غزل زیاری: مطالعات انجام شده توسط محققان نشان می دهد که خطای انسانی مسئول بیشتر حملات سایبری موفق است. این رقم در آخرین نظرسنجی ها 68 درصد برآورد شده است.
مهم نیست که دفاع های تکنولوژیکی چقدر پیشرفته باشند، عنصر انسانی احتمالا ضعیف ترین حلقه در زنجیره امنیت سایبری باقی خواهد ماند. این آسیبپذیری بر همه افرادی که از دستگاههای دیجیتال استفاده میکنند تأثیر میگذارد، اما برنامههای آموزشی و آگاهی سایبری سنتی قادر به رفع آن نیستند. اکنون سؤال این است: چگونه می توانیم با چالش های امنیت سایبری انسان محور مقابله کنیم؟
درک خطای انسانی
ابتدا باید بدانیم که در حوزه امنیت سایبری با دو نوع خطای انسانی مواجه هستیم.
اولین مورد، خطاهای مبتنی بر مهارت است که هنگام انجام کارهای معمولی رخ می دهد. مخصوصاً در مواقعی که تمرکز و حواس پرتی ندارند. برای مثال، ممکن است فراموش کرده باشید از اطلاعات دسکتاپ رایانه خود نسخه پشتیبان تهیه کنید.
اساساً، شما می دانید که باید آن را انجام دهید و قبلاً آن را چند بار انجام داده اید و می دانید که چگونه آن را انجام دهید. اما از آنجایی که باید زود به خانه برگردید، فراموش می کنید آخرین بار چه زمانی پشتیبان گرفته اید. این ممکن است در صورت حمله سایبری شما را در برابر هکرها آسیب پذیرتر کند. زیرا در این صورت هیچ جایگزینی برای بازیابی اطلاعات اصلی نخواهید داشت.
اما نوع دوم خطا مبتنی بر دانش است و زمانی رخ می دهد که فردی با تجربه کمتر مرتکب خطاهای امنیت سایبری شود. چون دانش چندانی ندارد یا قوانین خاصی را رعایت نمی کند. برای مثال، ممکن است روی پیوندی در ایمیلی که از یک مخاطب ناشناس ارسال شده است کلیک کنید و حتی ندانید که قرار است چه اتفاقی بیفتد.
این کلیک به ظاهر ساده می تواند منجر به هک شدن پول و داده های شما و از دست رفتن آنها شود. زیرا پیوند ممکن است حاوی بدافزار خطرناک باشد.
معایب روش های سنتی
سازمانها و دولتها سرمایهگذاری زیادی در برنامههای آموزشی امنیت سایبری برای رسیدگی به خطاهای انسانی انجام دادهاند. اما حتی در بهترین حالت خود، این برنامه ها نتایج متفاوتی داشته اند. این تا حدی به این دلیل است که بسیاری از برنامهها رویکرد فناوری یکاندازه را اتخاذ میکنند و اغلب بر جنبههای فنی خاص مانند بهبود اعتبار و کیفیت رمز عبور یا اجرای احراز هویت چند عاملی تمرکز میکنند.
طبیعتاً به مسائل اساسی روانی و رفتاری که بر اعمال افراد تأثیر می گذارد، توجه چندانی ندارند. حقیقت این است که تغییر رفتار انسان بسیار پیچیدهتر از ارائه اطلاعات یا نیاز به اقدامات خاص است و این در امنیت سایبری بیشتر مشهود است.
به عنوان مثال های عینی در این زمینه، می توان به کمپین های بهداشت عمومی مانند “ابتکار ایمنی خورشید” در استرالیا و نیوزلند اشاره کرد که به وضوح نشان می دهد چه عواملی بر این امر تأثیر می گذارد. این کمپین چهار دهه پیش آغاز شد و از آن زمان تاکنون موارد ملانوم (نوعی سرطان پوست) در هر دو کشور به میزان قابل توجهی کاهش یافته است و نشان می دهد که تغییر رفتار مستلزم سرمایه گذاری مداوم در آگاهی است.
همین اصل در مورد آموزش امنیت سایبری نیز صدق می کند. فقط به این دلیل که مردم بهترین شیوه ها را می دانند به این معنی نیست که آنها را به طور مداوم به کار می برند. به خصوص زمانی که با اولویت های رقابتی یا فشار زمانی مواجه می شوید.
مختصری از قوانین جدید
در این مورد، تمرکز قوانین پیشنهادی امنیت سایبری بر چندین حوزه کلیدی است. به عنوان مثال، در استرالیا این قوانین بر حوزه های زیر تمرکز دارند:
- مبارزه با حملات باج افزار
- افزایش تبادل اطلاعات بین شرکت ها و سازمان های دولتی
- تقویت حفاظت از داده ها در بخش های زیرساختی حیاتی، مانند انرژی، حمل و نقل و ارتباطات
- گسترش اختیارات برای بررسی حوادث سایبری
- ارائه حداقل استانداردهای امنیتی برای دستگاه های هوشمند.
چنین اقداماتی بسیار مهم است. البته درست مانند برنامههای آموزشی سنتی امنیت سایبری، در این اقدامات، جنبههای فنی و رویهای امنیت سایبری در درجه اول مورد توجه قرار میگیرد. در کشوری مانند آمریکا شاهد رویکرد متفاوتی هستیم و در برنامه راهبردی این کشور برای تحقیق و توسعه امنیت سایبری، «امنیت سایبری انسان محور» اولین و مهمترین اولویت در نظر گرفته شده است.
این برنامه بر این نکته پافشاری میکند: «نیاز به تأکید بیشتر بر رویکردهای انسانمحور به امنیت سایبری است، جایی که نیازها، انگیزهها، رفتارها و قابلیتهای افراد در خط مقدم تعیین طراحی، عملکرد و امنیت سیستمهای فناوری اطلاعات قرار دارند.»
سه کار به سمت امنیت سایبری انسان محور
اکنون این سوال مطرح می شود که چگونه می توان به موضوع خطای انسانی در امنیت سایبری به اندازه کافی پرداخت؟ در اینجا سه استراتژی کلیدی بر اساس آخرین تحقیقات ارائه شده است.
1- کاهش بار شناختی: اقدامات امنیت سایبری باید تا حد امکان بصری و بدون دردسر طراحی شوند. برنامه های آموزشی باید بر ساده سازی مفاهیم پیچیده و ادغام شیوه های امنیتی یکپارچه در جریان کار روزانه تمرکز کنند.
2- نگرش مثبت امنیت سایبری را ترویج دهید: آموزش و پرورش باید به جای تکیه بر تاکتیک های ترس، بر نتایج مثبت اقدامات خوب امنیت سایبری تمرکز کند. این رویکرد به ایجاد انگیزه در افراد برای بهبود رفتارهای امنیت سایبری کمک می کند.
3- اتخاذ دیدگاه بلند مدت: تغییر نگرش ها و رفتارها یک رویداد واحد نیست، بلکه یک فرآیند مداوم است. برای مقابله با تهدیدات، آموزش امنیت سایبری باید مداوم و به طور منظم به روز شود.
در نهایت، ایجاد یک محیط دیجیتال امن نیاز به یک رویکرد جامع دارد که ترکیبی از فناوری قوی، سیاستهای صحیح و مهمتر از همه، تضمین آموزش با کیفیت و آگاهی امنیتی است. اگر بتوانیم بفهمیم پشت خطای انسانی چه چیزی نهفته است، میتوانیم برنامههای آموزشی مؤثرتری طراحی کنیم و شیوههای امنیتی بهتری را ارائه کنیم که با طبیعت انسان کار میکند، نه در برابر آن.
منبع: هشدار علمی
58321