خطای انسانی بزرگ‌ترین تهدید سایبری

به گزارش کارگروه بین‌الملل سایبربان؛ تحقیقات شرکت مشاوره فناوری اطلاعات «STX Next» نشان می‌دهد که تقریباً دو سوم (59 درصد) از مدیران ارشد فناوری خطای انسانی را بزرگ‌ترین تهدید سایبری می‌دانند و درمورد باج‌افزار و فیشینگ نیز نگرانی‌های جدی دارند.

خطای انسانی، که می‌تواند از دانلود پیوست آلوده به بدافزار تا عدم استفاده از رمز عبور قوی متغیر باشد، خطرناک‌تر از احتمال حملات باج‌افزار (48 درصد) و فیشینگ (40 درصد) است. با توجه به اینکه نیروی کار بزرگ‌ترین سطح حمله سازمان‌ها را نشان می‌دهد، قبلاً گزارش شده بود که خطای انسانی 95 درصد از تمام موارد نقض سایبری را تشکیل می‌دهد.

در پاسخ به این تهدیدات، مدیران ارشد فناوری طیف وسیعی از تاکتیک‌ها را برای محافظت از تیم‌ها و سازمان‌های گسترده‌تر خود به کار می‌گیرند و از راه‌حل‌های فراوان موجود در بازار استفاده می‌کنند. احراز هویت چند عاملی که در سال‌های اخیر مطرح شده، توسط 94 درصد شرکت‌ها استفاده شده، 91 درصد شرکت‌ها از فناوری مدیریت دسترسی هویت (IAM)، 58 درصد از فناوری اطلاعات امنیتی و مدیریت رویداد (SIEM) و 86 درصد از شرکت‌ها از راه‌حل‌های احراز هویت یکپارچه (SSO) استفاده می‌کنند.

امنیت یکی از چالش‌های اصلی مدیران ارشد فناوری

این یافته‌های STX Next از نظرسنجی جهانی مدیران ارشد فناوری در سال جاری گرفته شده که 500 مدیر ارشد فناوری جهانی را در مورد بزرگ‌ترین چالش‌های پیش روی سازمان مورد بررسی قرار داده است.

سایر یافته‌های کلیدی این تحقیق عبارتند از :

• یک چهارم (24 درصد) از مدیران ارشد فناوری گفتند که امنیت بزرگ‌ترین چالش آنها در سراسر سازمان و چهارمین پاسخ محبوب است.
• با وجود تهدید فزاینده حمله، تنها کمتر از نیمی (49 درصد) از شرکت‌های مورد بررسی گفتند که در حال حاضر یک بیمه‌نامه سایبری دارند، در حالیکه 59 درصد از مشاغل راه‌حل محافظت از باج‌افزار را اجرا کرده‌اند.
• تیم‌های امنیتی داخلی هنوز در اقلیت هستند : فقط 36 درصد از شرکت‌ها دارای یک تیم یا بخش اختصاصی ارائه دهنده خدمات امنیتی هستند، در حالیکه 53 درصد از شرکت‌ها از خدمات شرکت‌های تخصصی خارجی برای امنیت استفاده می‌کنند.

کریستوف اولینیچاک (Krzysztof Olejniczak)، مدیر ارشد فناوری در شرکت تحقیقاتی STX Next اظهار داشت :

«داده‌های نظرسنجی امسال نشان می‌دهد که کارکنان همچنان ضعیف‌ترین نقطه امنیت شرکت هستند. علیرغم استقرار فناوری جامع، اجرای ضعیف، فرآیندهای پشتیبانی نامرغوب یا عدم حاکمیت می‌تواند این تلاش‌ها را بی‌فایده کند. در سال‌های اخیر، فراوانی و شدت حملات سایبری در تمام صنایع به‌طور فوق‌العاده‌ای افزایش یافته و کارکنان اغلب بار مسئولیت اولین خط دفاعی یک سازمان را بر دوش می‌کشند.»

وی خاطرنشان کرد :

«در حالیکه تهدید باج‌افزاری همچنان بالا است، در بسیاری موارد، مجرمان سایبری در واقع به روش‌های بسیار پیشرفته و پیچیده حمله متکی نیستند، بلکه به خطاهای انسانی و تکنیک‌های مهندسی اجتماعی برای دسترسی به سیستم‌های یک سازمان متکی هستند و این روش حمله همچنان محبوب‌ترین و موفق‌ترین است. خطای انسانی همچنین می‌تواند شامل کلاهبرداری داخلی باشد که در آن کارکنان عمداً از رویه‌ها پیروی نمی‌کنند و اطلاعات مهم را در معرض نمایش قرار نمی‌دهند.»

در پاسخ، بسیار مهم است که تیم‌های مدیریتی نه تنها بر آموزش کارکنان برای شناسایی و پاسخ به تهدیدات جدید تمرکز کنند، بلکه روی آزمایش دوره‌ای انعطاف‌پذیری آن‌ها از طریق حملات شبیه‌سازی شده یا آزمایش‌های فیشینگ و باج‌افزار متمرکز باشند. آزمایش‌های مکرر همچنین اقدامات و رفتارهای بهداشت سایبری خوب را تشویق می‌کند. علاوه بر آزمایش، راه‌حل‌هایی مانند احراز هویت چند عاملی (MFA)، مدیریت دسترسی هویت و احراز هویت یکپارچه به سرعت در حال تبدیل شدن به یک استاندارد صنعتی برای تجارت مدرن هستند و می‌توانند خط دفاعی اضافی برای محدود کردن خطر خطای انسانی ارائه دهند.

کارشناسان معتقدند که بدون اعمال حفاظت، سازمان‌ها خود را، چه به طور مستقیم و چه از طریق زنجیره تأمین، در معرض خطر تحت تأثیر حملات قرار می دهند. چه در داخل و چه برون سپاری، مدیر ارشد فناوری و مدیر ارشد امنیت اطلاعات باید اقداماتی را برای حمایت از تیم‌های خود انجام دهند و اطمینان حاصل کنند که آنها برای اجتناب‌ناپذیری حمله آماده و محافظت می‌شوند.