A kiberbiztonsággal kapcsolatos kockázatok folyamatosan fejlődnek, de egyetlen kihívás mindig állandó marad a CISO-k számára: az emberi hibák kezelése. Még a fejlett megoldások és kifinomult protokollok ellenére is előfordul, hogy az alkalmazottak akaratlanul teszik ki az érzékeny adatokat és rendszereket a kiberfenyegetéseknek.
A Verizon 2024-es Data Breach Investigations Report (DIBR) című jelentése 2023-ban rekordszámú, 30.458 biztonsági incidenst elemzett, köztük 10.626 megerősített jogsértést - ez kétszeres növekedés az előző évhez képest. Jelentős, hogy a jelentés szerint több mint kétharmadát (68%) az emberi tényezőnek tulajdonították. Ezért kritikus fontosságú a CISO-k számára, hogy megértsék, mi áll a munkavállalók hibái mögött, amikor olyan lépést tesznek, amely veszélyezteti a biztonságot.
Ahogy Carolin Desirée Toepfer, a Cyttraction CISO-ja megjegyezte: "Amit a kiberbiztonság szempontjából gyakran elfelejtünk: az embereknek, akikkel együtt dolgozunk, teljesen más a hátterük, más a napi rutinjuk, és máshogy viszonyulnak a technológiához". Ám a munkatársaik viselkedését befolyásoló pszichológiai tényezők megértésével a CISO-k jobban felkészülhetnek arra, hogy valódi kockázattudatosságot és tartós viselkedésbeli változást érjenek el. A biztonsági hiba legtöbbször három fő ok egyikére vezethető vissza.
1. Nem értik a szerepüket a védelemben
Az edukációs erőfeszítések ellenére sok alkalmazott nem teljesen érti, hogy a védelem első vonalaként nekik kell ébernek lenniük. Ehelyett azt hiszik, hogy a kiberbiztonság az informatikai részleg felelőssége, és lazává válnak az adatok védelmét illetően. Ahogy Itamar Shalev kiberbiztonsági tudatossággal foglalkozó szakértő mondta: "Nem olyan óvatosak, mint amennyire kellene, ha gyanús linkekre kattintanak, mert bíznak abban, hogy a vállalat biztonsági rendszerei megakadályozzák, hogy bármi káros dolog átjusson rajtuk".
A probléma megoldásának egyik módja a biztonsági képzések formátumának és gyakoriságának variálása. Toepfer szerint ez segít jobban átadni a következetes éberség fontosságát, és lehetővé teszi az alkalmazottak számára, hogy hatékonyan elsajátítsák az egyes leckéket, ahelyett, hogy egyszerre túl sok mindent kellene elsajátítaniuk. "Ne évente egyszer foglalkozzon a témával, és ne kényszerítse a kollégákat arra, hogy részt vegyenek a tudatosságnövelő képzésen, hanem öt-hat alkalommal, különböző módon, különböző linkekkel és különböző csatornákon mutassa be a kiberbiztonságot" - mondta, és azt javasolta, hogy néhány hetente mutassanak be kifejezetten célzott, mindössze 3-15 perces videókat az alkalmazottaknak.
Ehhez kapcsolódó probléma, hogy a felhasználók gyakran vonakodnak jelenteni egy problémát, mert félnek a következményektől, ha olyan lépést tettek, amely veszélyezteti a vállalat biztonságát. Az ilyen késedelmes bejelentések meghosszabbítják a rossz szándékú szereplők számára az időt, hogy komoly károkat okozzanak. A Verizon DBIR szerint átlagosan 55 napot vesz igénybe a szervezeteknek, hogy a kritikus sebezhetőségeket befoltozzák, és ez az idő komoly veszteségeket jelenthet, a költséges zsarolóprogram-támadásoktól kezdve a vállalat hírnevének károsodásáig.
A CISO-k úgy tudnak foglalkozni ezzel a problémával, hogy tovább ösztönzik azt a kultúrát, amelyben mindenki felismeri, hogy milyen alapvető szerepet játszik a szervezet biztonságának fenntartásában. Ahelyett, hogy a félelem kultúrájához járulnának hozzá a megnevezésekkel és megszégyenítésekkel, a CISO-k kiemelhetik azokat az embereket, akik okos biztonsági döntéseket hoztak és elhárították a kockázatokat, hogy példaképként szolgáljanak, és az eseményeket tanulási tapasztalatokká alakítsák.
2. A kényelmet helyezik előtérbe a biztonsággal szemben
Az emberek természetüknél fogva hajlamosak kreatívan betartani az energiaminimum alaptörvényét a munkahelyükön is, és ez gyakran azt jelenti, hogy a kényelem kedvéért a biztonságot veszélyeztető cselhez folyamodnak. Még a technológiai dolgozók sem kivételek, amikor például nem megbízható forrásból importálnak könyvtárakat - feltételezve, hogy ezek biztonságosak - ezzel tovább segítik a rosszindulatú programok terjesztését és jelszavak ellopását.
A rendszereket veszélyeztető ilyen "rutinok" elkerülése érdekében a CISO-k automatikus MFA-kérelmeket helyezhetnek üzembe, hogy elkerüljék a kompromittált jelszavakból eredő kockázatokat, és korlátozhatják az adatokat veszélyeztető szolgáltatásokhoz való hozzáférést, beleértve a generatív AI-t vagy a letölthető kódkönyvtárakat. A CISO-knak listát kell adniuk az ingyenes szolgáltatások biztonságos alternatíváiról, amelyekre a vállalat fejlesztői hivatkozhatnak az átvizsgált és rosszindulatú programtól mentesnek minősített letölthető anyagok esetében.
3. Nem jobb félni, mint megijedni
Az emberek hajlamosak az ismétlődő feladatoknál robotpilóta üzemmódba kapcsolni, és egyszerűen ignorálják az állandó riasztásokat - magyarázza Alexandre Blanc kiberbiztonsági tanácsadó. A csalók ezt kihasználják azzal, hogy adathalász-kísérleteiket és egyéb támadásaikat olyan digitális üzenetekbe illesztik, amelyek megegyeznek azzal, amivel az alkalmazottak állandóan találkoznak.
Bár lehet ezekre figyelmeztetéseket eszközölni, az értesítések folyamatos áramlása riasztási közönyt okoz. Az alkalmazottak megtanulják kiiktatni a riasztásokat, ezzel azonban eljuthatnak oda, hogy figyelmen kívül hagyják a valós fenyegetésre vonatkozó figyelmeztetéseket.
A Verizon riportja megjegyezte, hogy "a leghatékonyabb ellenőrzések jellemzően azok, amelyek a technikai erőforrások mellett az emberi tényezőt is kihasználják". A jó hír az, hogy a vállalatok felismerik ezt a tényt. Ennek megfelelően Shalev szerint sokan elkezdték alkalmazni a "viselkedéstudományi technikákat, mint például a rendszeres emlékeztetőket, hogy ösztönözzék a kívánt biztonsági viselkedés megvalósulását". Az ilyen ösztönzők arra késztethetik az alkalmazottakat, hogy megálljanak és értékeljék, hogy a digitális kérések jogszerűek-e, mielőtt cselekednének - anélkül, hogy belefáradnának az állandóan "farkast kiáltó" rendszerbe.
Blanc azt ajánlja, hogy az alkalmazottaknak a következő három kérdést adják feladatul:
- Miért kaptam ezt az üzenetet vagy információkérést?
- Én kértem?
- Tudom-e ellenőrizni ezt a kérést más csatornán keresztül?
A felhasználóknak "out-of-band" kommunikációt kell használniuk az ellenőrzéshez, hogy kiiktassák a támadásokat és a csalásokat. Az ilyen vállalkozásokkal való kapcsolatfelvétel egy korábban legitimnek bizonyult telefonszámon vagy e-mail címen keresztül jó módszer annak megállapítására, hogy az üzenetet az állítólagos jogalany engedélyezte-e vagy sem.
Bár a CISO-k nem tudják kiküszöbölni az összes emberi kockázatot, jelentősen csökkenthetik az incidenseket és elősegíthetik a kibertudatos kultúrát egy olyan stratégiával, amely a rossz döntések mögött álló pszichológiai mozgatórugókkal foglalkozik. Az átlátható, felelősségvállalásra összpontosító kultúra kialakításával a biztonsági vezetők olyan elkötelezett és tájékozott munkatársakat nevelhetnek ki, akik már felhatalmazhatók arra, hogy a kiberbiztonság első védelmi vonalaként lépjenek fel.
