کارکنان، یکی از بزرگترین خطرات برای امنیت سایبری یک سازمان هستند. در واقع، خطای انسانی بهعنوان عامل اصلی نقض حریم دادهها عنوان میشود.
اما از سوی دیگر کارکنان یک سازمان میتوانند بزرگترین سرمایه برای امنیت سایبری یک سازمان نیز باشند. چنانچه کارکنان، دانش لازم برای شناسایی تهدیدات را بهواسطه آموزشهای کارآمد و تعهدآور در خصوص آگاهی امنیتی به دست آورند، میتوانند همچون یک خط دفاعیِ مضاعف برای سازمان عمل کنند.
۱. کلاهبرداریهای ایمیلی
حمله فیشینگ، رایجترین روشی است که مجرمان سایبری از آن برای دسترسی به شبکه یک سازمان استفاده میکنند. آنها از زیادهخواهی ذاتی انسانها سوءاستفاده میکنند تا هدف خود را با ارائه پیشنهادهای فریبنده (مانند کالا و خدمات رایگان، فرصتهای مالی و غیره) یا ایجاد احساس اضطرار، فریب دهند و در دام کلاهبرداریهایشان اسیر کنند.
آگاهی دادن در مورد حملات فیشینگ باید جزئی از برنامه آموزش امنیت در هر سازمان باشد. این مبحث باید شامل ارائه نمونههایی از ایمیلهای رایج و مرتبط فیشینگ و نکاتی برای شناسایی حملات انجامشده باشد، از جمله:
۲. بدافزار
بدافزار، نرمافزار مخربی است که مجرمان سایبری از آن برای سرقت دادههای حساسی مانند اطلاعات کاربری، اطلاعات مالی و غیره یا آسیب رساندن به سیستمهای سازمان همچون نصب باجافزار و بدافزار حذفکننده استفاده میکنند. یک بدافزار به روشهای مختلفی از جمله ایمیلهای فیشینگ، دانلودهای درایوبای و رسانههای آلوده جداشدنی، میتواند وارد یک سازمان شود.در موضوع بدافزار، آموزش آگاهی امنیتی به کارکنان باید دربرگیرنده روشهای رایج انتقال، تهدیدها و تأثیرات آن بر سازمان باشد. نکات مهم عبارتاند از:
• به فایلهای ضمیمه ایمیلها، وبسایتها و دیگر موارد مشکوک باشید.
• نرمافزارهای غیرمجاز را نصب نکنید.
• آنتیویروس را همیشه در حالت اجرا و بهروز نگه دارید.
• در صورت آلودگی به بدافزار، تیم فناوری اطلاعات یا امنیت را بهسرعت در جریان بگذارید.
۳. امنیت رمز عبور
رمز عبور، رایجترین و سادهترین سیستم احراز هویت موجود است. اکثر کارمندان چندین حساب آنلاین دارند که با ارائه یک نام کاربری (اغلب آدرس ایمیل) و یک رمز عبور به آنها دسترسی پیدا میکنند.یک رمز عبور با امنیت ضعیف میتواند یکی از بزرگترین تهدیدها برای امنیت مدرن سازمانی محسوب شود. چند نکته مهم امنیتی در رابطه با رمز عبور که باید در محتوای آموزشی گنجانده شوند:
• همیشه برای هر حساب آنلاین از یک رمز عبور منحصربهفرد استفاده کنید.
• رمزهای عبور باید به صورت تصادفی تولید شوند.
• رمز عبور باید ترکیبی از حروف، اعداد و نمادها باشد.
• برای هر حساب کاربری از یک برنامه مدیریت رمز عبور برای تولید و ذخیره رمزهای عبور قوی استفاده کنید.
• در صورتی که احراز هویت چندعاملی (MFA) موجود است برای کاهش مخاطراتی که متوجه رمز عبور هستند از آن استفاده کنید.
۴. رسانههای جداشدنی
رسانههای جداشدنی نظیر یو اس بی، سیدی و غیره، ابزارهای سودمندی برای مجرمان سایبری هستند، چرا که به کمک بدافزارهای ذخیره شده در آنها میتوانند سیستمهای دفاعی امنیتی مبتنی بر شبکه یک سازمان را دور بزنند. بدافزار را میتوان بر روی رسانه نصب و پیکربندی کرد به طوری که اجرای آن به صورت خودکار اجرا شود یا یک فایل با نامی فریبنده در آن وارد کرد که کارمندان رابه کلیک روی آن ترغیب کند. رسانههای جداشدنی آلوده میتوانند دادهها را سرقت کنند، باجافزار نصب کنند یا حتی رایانهای را که به آن متصل شدهاند به طور کلی از کار بیندازند.رسانههای جداشدنی آلوده و مخرب را میتوان با انداختن در پارکینگها و مکانهای عمومی یا توزیع در کنفرانسها و سایر رویدادهای جمعی تکثیر کرد. کارمندان باید برای مدیریت صحیح رسانههای جداشدنی غیرقابل اعتماد آموزش ببینند:
• هرگز رسانههای جداشدنی غیرقابل اعتماد را به رایانه وصل نکنید.
• تمام رسانههای جداشدنی غیرقابل اعتماد یا مشکوک را برای اسکن شدن به مدیر امنیت یا فناوری اطلاعات شرکت تحویل دهید.
• گزینه اجرای خودکار (Autorun) را در همه رایانهها غیرفعال کنید.
۵. عادات امن اینترنت
تقریباً هر کارمند، بهویژه کسانی که در بخش فناوری کار میکنند به اینترنت دسترسی دارند. به همین دلیل، استفاده ایمن از اینترنت از اهمیت بالایی برای شرکتها برخوردار است.برنامههای آموزشی امنیتی باید عادات اینترنتی ایمن را که مانع نفوذ مهاجمان به شبکه شرکتی میشود در سرفصلهای خود داشته باشند. چند محتوای مهم که باید در آموزش گنجانده شوند:
• توانایی تشخیص دامنههای مشکوک و جعلی (مانند yahooo.com به جای yahoo.com )
• تفاوت بین HTTP و HTTPS و نحوه شناسایی یک اتصال ناامن
• خطرات دانلود نرمافزارهای نامعتبر یا مشکوک از اینترنت
• خطرات لاگین یا وارد کردن اطلاعات کاربری در وبسایتهای غیرقابل اعتماد یا خطرناک؛ از جمله صفحات جعلی و فیشینگ
• حملات گودال آب (watering hole attacks)، دانلودهای درایوبای و سایر تهدیدات و خطرات ناشی از مرور سایتهای مشکوک
۶. خطرات شبکههای اجتماعی
شرکتها از شبکههای اجتماعی، چه در سطح درون مرزی و چه در سطح جهانی، به عنوان ابزاری قدرتمند برای خلق یک برند و همچنین راهاندازی فروش آنلاین استفاده میکنند. متأسفانه، مجرمان سایبری نیز از رسانههای اجتماعی برای حملاتی استفاده میکنند که سیستمها و شهرت سازمان را به خطر میاندازد.یک سازمان برای اینکه جلوی از دست رفتن دادههای حیاتی را بگیرد، باید یک برنامه آموزشی پابرجا در خصوص استفاده از شبکههای اجتماعی داشته باشد که استفاده از این شبکهها را محدود کرده و کارکنان را از تهدیدات رسانههای اجتماعی آگاه کند:
• حملات فیشینگ میتوانند همانند آنچه در ایمیل اتفاق میافتد در رسانههای اجتماعی نیز رخ دهند.
• مجرمان سایبری میتوانند با جعل کردن برندهای مورد اعتماد، دادهها را به سرقت ببرند یا موتور بدافزارها را روشن کنند.
• اطلاعات منتشر شده در رسانههای اجتماعی میتواند برای ساخت ایمیلهای فیشینگ هدفدار (spearphishing) مورد سوءاستفاده قرار گیرد.
۷. امنیت فیزیکی و کنترلهای محیطی
آگاهی امنیتی فقط به آنچه که در رایانهها یا دستگاههای قابل حمل شرکت شما وجود دارد مربوط نمیشود. کارکنان باید از خطرات امنیتی بالقوه در جنبههای فیزیکی محیط کار خود آگاه باشند، از جمله:
• بازدیدکنندگان یا افرادی که تازه استخدام شدهاند، افرادی که هنگام تایپ رمزعبور توسط کارمندان، آنها را زیر نظر میگیرند. اصطلاح معروف برای آن، «دید زدن از روی شانه» است.
• دادن اجازه ورود به بازدیدکنندگانی که ادعا میکنند بازرس، سمپاش یا برخی مهمانان غیر معمول هستند و احتمالا قصدشان ورود به سیستم است و اصطلاحی که برای آن به کار میبرند «جعل هویت» است.
• اجازه دادن به یک فرد که شما را تا ورود به یک منطقه ممنوعه همراهی کند یا به قول معروف، همان «حرکت سپر به سپر»
• نوشتن رمزهای عبور روی تکه کاغذ و گذاشتن آن بر روی میز
• روشن گذاشتن رایانه بدون گذرواژه هنگام ترک محل کار
• در معرض دسترسی گذاشتن تلفن یا دستگاه اختصاصی شرکت
• درست عمل نکردن کنترلهای امنیتی فیزیکی مانند درها، قفلها و غیره
۸. سیاست میز پاک
اطلاعات حساس روی میز مانند برگهای یادداشت پشت چسبدار، کاغذها و پرینتها، میتوانند به آسانی سرقت شوند و یا در معرض دید چشمان کنجکاو قرار گیرند. سیاست میز پاک، بیانگر این است که اطلاعات قابل مشاهده روی میز باید به آنچه در حال حاضر ضروری است، محدود شود. قبل از اینکه به هر دلیلی از محل کار خارج شوید، تمام اطلاعات حساس و محرمانه باید به طور ایمن ذخیره شوند.
۹. مدیریت دادهها و حریم خصوصی
اکثر سازمانها حجم زیادی از اطلاعات حساس را جمعآوری، ذخیره و پردازش میکنند. این اطلاعات شامل دادههای مشتری، سوابق کارمندان، استراتژیهای کسبوکار و سایر دادههای مهم برای عملکرد صحیح کسبوکار است. در صورتی که هریک از این داده ا به صورت عمومی افشا شوند یا در دسترس یک رقیب یا مجرم سایبری قرار گیرند، ممکن است سازمان با تبعاتی همچون جریمههای قانونی قابل توجه، آسیب به روابط شرکت با مشتریان و از دست دادن مزیت رقابتی مواجه شود.کارکنان یک سازمان باید در مورد نحوه مدیریت صحیح دادههای حساس کسبوکار آموزش ببینند تا بتوانند از امنیت دادهها و حریم خصوصی مشتری محافظت کنند. محتوای آموزشی مهم میتواند شامل موارد زیر باشد:
• استراتژی طبقهبندی دادههای کسبوکار و نحوه شناسایی و محافظت از دادهها در هر سطح
• الزامات قانونی که عملکردهای روزانه یک کارمند را تحت تاثیر قرار دهند
• مکانهای ذخیرهسازی تایید شده برای دادههای حساس در شبکه سازمانی
• استفاده از یک رمز عبور قوی و احراز هویت چندعاملی (MFA) برای حسابهایی با دسترسی به دادههای حساس
۱۰. خط مشی همراه آوردن ابزارهای شخصی به محیط کار (BYOD)
خطمشیهای BYOD کارمندان را قادر میسازد از دستگاههای شخصی خود در محیط کار استفاده کنند. هرچند که این کار باعث افزایش کارآمدی میشود و به کارمندان امکان میدهد تا با دستگاههایی که با آن راحت هستند کار کنند، اما خطرات امنیتی بالقوهای را نیز به همراه دارد. آموزش آگاهی امنیتی به کارکنان در مقوله خطمشیهای BYOD باید شامل نکات زیر باشد:
• تمامی وسایل مورد استفاده در محل کار باید با یک رمز عبور قوی ایمن شوند تا در برابر سرقت محافظت شوند
• رمزگذاری فول دیسک را برای دستگاه های BYOD فعال کنید
• هنگام کار از طریق Wi-Fi غیرقابل اعتماد از VPN روی دستگاهها استفاده کنید
• دستگاه های مورد تایید BYOD باید با آنتیویروس مورد تایید شرکت کار کنند
• برنامهها را فقط از اپاستورهای شناخته شده یا به طور مستقیم از وبسایت سازنده آنها دانلود کنید
نتیجه
کارکنان نقش مهمی در راهاندازی یک کسبوکار موفق دارند. یک نیروی کار آموزش ندیده و سهلانگار میتواند شرکت شما را در معرض خطرات پی در پی نقض حریم داده قرار دهد. بنابراین، سازمانها باید یک برنامه آموزشی امنیتی با ثبات را اتخاذ کنند که دربرگیرنده دستورالعملهای لازم و ضروری برای خنثی کردن حوادث سایبری قریبالوقوع باشد. همچنین سازمان شما باید جلسات آموزشی ماهانه ترتیب دهد، برای یادآوریهای مکرر برنامه داشته باشد، همه کارکنان جدید را در مورد خطمشیهای جدید آموزش دهد، مواد آموزشی را در دسترس قرار دهد و اقدامات خلاقانهای برای پاداش دادن به کارکنانی در نظر بگیرد که در تضمین امنیت سازمان نقش داشتهاند.