Halaman masuk log masuk Google yang tidak tepat. Emma Williams, CC BY-NDHalaman masuk log masuk Google yang tidak tepat. Emma Williams, CC BY-ND

Syarikat-syarikat dibombardir dengan penipuan phishing setiap hari. Dalam kaji selidik baru-baru ini lebih daripada profesional keselamatan siber 500 di seluruh dunia, 76% dilaporkan bahawa organisasi mereka menjadi mangsa serangan phishing di 2016. Perbualan

Penipuan ini mengambil bentuk e-mel yang cuba memujuk kakitangan untuk memuat turun lampiran yang berniat jahat, klik pada pautan cerdik, atau memberikan butiran peribadi atau data sensitif yang lain. Kempen e-mel phishing "lembing" disasarkan telah dipersalahkan kerana menghasut serangan siber baru-baru ini yang menyebabkan a gangguan elektrik utama di Ukraine.

Lebih membimbangkan lagi, serangan pancingan data kini menjadi cara paling popular untuk menyampaikan ransomware ke rangkaian organisasi. Ini adalah jenis perisian yang biasanya menyulitkan fail atau mengunci skrin komputer sehingga tebusan dibayar. Jumlah yang diminta adalah secara amnya agak kecil, yang bermaksud bahawa banyak organisasi hanya akan membayar tebusan tanpa, tentu saja, ada jaminan bahawa sistem mereka akan dibuka. Dalam menghadapi serangan pancingan data ini, pekerja telah menjadi garis depan keselamatan siber. Oleh itu, mengurangkan kelemahan mereka kepada e-mel pancingan data telah menjadi cabaran penting bagi syarikat.

Masalah tatatertib

Sebagai organisasi berjuang untuk mengandungi ancaman, satu idea yang mendapat daya tarikan adalah penggunaan potensi prosedur tatatertib terhadap staf yang mengklik e-mel phishing. Ini adalah dari penyiapan latihan lanjut kepada tindakan disiplin formal, terutamanya untuk apa yang disebut "clickers repeat" (orang yang bertindak balas terhadap e-mel phishing lebih daripada sekali). Mereka mewakili a titik lemah tertentu dalam keselamatan siber.

grafik langganan dalaman

Ini tidak perlu - tidak semestinya idea yang baik. Untuk permulaan, kami masih tidak faham apa yang menyebabkan orang memberi respons kepada e-mel pancingan data di tempat pertama. Penyelidikan hanya menggaru permukaan mengapa orang boleh bertindak balas kepada mereka. Kebiasaan E-mel, tempat kerja budaya dan norma, tahap pengetahuan yang ada pada seseorang, sama ada pekerja terganggu atau di bawah tekanan tinggi - ada pemahaman yang beragam tentang risiko dalam talian, yang semuanya mungkin mempengaruhi sama ada orang dapat mengenal pasti e-mel pancingan data pada suatu ketika tertentu.

Malangnya, ini bermakna masih terdapat banyak soalan daripada jawapan. Adakah beberapa peranan pekerjaan yang lebih lemah disebabkan oleh jenis tugas yang mereka lakukan? Adakah latihan berkesan dalam mendidik kakitangan mengenai risiko serangan pancingan data? Adakah pekerja dapat memberi keutamaan kepada keselamatan di tempat kerja yang lain apabila perlu? Antara yang tidak diketahui, memberi tumpuan kepada pendekatan disiplin kelihatan pramatang dan risiko mengetepikan usaha lain yang mungkin lebih berkesan.

Serangan phishing yang disasarkan juga menjadi semakin canggih dan sukar ditemui, walaupun untuk pengguna teknikal. Serangan baru-baru ini (pada PayPal and Google, sebagai contoh) tunjukkan ini.

Ia kini sangat mudah untuk mencipta e-mel yang palsu yang kelihatan sangat serupa, jika tidak hampir sama, kepada yang sah. Alamat e-mel yang ditipu, pemerbirian logo yang tepat, susun atur yang betul dan tandatangan e-mel, semuanya boleh membuat sukar untuk membezakan e-mel pancingan data daripada yang asli.

Bertenang dan teruskan

Phisher juga sangat baik mewujudkan senario yang memaksimumkan kemungkinan orang akan bertindak balas. Mereka menanamkan perasaan panik dan mendesak dengan perkara seperti meniru tokoh-tokoh otoritas dalam organisasi mewujudkan rasa krisis. Atau mereka memberi tumpuan kepada potensi kesan negatif gagal menjawab. Apabila kita mengakui peningkatan kecanggihan yang ditunjukkan dalam senjata penangkap ikan itu, ia menjadi lebih sukar untuk mewajarkan pekerja menghukum kerana menjadi mangsa penipuan mereka.

Serangan phishing simulasi sering digunakan sebagai cara meningkatkan kesedaran di kalangan pekerja. Walaupun ada cadangan kadar klik yang lebih baik mengikuti program sedemikian, penilaian komprehensif terhadap pelbagai potensi kesan terhadap pekerja kurang. Dan beberapa penyelidikan menunjukkan potensi pekerja hanya berhenti berusaha untuk menghadapi ancaman kerana ia kelihatan seperti pertempuran yang kalah.

Budaya yang menyalahkan dan menimbulkan korban juga boleh membuat pekerja kurang bersedia untuk mengakui kesilapan mereka. Salah satu daripada hasil ini mungkin merosakkan hubungan antara kakitangan keselamatan organisasi dengan pekerja lain. Sebaliknya ini akan memberi kesan negatif terhadap budaya keselamatan organisasi. Ia mencadangkan untuk kembali ke peranan otoritarian untuk keselamatan, yang mana kajian menunjukkan adalah satu langkah ke belakang jika kita ingin melibatkan pekerja secara penuh dalam inisiatif keselamatan.

Mengurangkan pendedahan organisasi terhadap serangan pancingan data mewakili cabaran yang rumit dan berkembang. #AskOutLoud baru-baru ini kempen oleh kerajaan Australia untuk menggalakkan orang ramai untuk meminta pendapat kedua apabila mereka menerima e-mel yang mencurigakan memberikan contoh yang baik tentang bagaimana cabaran ini dapat ditangani. Ia menggalakkan perbualan dan pengalaman berkongsi. Menggunakan pendekatan ini dapat memastikan pekerja merasa diberi kuasa dan digalakkan melaporkan kecurigaan, elemen penting dalam menjaga keselamatan siber.

Penyelidikan adalah jelas bahawa keselamatan siber bergantung kepada dialog terbuka, penyertaan daripada pekerja apabila ia datang untuk membangunkan penyelesaian dan kepercayaan antara kakitangan keselamatan organisasi dan kakitangan lain. Sebagai cliché lama pergi: anda hanya kuat sebagai pautan terlemah anda. Oleh itu, penting bahawa semua pekerja disokong untuk menjadi garis depan yang berkesan dalam pertahanan organisasi mereka.

Tentang Pengarang

Emma Williams, Felo Penyelidik, University of Bath dan Debi Ashenden, Profesor Keselamatan Siber, Universiti Portsmouth

Artikel ini pada asalnya diterbitkan pada Perbualan. Membaca artikel asal.

Buku-buku yang berkaitan

at InnerSelf Market dan Amazon