποφασίσουν να ακολουθήσουν τον δύσκολο. Πολύ συχνά όμως, αυτός ο εύκολος δρόμος είμαστε εμείς. Στην έκθεση Verizon 2022 Data Breach Investigations Report επισημαίνεται ότι στο 82% όλων των παραβιάσεων παρατηρείται ανάμιξη του ανθρώπινου στοιχείου, δηλαδή εμείς, που τα κάνουμε θάλασσα όταν θα έπρεπε να είμαστε πιο υποψιασμένοι. Αξιοποιώντας τα εκπαιδευτικά προγράμματα ευαισθητοποίησης σε θέματα ασφάλειας, μπορούμε πράγματι να είμαστε περισσότερο υποψιασμένοι και ικανοί.
Τα προγράμματα ευαισθητοποίησης σε θέματα ασφάλειας σε ολόκληρη την επιχείρηση σας δεν θα έπρεπε να υποτιμούνται καθώς μπορούν να βοηθήσουν να κλείσει μια «τεράστια πόρτα» που χρησιμοποιείται από τους περισσότερες χάκερ για να εισέλθουν σε εταιρικά συστήματα και δίκτυα. Αν και θεωρούνται «ήπιες δεξιότητες» (soft skills) από ορισμένους «σκληροπυρηνικούς» του χώρου της κυβερνοασφάλειας, τα δεδομένα δείχνουν ότι οι όποιες βελτιώσεις στον συγκεκριμένο τομέα μπορούν να έχουν θεαματικά αποτελέσματα.
Η υποτίμηση της ευαισθητοποίησης σε θέματα ασφάλειας γίνεται με δικό σας κίνδυνο
Παραλείψεις και απλά λάθη υγιεινής της ασφάλειας είναι τα πρώτα πράγματα που κοιτάζουν να αξιοποιήσουν προς όφελος τους οι χάκερ, επειδή πολύ απλά είναι το τελευταίο πράγμα που έρχεται στο μυαλό μας. Τέτοια απλά λάθη ή παραλείψεις είναι εκείνα που επιτρέπουν να περάσουν τα… προβλήματα, και αυτό είναι κάτι που συμβαίνει συνεχώς.
Πάρτε για παράδειγμα τα μέσα κοινωνικής δικτύωσης. Οι διαδικτυακές μιμήσεις και πλαστοπροσωπίες αποτέλεσαν την κορυφαία απειλή στα μέσα κοινωνικής δικτύωσης το τέταρτο τρίμηνο του περασμένου έτους, και ο λόγος είναι η γενική έλλειψη ευαισθητοποίησης σε θέματα ασφάλειας. Λάβετε υπόψη σας τα παρακάτω:
- Το 4Ο τρίμηνο του 2022 πραγματοποιήθηκαν 19% περισσότερες επιθέσεις εναντίον οργανισμών στα μέσα κοινωνικής δικτύωσης από ότι το 4ο τρίμηνο του 2021.
- Η πλαστοπροσωπία ήταν ο κορυφαίος φορέας απειλής, συγκεντρώνοντας πάνω από το 36% της κίνησης δεδομένων.
- Ακολούθησαν οι κυβερνοαπειλές (34%) και οι απάτες (28%).
Η μίμηση ή η πλαστοπροσωπία ήταν τόσο δημοφιλείς επειδή πολύ απλά ήταν ευκολότερο να γίνουν. Δεν χρειάζεται να κάνεις πολλά περισσότερα από το να κλέψεις ένα λογότυπο και να δημιουργήσεις έναν ψεύτικο λογαριασμό στο Twitter με το όνομα μιας εταιρείας. Από εκεί και πέρα, μπορείτε να αρχίσετε να φωνάζετε για «εκπτώσεις» ή να «δανειστείτε» την ταυτότητα ενός μεγαλοστελέχους της εταιρείας για να οδηγήσετε τελικώς αθώους χρήστες στη παραβίαση των διαπιστευτηρίων τους ή στην οικονομική εξαπάτηση τους. Μια μικρή εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας θα μπορούσε να διδάξει στους χρήστες να αποφεύγουν τέτοιου είδους λάθη, να εντοπίζουν τα σημάδια που φανερώνουν απάτες και να διατηρούν τα ονόματα τους (και τα δεδομένα της εταιρείας) ασφαλή.
Για να υποστηρίξουν περισσότερο ολοκληρωμένα την ενίσχυση της ευαισθητοποίησης σε θέματα ασφάλειας, ο Πρόεδρος των Ηνωμένων Πολιτειών και το Κογκρέσο καθιέρωσαν τον Μάρτιο ως Εθνικό Μήνα Ενημέρωσης για την Κυβερνοασφάλεια το 2004. Κατάλληλος για την εποχή, καθώς τα χρόνια πέρασαν έγινε ακόμη πιο επίκαιρος. Ικανότατοι και έμπειροι κυβερνοεγκληματίες εξακολουθούν βεβαίως να υπάρχουν, αλλά σε γενικές γραμμές, η αύξηση των exploits as-a-service υποδηλώνει ότι υπάρχει και μια άλλη, λιγότερο έμπειρη ομάδα, που είναι εξαιρετικά ενεργή. Αυτή η ομάδα εποφθαλμιά τους καρπούς που κρέμονται χαμηλά, τα απλά λάθη, δηλαδή τα πράγματα που οδηγούν στο 82% των παραβιάσεων και που θα μπορούσαν να μειωθούν δραστικά με λίγη εκπαίδευση στις «ήπιες δεξιότητες» (δεξιότητες επικοινωνίας, οξυδέρκεια, δυνατότητα επίλυση προβλημάτων, διαχείριση σχέσεων κ.ά.).
Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας είναι ένα από τα καλύτερα φυλαγμένα μυστικά για την ενίσχυση μιας στρατηγικής μηδενικής εμπιστοσύνης. Κλείνει τις τρύπες στο σκάφος και μάλιστα προτού ξοδέψετε έναν τόνο χρημάτων σε φανταχτερές νέες «επιδιορθώσεις» που τελικά θα οδηγήσουν σε ναυάγιο. Οι κορυφαίοι επιχειρηματίες βασίζονται στην ευαισθητοποίηση και το καθιστούν μέρος των αναγκών τους σε θέματα κυβερνοασφάλειας.
Δείτε τα ακόλουθα δύο παραδείγματα.
Μελέτη περίπτωσης 1: 42% των φοιτητών πανεπιστημίου εκπαιδεύονται κατά του phishing
Σε ένα περιβάλλον όπου όλοι αντιλαμβάνονται τις συνέπειες ενός αποτυχημένου βαθμού, δεν αποτελεί έκπληξη το γεγονός ότι πολλοί αντιστάθηκαν όταν ένα Καναδικό πανεπιστήμιό θέλησε να εφαρμόσει την υποχρεωτική εκπαίδευση σε θέματα κυβερνοασφάλειας. Οι καθηγητές και το προσωπικό φοβήθηκαν τις επιπτώσεις της αποτυχίας στην προσομοίωση και τα διάφορα τμήματα απέρριψαν μαζικά την εκπαίδευση στο phishing φοβούμενοι ότι θα φόβιζε τους φοιτητές να ανοίξουν οποιοδήποτε μήνυμα ηλεκτρονικού ταχυδρομείου.
Παρόλα αυτά, όταν οι στόχοι της κυβερνοασφάλειας αποτελούν αναπόσπαστο μέρος της εκπλήρωσης των θεσμικών στόχων 20ετίας, η ανάγκη για κάποιου είδους εκπαίδευση σε θέματα κυβερνοασφάλειας είναι προφανής. Το διδακτικό προσωπικό και οι φοιτητές λάμβαναν μεγαλύτερες του μέσου όρου ποσότητες μηνυμάτων «ηλεκτρονικού ψαρέματος» και το σχολείο ήθελε να δημιουργήσει ένα περιβάλλον ευαισθητοποίησης που θα μπορούσε να καταστήσει κάθε χρήστη ένα σημείο αντίστασης απέναντι στις επιθέσεις.
Σε συνεργασία με την Terranova Security της Fortra, το πανεπιστήμιο ανέπτυξε μια εθελοντική εκστρατεία εκπαίδευσης σε θέματα ασφάλειας με αρχικό στόχο τη συμμετοχή του 5% των φοιτητών. Παρουσιάζοντας τις αρχές σε ένα περιβάλλον χαμηλού στρες και μόνο για λόγους μάθησης, οι συμμετέχοντες ήταν σε θέση να ασχοληθούν με ενότητες που απευθύνονταν σε χρήστες όλων των τεχνικών υποβάθρων. Το παραπάνω μείωσε το φόβο της αποτυχίας ή της κρίσης και οδήγησε σε ειλικρινή αποτελέσματα.
Χρησιμοποιώντας το πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας της Terranova, το πανεπιστήμιο μπόρεσε να διαχειριστεί και να παρακολουθήσει την εκπαιδευτική του πρωτοβουλία, επιτυγχάνοντας το επιθυμητό ποσοστό συμμετοχής του 5%. Είχαν προγραμματίσει να αυξήσουν σταδιακά το ποσοστό συμμετοχής στο 15% ωστόσο η πρώτη εκστρατεία δημιούργησε τέτοια δυναμική που στην τελευταία εκστρατεία συμμετείχαν 17.000 από τους 40.000 φοιτητές: συνολικά 42%.
Ο πραγματικός δείκτης της επιτυχίας ενδεχομένως βρίσκεται πέρα από τους αριθμούς. Η ευαισθητοποίηση σε θέματα ασφάλειας είναι «θέμα νοοτροπίας» και οι φοιτητές του συγκεκριμένου ιδρύματος έχουν πλέον ένα νέο θέμα για να νιώθουν περήφανοι: Ο CISO του πανεπιστημίου δήλωσε σχετικά με το θέμα: «Με αποκαλούν Mr. Phishing. Με βλέπουν και λένε “δεν με τσάκωσες αυτή τη φορά!”».
Μελέτη περίπτωσης 2: Οι κατασκευαστές ασχολούνται πλέον με την κυβερνοασφάλεια
Όπως έδειξε η προηγούμενη μελέτη περίπτωσης, το τελικό αποτέλεσμα μιας καλής δουλειάς σε ότι αφορά την εκπαίδευση για την ευαισθητοποίηση σε θέματα ασφάλειας, είναι ακόμα περισσότερη ευαισθητοποίηση σε θέματα ασφάλειας. Μια κατασκευαστική εταιρεία κατάφερε να ενσωματώσει την εκπαίδευση με τόση επιτυχία σε ένα αποκεντρωμένο, πολύγλωσσο εργατικό δυναμικό, ώστε οι εργαζόμενοι βρέθηκαν να υιοθετούν ασφαλείς πρακτικές και στο σπίτι τους: Αυτό αποτελεί δείκτη επιτυχίας.
Αυτή η ιδιωτική μεταποιητική επιχείρηση είχε υπαλλήλους σε πολλές διαφορετικές χώρες και η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας αποτελούσε πάντα ζήτημα. Με τα modules ως επί το πλείστον γραμμένα στα Αγγλικά (με ελάχιστο μεταφρασμένο κείμενο), οι παλαιότερες λύσεις αποτύγχαναν να καλύψουν επαρκώς τις ανάγκες που υπήρχαν.
«Ο νούμερο ένα στόχος ήταν να αυξηθεί η συμμετοχή των εργαζομένων. Το γεγονός ότι μπορούσαμε να προσφέρουμε τα μαθήματα σε γλώσσες που καταλάβαινε κάθε μέλος της ομάδας, προσέφερε προστιθέμενη αξία» επισήμανε ο Διευθυντής Ασφάλειας Πληροφοριών της εταιρείας.
Για το σκοπό αυτό στράφηκαν στην Terranova Security της Fortra. Όχι μόνο είχαν στη διάθεση τους σενάρια phishing σε πραγματικό χρόνο, αλλά και πρόσβαση σε μια ολοκληρωμένη βιβλιοθήκη γεμάτη εκπαιδευτικό υλικό σε διάφορες γλώσσες. Χάρη σε αυτό, μπόρεσαν τελικά να σχεδιάσουν ένα πρόγραμμα ασφάλειας που μπορούσε να φτάσει απ’ άκρη σε άκρη σε ολόκληρη την εταιρεία και περιλάμβανε βασικές γραμμές προ-εκπαίδευσης, παρακολούθηση στο πλαίσιο μιας πλατφόρμας διαχείρισης μάθησης και παρακολούθηση μετρήσεων μέσω προσαρμοσμένων τεστ και κουίζ που σχετίζονται με το ηλεκτρονικό ψάρεμα (phishing).
Ωστόσο, για να έχει η εκπαίδευση σε θέματα ασφάλειας πραγματικό νόημα και αντίκτυπο θα έπρεπε να αποτελεί μέρος ενός μακροπρόθεσμου σχεδίου και για αυτό η εταιρεία αξιοποίησε τις επαγγελματικές υπηρεσίες της Terranova Security για να ξεκινήσει την εφαρμογή ενός Πλαισίου Ασφάλειας Πληροφοριών 5 Βημάτων και να καθιερώσει μία ρουτίνα ελέγχου των χρηστών.
Το αποτέλεσμα; Εφαρμογή σε όλους τους τομείς της επιχείρησης, «από τους ανθρώπους που εργάζονται στην αποθήκη μέχρι τον Διευθύνων Σύμβουλο», όπως το έθεσε ένας Διευθυντής Ασφάλειας Πληροφοριών, με το ποσοστό συμμετοχής να φτάνει τελικά το 80%.
Μάθαιναν όμως κάτι; Τα στατιστικά στοιχεία δείχνουν ότι πράγματι έμαθαν πολλά: Τα ποσοστά κλικ σε περιπτώσεις phishing μειώθηκαν από σχεδόν 40% σε κάτω από 15% και ο αριθμός των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου που αναφέρθηκαν αυξήθηκε από μόλις 25 σε πάνω από 500 ετησίως.
Αν λοιπόν έχετε ακούσει άλλους να λένε ότι η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας «δεν κάνει και πολλά» μάλλον δεν χρησιμοποιούσαν τη σωστή εκπαίδευση.
Πως μοιάζει ένα πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας παγκόσμιας κλάσης
Παρόλο που αναμφισβήτητα όλες οι εκπαιδεύσεις ευαισθητοποίησης σε θέματα ασφάλειας έχουν θετικό αντίκτυπο, είναι γεγονός ότι δεν είναι φτιαγμένες όλες με τον ίδιο τρόπο. Υπάρχουν διάφορα στοιχεία που διαφοροποιούν ένα κορυφαίο στην κατηγορία του πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας από τα υπόλοιπα.
- Να είναι συναρπαστικό. Οι άνθρωποι δεν θα μάθουν αν δεν ακούσουν και δεν θα ακούσουν αν δεν διατηρηθεί το ενδιαφέρον τους. Το να διατηρήσετε τα πράγματα εύπεπτα, ενημερωτικά και διασκεδαστικά συμβάλλει σημαντικά στη διατήρηση του ενδιαφέροντος των χρηστών.
- Να μοιάζει με παιχνίδι. Η παθητική ακρόαση μετατρέπεται σε ενεργητική μάθηση όταν οι άνθρωποι καλούνται να λύσουν γρίφους, οπότε μετατρέποντας σε παιχνίδια πραγματικά σενάρια θα βάλετε τους χρήστες στο επίκεντρο της δράσης και θα δοκιμάσετε πραγματικά τις γνώσεις τους.
- Να είναι μετρήσιμο. Όσο κι αν η εκπαίδευση ευαισθητοποίησης μοιάζει με «ήπιο άθλημα», τα αποτελέσματα πρέπει να είναι πάντα μετρήσιμα. Τα καλύτερα προγράμματα παρέχουν αναλυτικές αναφορές και αναλύσεις σε βάθος σε μία κεντρική κονσόλα.
- Να είναι πρωτοποριακό. Θέλετε ο πάροχος εκπαίδευσης ευαισθητοποίησης σε θέματα ασφάλειας να βρίσκεται στην αιχμή κάθε κακόβουλης εξέλιξης και να ενημερώνει διαρκώς το υλικό του, ώστε οι ομάδες σας να βρίσκονται ένα βήμα μπροστά από τις τελευταίες απειλές.
- Να λειτουργεί όλο το χρόνο. Τα αποτελεσματικά προγράμματα βασίζονται στην προσδοκία ότι η ευαισθητοποίηση σε θέματα ασφάλειας είναι κάτι που εξελίσσεται. Και επειδή οι απειλές εξελίσσονται διαρκώς, έτσι πρέπει να’ ναι.
Πηγή: Terranova Security