بزرگ‌ترین سوراخ نفوذ در امنیت سایبری، خود شما هستید!

غزال زیاری: بررسی‌های انجام‌شده توسط محققان حکایت از آن دارد که مسئول اکثر حملات سایبری موفق، خطای انسانی است. رقم تخمین زده‌شده برای این امر، در آخرین بررسی‌ها ۶۸ درصد اعلام‌شده است.

دفاع تکنولوژیک هرچقدر هم پیشرفت کند، احتمالاً عنصر انسانی همچنان ضعیف‌ترین حلقه در زنجیره امنیت سایبری باقی خواهد ماند. این ضعف بر همه افرادی که از دستگاه‌های دیجیتال استفاده می‌کنند تأثیر می‌گذارد، اما برنامه‌های آموزشی و آگاهی سایبری سنتی قادر نیستند تا به‌اندازه کافی به آن رسیدگی کنند. حالا سؤالی که مطرح است این است که چگونه می‌توان با چالش‌های مربوط به امنیت سایبری انسان‌محور مقابله کنیم؟

درک خطاهای انسانی

پیش از هرچیز باید بدانیم که درزمینهٔ امنیت سایبری با دو نوع خطای انسانی روبرو هستیم.

اولین مورد خطاهای مبتنی بر مهارت است که زمانی اتفاق می‌افتد که افراد در حال انجام کارهای معمولی هستند؛ به‌خصوص در زمان‌هایی که متمرکز نیستند و توجهشان منحرف‌شده است؛ مثلاً ممکن است فراموش کرده باشید که از داده‌های دسکتاپ رایانه‌تان بک‌آپ (نسخه پشتیبان) تهیه‌کرده باشید.

اصولاً شما می‌دانید که باید این کار را انجام دهید و قبلاً بارها این کار را کرده‌اید و نحوه انجامش را بلد هستید؛ اما ازآنجاکه باید زود به خانه برگردید، یادتان رفته که آخرین بار چه زمانی بک‌آپ گرفته‌اید. همین ممکن است شما را بیشتر در معرض هکرها در صورت حمله سایبری قرار دهد؛ چون در این شرایط هیچ جایگزینی برای بازیابی داده‌های اصلی نخواهید داشت.

اما نوع دوم خطاها، مبتنی بر دانش است و زمانی اتفاق می‌افتد که فردی با تجربۀ کمتر، مرتکب اشتباهات امنیتی سایبری می‌شود. چراکه دانش چندانی ندارد یا از قوانین خاصی پیروی نمی‌کند. مثلاً شاید در ایمیل ارسال‌شده از سوی یک مخاطب ناشناس، روی لینک (پیوند) کلیک کنید، آن‌هم در شرایطی که حتی نمی‌دانید که چه اتفاقی خواهد افتاد.

همین کلیک به‌ظاهر ساده، می‌تواند منجر به هک شدن و از دست رفتن پول و داده‌های شما شود؛ چون شاید لینک حاوی بدافزارهای خطرناک باشد.

نقص‌های رویکردهای سنتی

سازمان‌ها و دولت‌ها، برای رسیدگی به خطاهای انسانی، سرمایه‌گذاری هنگفتی بر روی برنامه‌های آموزشی امنیت سایبری انجام داده‌اند؛ اما حتی در بهترین حالت هم این برنامه‌ها نتایج متفاوتی داشته‌اند. این تا حدی به این دلیل است که بسیاری از برنامه‌ها رویکردی مبتنی بر فناوری و مناسب برای همه دارند و اغلب تمرکزشان بر جنبه‌های فنی خاصی مثل بهبود سلامت و کیفیت رمز عبور یا اجرای احراز هویت چندعاملی (Multi factor authentication) است.

البته آن‌ها به مسائل روانی و رفتاری اساسی که بر اعمال افراد تأثیرگذار است، توجه چندانی ندارند. واقعیت این است که تغییر رفتار انسان بسیار پیچیده‌تر از صرفاً تأمین اطلاعات یا الزام به اقدامات خاص است و این مورد، بیش از هر چیز در امنیت سایبری به چشم می‌آید.

ازجمله مثال‌های ملموس در این زمینه، می‌توان از کمپین‌های بهداشت عمومی مثل “ابتکار ایمنی در برابر نور خورشید” در استرالیا و نیوزلند یاد کرد که به‌وضوح نشان می‌دهد که چه فاکتورهایی در این میان تأثیرگذار هستند. این کمپین چهار دهه پیش آغاز شد و از آن زمان به بعد موارد ابتلا به ملانوما (نوعی سرطان پوست) در هر دو کشور به میزان قابل‌توجهی کاهش داشت و این نشان می‌دهد که تغییر رفتار مستلزم سرمایه‌گذاری مداوم برای ارتقای آگاهی است.

همین اصل در مورد آموزش امنیت سایبری نیز صادق است. اینکه مردم بهترین شیوه‌ها را می‌دانند، به این معنا نیست که به‌طور مداوم آن‌ها را به کار می‌برند؛ به‌خصوص در زمان‌هایی که با اولویت‌های رقابتی یا فشار زمانی روبرو هستند.

کوتاهی در قوانین جدید

در این شرایط، تمرکز قوانین پیشنهادی امنیت سایبری بر چند حوزه کلیدی قرار دارد. به‌عنوان‌مثال این قوانین در کشور استرالیا بر این حوزه‌ها متمرکز هستند:

• مبارزه با حملات باج‌افزار
• افزایش به اشتراک‌گذاری اطلاعات بین مشاغل و سازمان‌های دولتی
• تقویت حفاظت از داده‌ها در بخش‌های زیرساختی حیاتی، مثل انرژی، حمل‌ونقل و ارتباطات
• گسترش اختیارات تحقیقاتی برای حوادث سایبری
• معرفی حداقل استانداردهای امنیتی برای دستگاه‌های هوشمند.

چنین اقداماتی بسیار مهم هستند. البته دقیقاً مثل برنامه‌های آموزشی سنتی امنیت سایبری، در این اقدامات نیز در درجه اول به جنبه‌های فنی و رویه‌ای امنیت سایبری پرداخته می‌شود. در کشوری مثل آمریکا، رویکرد متفاوتی را شاهد هستیم و در برنامه استراتژیک تحقیق و توسعه امنیت سایبری این کشور،”امنیت سایبری انسان‌محور” اولین و مهم‌ترین اولویت در نظر گرفته‌شده است.

در این برنامه بر این نکته پافشاری شده: «تأکید بیشتری بر رویکردهای انسان‌محور به امنیت سایبری موردنیاز است که در آن نیازها، انگیزه‌ها، رفتارها و توانایی‌های افراد در خط مقدم تعیین طراحی، عملکرد و امنیت سیستم‌های فناوری اطلاعات قرار دارد.»

سه قانون برای امنیت سایبری انسان‌محور

حالا این سؤال مطرح می‌شود که چگونه می‌توان به‌اندازه کافی به موضوع خطای انسانی در امنیت سایبری رسیدگی کرد؟ در اینجا سه استراتژی کلیدی بر اساس آخرین تحقیقات ارائه‌شده است.

۱- بار شناختی را به حداقل برسانید: شیوه‌های امنیت سایبری باید به نحوی طراحی شوند که تا حد امکان بصری و بدون دردسر باشند. تمرکز برنامه‌های آموزشی باید بر روی ساده‌سازی مفاهیم پیچیده و ادغام شیوه‌های امنیتی یکپارچه در جریان‌های کاری روزانه قرار بگیرد.

۲- تقویت نگرش امنیت سایبری مثبت: آموزش باید به‌جای تکیه‌بر تاکتیک‌های ترس، بر نتایج مثبت اقدامات خوب امنیت سایبری تأکید کند. این رویکرد به ایجاد انگیزه در افراد برای بهبود رفتارهای امنیت سایبری کمک خواهد کرد.

۳- اتخاذ دیدگاهی بلندمدت: تغییر نگرش‌ها و رفتارها یک رویداد واحد نیست، بلکه یک فرآیند مستمر است. آموزش امنیت سایبری باید ادامه‌دار باشد و برای مقابله با تهدیدات، به‌صورت منظم به‌روزرسانی انجام گردد.

درنهایت، ایجاد یک محیط دیجیتالی امن نیازمند یک رویکرد جامع است که با ترکیب فناوری قوی، سیاست‌های درست و مهم‌تر از همه، کسب اطمینان از آموزش خوب و آگاهی مردم از امنیت به دست می‌آید. اگر بتوان دریافت که چه چیزی پشت خطاهای انسانی نهفته است، می‌توان برنامه‌های آموزشی مؤثرتری طراحی کرد و به سراغ شیوه‌های امنیتی بهتری رفت که در مسیر طبیعت انسان کار می‌کنند، نه برخلاف آن.

منبع: sciencealert

۵۸۳۲۱