Epämiellyttävän tarkka väärennetty Google-kirjautumissivu. Emma Williams, CC BY-ND

Yrityksiä pommitetaan phishing-huijauksilla joka päivä. Äskettäisessä kyselyssä yli 500-tietoturva-alan ammattilaisia ​​ympäri maailmaa, 76% raportoitu että heidän organisaationsa joutui uhreiksi tietojenkalasteluhyökkäyksessä 2016issa.

Nämä huijaukset ovat sähköpostiviestejä, jotka yrittävät suostutella henkilökuntaa lataamaan haittaohjelmia, napsauttamalla vihamielisiä linkkejä tai antamaan henkilökohtaisia ​​tietoja tai muita arkaluonteisia tietoja. Kohdistettua ”keihään” phishing-kampanjaa syytettiin hiljattain tapahtuneen tietoverkkohyökkäyksen käynnistämisestä suuri sähkökatkos Ukrainassa.

Vielä huolestuttavampi on, että phishing-hyökkäykset ovat nyt suosituin tapa toimittaa ransomware organisaation verkkoon. Tämä on ohjelmistotyyppi, joka tyypillisesti salaa tiedostot tai lukitsee tietokoneen näytöt kunnes lunnaita maksetaan. Vaaditut määrät ovat yleensä melko pieni, mikä tarkoittaa, että monet organisaatiot maksavat lunnaita yksinkertaisesti ilman mitään takuuta siitä, että niiden järjestelmät avataan. Näiden phishing-hyökkäysten edessä työntekijöistä on tullut tietoverkkoturvallisuuden etulinjassa. Niiden haavoittuvuuden vähentäminen phishing-sähköposteihin on siten tullut yrityksille kriittinen haaste.

Kurinpito-ongelmat

Koska organisaatiot pyrkivät rajoittamaan uhkaa, yksi ajatus, joka saa vetoa, on sen mahdollinen käyttö kurinpitomenettelyt vastaan ​​henkilötietoja, jotka napsauttavat phishing-sähköpostiviestejä. Tämä vaihtelee täydennyskoulutuksen päättymisestä muodolliseen kurinpidolliseen toimintaan, etenkin ns. "Toistuviin napsautuksiin" (ihmiset, jotka vastaavat pikaviestitiedostoihin enemmän kuin kerran). Ne edustavat a erityisesti heikko kohta tietoturvaan.

Tämä ei ole välttämätöntä - eikä todellakaan ole hyvä ajatus. Aluksi emme vieläkään ymmärrä, miksi ihmiset reagoivat pikemminkin phishing-sähköposteihin. Tutkimus on vain naarmuuntumassa siitä, miksi ihmiset voivat vastata niihin. Sähköpostitavat, työpaikka kulttuuri ja normit- tietämyksen taso, joka yksilöllä on, olipa työntekijä hajamielinen tai suuressa paineessa - on olemassa monipuolinen online-riskien ymmärtäminen, jotka kaikki voivat vaikuttaa siihen, voivatko ihmiset tunnistaa tietokalastelun sähköpostin tietyllä hetkellä.

Valitettavasti tämä tarkoittaa, että vastauksia on vielä enemmän. Ovatko jotkin työtehtävät haavoittuvampia niiden tehtävien vuoksi, joihin he osallistuvat? Onko koulutus tehokasta kouluttaa henkilöstöä phishing-hyökkäysten riskeistä? Ovatko työntekijät tarpeen mukaan tärkeysjärjestyksessä muiden työpaikkojen vaatimuksiin? Näiden tuntemattomien joukossa kurinalaisuuteen perustuva lähestymistapa vaikuttaa ennenaikaiselta, ja se voi vaarantaa muita tehokkaampia toimia.

Kohdistetut tietojenkalasteluhyökkäykset ovat myös entistä kehittyneempiä ja vaikeasti havaittavia, jopa teknisille käyttäjille. Viimeaikaiset hyökkäykset (päällä) PayPal ja Googleesimerkiksi) osoittavat tämän.

Nyt on uskomattoman helppo käsitellä petollista sähköpostia, joka näyttää hyvin samanlaiselta, ellei melkein samanlaiselta, lailliselle. Väärinkäytetyt sähköpostiosoitteet, tarkkojen logojen sisällyttäminen, oikeat asettelut ja sähköpostin allekirjoitukset voivat kaikki vaikeuttaa phishing-sähköpostin erottamista aidosta.

Pysy rauhallisena ja jatka

Tietojenkalastajat ovat myös erittäin hyviä skenaarioiden luominen jotka maksimoivat todennäköisyyden, että ihmiset reagoivat. Ne tuovat esiin paniikkia ja kiireellisyyttä sellaisilla asioilla kuin jäljittelevät organisaation viranomaisluvut luoda kriisin tunne. Tai ne keskittyvät mahdollisiin kielteisiin vaikutuksiin ei vastannut. Kun tunnustamme phisherin arsenaalissa esiintyvän lisääntyneen hienostuneisuuden, on vaikeampaa perustella työntekijöiden rankaisemista heidän huijauksensa uhreiksi.

Simuloituja phishing-hyökkäyksiä käytetään usein keinona lisätä työntekijöiden tietoisuutta. Vaikka on ollut ehdotuksia paremmista napsautussuhteista seuraavat ohjelmat, työntekijöille mahdollisesti aiheutuvien vaikutusten laajuudesta puuttuu kattava arviointi. Ja jokin tutkimus huomauttaa mahdollisuudesta, että työntekijät vain luopuvat yrittäessään käsitellä uhkaa, koska se tuntuu häviävältä taistelulta.

Syy ja syyllistyminen voi myös tehdä työntekijöistä vähemmän halukkaita tunnustamaan virheensä. Kumpikin näistä tuloksista vahingoittaa todennäköisesti organisaation turvallisuushenkilöstön ja sen muiden työntekijöiden välistä suhdetta. Tämä puolestaan ​​vaikuttaa kielteisesti organisaation turvallisuuskulttuuriin. Siinä ehdotetaan, että palataan autoritaariseen rooliin turvallisuuden kannalta tutkimus osoittaa on askel taaksepäin, jos haluamme ottaa työntekijät täysimääräisesti mukaan turvallisuusaloitteisiin.

Organisaation phishing-iskujen vähentäminen on monimutkainen ja kehittyvä haaste. Viimeinen #AskOutLoud Australian hallituksen kampanja rohkaista ihmisiä pyytämään toista lausuntoa, kun he saavat epäilyttävän sähköpostiviestin, on hyvä esimerkki siitä, miten tämä haaste voidaan aloittaa. Se kannustaa keskusteluun ja jaettuun kokemukseen. Tämän lähestymistavan avulla voidaan varmistaa, että työntekijät tuntevat olevansa oikeutettuja ja rohkaisevia ilmoittamaan epäilyksiä, jotka ovat elintärkeä tekijä tietoturvan ylläpitämisessä.

Tutkimus on selkeä tietoverkkoturvallisuus riippuu avoimesta vuoropuhelusta, työntekijöiden osallistumisesta ratkaisujen kehittämiseen ja organisaation turvallisuushenkilöstön ja muun henkilöstön väliseen luottamukseen. Vanhan kliseen mukaan: olet vain yhtä vahva kuin heikoin lenkki. Siksi on ehdottoman välttämätöntä, että kaikkia työntekijöitä tuetaan, jotta ne voisivat toimia tehokkaasti etusijana heidän organisaationsa puolustuksessa.

Author

Emma Williams, tutkija, Bathin yliopisto ja Debi Ashenden, tietoturvan professori, Portsmouthin yliopisto

Tämä artikkeli julkaistiin alunperin Conversation. Lue alkuperäinen artikkeli.

Liittyvät kirjat

at InnerSelf Market ja Amazon