Οι υποχρεώσεις είναι πολλές, οι περισπασμοί ακόμη περισσότεροι και οι απειλές αυξάνονται συνεχώς. Οι κυβερνοεγκληματίες γνωρίζουν ότι ο χρόνος δεν επαρκεί για να φροντίσουμε και την παραμικρή λεπτομέρεια. Αν και η εικόνα ενός κουκουλοφόρου χάκερ που πληκτρολογεί με φρενήρη ρυθμό σε ένα σκοτεινό δωμάτιο υπάρχει στο μυαλό των περισσότερων, στην πραγματικότητα τα πράγματα είναι πολύ διαφορετικά.

Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr

 

 

 

 

Αν και υπάρχουν περιπτώσεις που οι χάκερ θα αξιοποιήσουν το «ταλέντο» τους ή θα στήσουν ολόκληρες επιχειρήσεις για να εισέλθουν σε εταιρικά δίκτυα και να διαταράξουν τις επιχειρησιακές λειτουργίες, συνήθως αναζητούν ευκολότερους τρόπους. Και στην πλειονότητα των περιπτώσεων, σε αυτούς τους τρόπους περιλαμβάνεται κάποια αστοχία, ευπάθεια ή κενό ασφαλείας που σχετίζεται με το «ανθρώπινο στοιχείο». Από μία σχετικά πρόσφατη έρευνα-έκθεση της Verizon έγινε γνωστό ότι στο 82% του συνόλου των παραβιάσεων παρατηρήθηκε ανάμιξη του «ανθρώπινου στοιχείου», δηλαδή υπαλλήλων που έπρεπε να έχουν καλύτερη κρίση και να είναι περισσότερο υποψιασμένοι.

Είναι οι υπάλληλοί σας ευαισθητοποιημένοι σε θέματα κυβερνοασφαλείας; Έχουν εκπαιδευτεί κατάλληλα και επαρκώς; Ξέρουν πώς να ξεχωρίσουν ένα νόμιμο μήνυμα ηλεκτρονικού ταχυδρομείου από ένα μήνυμα ηλεκτρονικού ψαρέματος (phishing);

Εκπαίδευση, Εκπαίδευση, Εκπαίδευση

Η εκπαίδευση των υπαλλήλων σας είναι κρίσιμης σημασίας για τη στρατηγική κυβερνοάμυνας της επιχείρησής σας. Τα προγράμματα ευαισθητοποίησης σε θέματα κυβερνοασφάλειας (για τους υπαλλήλους κάθε σχεδόν ρόλου στην επιχείρησή σας) δεν πρέπει να υποτιμούνται, καθώς είναι απολύτως απαραίτητα για να «κλείσει ένα τεράστιο κενό ασφαλείας» το οποίο αξιοποιείται από την πλειονότητα των χάκερ και των κυβερνοεγκληματιών για να εισέλθουν σε εταιρικά συστήματα και δίκτυα. Αν και ορισμένοι «σκληροπυρηνικοί» από το χώρο της κυβερνοασφάλειας αποκαλούν τις δεξιότητες που θα αποκτηθούν «ήπιες», εντούτοις τόσο τα δεδομένα όσο και διάφορες έρευνες που έχουν πραγματοποιηθεί κατά καιρούς δείχνουν ότι και η παραμικρή βελτίωση στον συγκεκριμένο τομέα μπορεί να έχει θεαματικά αποτελέσματα.

Αξιοποιώντας κάποιο εκπαιδευτικό πρόγραμμα ευαισθητοποίησης σε θέματα «υγιεινής» κυβερνοασφάλειας, θα καταστήσετε τους υπαλλήλους σας ικανούς να ανταποκριθούν στις προκλήσεις του σημερινού, περίπλοκου τοπίου απειλών και περισσότερο υποψιασμένους απέναντι σε απειλές όπως το ηλεκτρονικό ψάρεμα (phishing) και τις τεχνικές λυτρισμικού (ransomware).

Παραλείψεις, απροσεξίες, μικρές αστοχίες ή απλά λάθη είναι τα πρώτα πράγματα που ψάχνουν για να αξιοποιήσουν οι χάκερ και οι κυβερνοεγκληματίες προς όφελός τους, καθώς είναι το τελευταίο πράγμα που έρχεται στον νου μας. Η εκπαίδευση σε θέματα κυβερνοασφαλείας είναι θέμα καλλιέργειας μίας συγκεκριμένης νοοτροπίας που μπορεί να έχει θεαματικά αποτελέσματα στη συνολική στάση ασφαλείας του οργανισμού σας.

Τι Δείχνουν τα Δεδομένα

Σύμφωνα με τις τελευταίες έρευνες, πολλές επιθέσεις από κυβερνοεγκληματίες σε απλούς χρήστες και σε οργανισμούς κάθε μεγέθους ξεκινούν από τα μέσα κοινωνικής δικτύωσης. Η μίμηση, η πλαστογραφία και η πλαστοπροσωπία σήμερα είναι από τις πλέον επικίνδυνες απειλές και είναι εξαιρετικά δημοφιλείς στις τάξεις των κυβερνοεγκληματιών επειδή πολύ απλά μπορούν να «ανοίξουν πόρτες» και είναι εξαιρετικά απλές στην υλοποίησή τους. Χρειάζονται νομίζετε πολλά περισσότερα από έναν ψεύτικο λογαριασμό στα μέσα κοινωνικής δικτύωσης, την κλοπή του λογότυπου μίας εταιρείας ή την φωτογραφία ενός μεγαλοστελέχους για να γίνουν πειστικοί; Από εκεί και πέρα, μπορούν να αρχίσουν να «φωνάζουν» για εκπτώσεις ή προσφορές ή μπορούν να δανειστούν την «ταυτότητα» ενός μεγαλοστελέχους μίας εταιρείας για να οδηγήσουν αθώους χρήστες σε κακόβουλες ιστοσελίδες για την παραβίαση των διαπιστευτηρίων τους ή την οικονομική εξαπάτηση τους… την συνέχεια την ξέρετε.

Ένα εκπαιδευτικό πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας θα μπορούσε να διδάξει στους χρήστες να αποφεύγουν τέτοιου είδους απάτες, να εντοπίζουν τις κακόβουλες προθέσεις και να διατηρούν τόσο τα δικά τους, όσο και τα δεδομένα της εταιρείας τους, ασφαλή. Η εκπαίδευση σε θέματα ασφάλειας είναι ένα από τα καλύτερα φυλαγμένα μυστικά για την ενίσχυση μιας εταιρικής στρατηγικής μηδενικής εμπιστοσύνης (zero trust). Κλείνει «κενά ασφαλείας» που οφείλονται στον ανθρώπινο παράγοντα, σας γλυτώνει από ένα σωρό χρήματα για «φανταχτερά» προϊόντα και ενισχύσεις που περισσότερο προκαλούν σύγχυση παρά σας βοηθούν να καλύψετε τις πραγματικές ανάγκες σας. Οι κορυφαίοι επιχειρηματίες «πιστεύουν» στα προγράμματα ευαισθητοποίησης και προσομοίωσης κυβερνοαπειλών και πλέον τα έχουν ενσωματώσει στη στρατηγική κυβερνοασφαλείας των εταιρειών τους.

Ένα Παράδειγμα

Με τη βοήθεια της Terranova Security, μίας θυγατρικής του κολοσσού κυβερνοασφαλείας Fortra, μία κατασκευαστική εταιρεία κατάφερε να ενσωματώσει την εκπαίδευση με τόση επιτυχία σε ένα αποκεντρωμένο, πολύγλωσσο εργατικό δυναμικό που οι εργαζόμενοι της βρέθηκαν να υιοθετούν ασφαλείς πρακτικές πέρα από το γραφείο και στο σπίτι τους. Αυτό από μόνο του δεν αποτελεί ένδειξη επιτυχίας του προγράμματος; Η συγκεκριμένη κατασκευαστική εταιρεία είχε στις τάξεις της υπαλλήλους από διαφορετικές χώρες με αποτέλεσμα οποιαδήποτε πρωτοβουλία εκπαίδευσης και ευαισθητοποίησης να αποτελεί πρόκληση. Ακόμα και όταν δοκίμασαν να αξιοποιήσουν το πρόγραμμα μίας εταιρείας, οι ανάγκες που υπήρχαν δεν καλύφθηκαν επαρκώς καθώς τα πάντα ήταν γραμμένα στην Αγγλική γλώσσα. Οι απαιτήσεις και οι ανάγκες της επιχείρησης καλύφθηκαν και με το παραπάνω, όταν οι υπεύθυνοι μετά από έρευνα αγοράς στράφηκαν στη λύση της Terranova Security. Όχι μόνο ανακάλυψαν ότι είχαν στη διάθεσή τους ποικιλία σεναρίων ηλεκτρονικού ψαρέματος (phishing) σε πραγματικό χρόνο αλλά απέκτησαν πρόσβαση επιπλέον σε μια ολοκληρωμένη βιβλιοθήκη γεμάτη εκπαιδευτικό υλικό σε διάφορες γλώσσες. Σε συνεργασία λοιπόν με την Terranova Security σχεδίασαν ένα πρόγραμμα ασφάλειας που μπορούσε να φτάσει απ’ άκρη σε άκρη στο σύνολο του οργανισμού και περιλάμβανε βασικές γραμμές προ-εκπαίδευσης, εκπαίδευση σε επίπεδο πλατφόρμας, διάφορες  μετρήσεις και αξιολογήσεις βάσει ειδικά προσαρμοσμένων τεστ και κουίζ που σχετίζονταν με το ηλεκτρονικό ψάρεμα (phishing) ή άλλες απάτες κ.ά.

Το Καλύτερο Εκπαιδευτικό Πρόγραμμα

Για να έχει ωστόσο η εκπαίδευση πραγματικό νόημα και αντίκτυπο, θα πρέπει να αποτελεί μέρος ενός μακροπρόθεσμου σχεδίου. Ακριβώς για αυτόν τον λόγο, η επιχείρηση αξιοποίησε και συμβουλευτικές υπηρεσίες από τον συνεργάτη που υλοποίησε το έργο, για να εφαρμόσει ένα πλαίσιο ασφάλειας πληροφοριών πέντε βημάτων καθιερώνοντας επιπλέον και μία ρουτίνα ελέγχου για τους υπαλλήλους της. Το αποτέλεσμα; Τα ποσοστά «κλικ» σε περιπτώσεις απάτης ηλεκτρονικού ψαρέματος μειώθηκαν από σχεδόν 40% σε ποσοστό κάτω του 15% ενώ ο αριθμός των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου που αναφέρθηκαν αυξήθηκε από μόλις 25 σε πάνω από 500 σε ετήσια βάση. Αν λοιπόν ακούσατε κάποιους να λένε ότι η εκπαίδευση για την ευαισθητοποίηση των υπαλλήλων σε θέματα κυβερνοασφάλειας «δεν έκανε και πολλά», μάλλον δεν είχαν τη σωστή συνεργασία ή τα κατάλληλα εργαλεία. Ποια είναι τα χαρακτηριστικά του προγράμματος της Terranova Security που το καθιστούν ένα από τα καλύτερα της αγοράς;

Είναι συναρπαστικό – Οι άνθρωποι δεν θα μάθουν αν δεν ακούσουν και δεν θα ακούσουν αν δεν διατηρηθεί το ενδιαφέρον τους αμείωτο. Το να διατηρήσετε τα πράγματα εύπεπτα, ενημερωτικά και διασκεδαστικά συμβάλλει σημαντικά στη διατήρηση του ενδιαφέροντος των εκπαιδευόμενων.

Μοιάζει με παιχνίδι – Η παθητική ακρόαση μετατρέπεται σε ενεργητική μάθηση όταν οι άνθρωποι καλούνται να λύσουν γρίφους. Επομένως, μετατρέποντας σε παιχνίδι πραγματικά σενάρια θα βάλετε τους χρήστες στο επίκεντρο της δράσης και θα δοκιμάσετε πραγματικά τις γνώσεις τους.

Είναι μετρήσιμο – Μπορεί η εκπαίδευση ευαισθητοποίησης να μοιάζει «ήπια», όμως είναι απαραίτητο να υπάρχουν μετρήσιμα αποτελέσματα. Τα καλύτερα προγράμματα παρέχουν αναλυτικές αναφορές και αναλύσεις σε βάθος αξιοποιώντας μία κεντρική κονσόλα.

Είναι καινοτόμο – Ο πάροχος του εκπαιδευτικού υλικού πρέπει να βρίσκεται πάντα στην αιχμή κάθε κακόβουλης εξέλιξης και να ενημερώνει διαρκώς το υλικό, ώστε οι ομάδες σας να βρίσκονται ένα βήμα μπροστά από τις τελευταίες απειλές.

Λειτουργεί 24/7 – Τα αποτελεσματικά προγράμματα βασίζονται στην προσδοκία ότι η ευαισθητοποίηση σε θέματα ασφάλειας είναι κάτι που εξελίσσεται. Και επειδή οι απειλές εξελίσσονται διαρκώς, παράλληλα εξελίσσεται και το πρόγραμμα της Terranova Security.

 Εργαλεία Επικοινωνίας και Ενίσχυσης

Διευρύνετε τη συμμετοχή των υπαλλήλων σας με μια ποικιλία εργαλείων επικοινωνίας που εμπλουτίζονται διαρκώς με νέα στοιχεία:

Ενημερωτικά δελτία: Ενημερωτικά δελτία κατάρτισης και επισημάνσεις βέλτιστων πρακτικών ασφαλείας απευθείας στους υπαλλήλους σας.

Αφίσες – Προωθήστε το πρόγραμμα εκπαίδευσής σας με οπτικό υλικό που μπορείτε να προσαρμόσετε ώστε να ταιριάζει με την επωνυμία σας.

Ταπετσαρίες για συσκευές και οθόνες – Αυξήστε τη συμμετοχή στο πρόγραμμα με ζωντανά ψηφιακά μηνύματα σε οθόνες στην επιχείρησή σας.

Κόμικς: Προσθέστε μια διασκεδαστική οπτική πτυχή στο εκπαιδευτικό σας πρόγραμμα με σύντομα κόμικς που απεικονίζουν χαρακτήρες σε διάφορα σενάρια.

Infographics: Μοιραστείτε συμβουλές και βέλτιστες πρακτικές για την κυβερνοασφάλεια σε μια συμπαγή, ελκυστική μορφή που είναι ιδανική για κοινωνικά δίκτυα ή intranets.

Cyberpedia: Όλα όσα πρέπει να γνωρίζουν για βασικά θέματα κυβερνοασφάλειας σε ενημερωτικές ιστοσελίδες.

Βίντεο: Συμβουλές και βέλτιστες πρακτικές για την κυβερνοασφάλεια σε μορφή βίντεο.

Καλλιεργήστε μία Κουλτούρα Ευαισθητοποίησης

Αρκεί ένα απερίσκεπτο κλικ σε έναν ύποπτο σύνδεσμο ή συνημμένο αρχείο για να αφεθούν οι πλέον σημαντικές πληροφορίες της εταιρείας σας εκτεθειμένες. Μην ξεχνάτε, ότι στην περίπτωση που υπάρξει παραβίαση δεδομένων, ο οργανισμός σας ενδέχεται να βρεθεί αντιμέτωπος με τις σοβαρές συνέπειες της απώλειας εμπιστοσύνης, απώλειες που σχετίζονται με τη φήμη του και βεβαίως τις οικονομικές κυρώσεις και πρόστιμα από τις αρμόδιες υπηρεσίες ή αρχές.

Δώστε στους υπαλλήλους σας τη γνώση που χρειάζονται για να εντοπίζουν και να αναφέρουν πιθανές επιθέσεις με εκπαίδευση που είναι ελκυστική, ενδιαφέρουσα, συναρπαστική και που αλλάζει τις παρακινδυνευμένες διαδικτυακές συμπεριφορές.

Μην περιμένετε μέχρι να πέσετε θύμα επίθεσης. Η αποτελεσματική κυβερνοασφάλεια δεν αφορά μόνο τείχη προστασίας ή APIs για μηνύματα ηλεκτρονικού ψαρέματος – πρέπει να αποτελεί μέρος της κουλτούρας του οργανισμού σας. Εκπαιδεύστε τους υπαλλήλους σας σε κρίσιμες βέλτιστες πρακτικές κυβερνοασφάλειας, χωρίς να περιορίζετε την παραγωγικότητά τους ή να θέτετε σε κίνδυνο εμπιστευτικές πληροφορίες.