غزال زیاری: بررسیهای انجامشده توسط محققان حکایت از آن دارد که مسئول اکثر حملات سایبری موفق، خطای انسانی است. رقم تخمین زدهشده برای این امر، در آخرین بررسیها ۶۸ درصد اعلامشده است.
دفاع تکنولوژیک هرچقدر هم پیشرفت کند، احتمالاً عنصر انسانی همچنان ضعیفترین حلقه در زنجیره امنیت سایبری باقی خواهد ماند. این ضعف بر همه افرادی که از دستگاههای دیجیتال استفاده میکنند تأثیر میگذارد، اما برنامههای آموزشی و آگاهی سایبری سنتی قادر نیستند تا بهاندازه کافی به آن رسیدگی کنند. حالا سؤالی که مطرح است این است که چگونه میتوان با چالشهای مربوط به امنیت سایبری انسانمحور مقابله کنیم؟
درک خطاهای انسانی
پیش از هرچیز باید بدانیم که درزمینهٔ امنیت سایبری با دو نوع خطای انسانی روبرو هستیم.
اولین مورد خطاهای مبتنی بر مهارت است که زمانی اتفاق میافتد که افراد در حال انجام کارهای معمولی هستند؛ بهخصوص در زمانهایی که متمرکز نیستند و توجهشان منحرفشده است؛ مثلاً ممکن است فراموش کرده باشید که از دادههای دسکتاپ رایانهتان بکآپ (نسخه پشتیبان) تهیهکرده باشید.
اصولاً شما میدانید که باید این کار را انجام دهید و قبلاً بارها این کار را کردهاید و نحوه انجامش را بلد هستید؛ اما ازآنجاکه باید زود به خانه برگردید، یادتان رفته که آخرین بار چه زمانی بکآپ گرفتهاید. همین ممکن است شما را بیشتر در معرض هکرها در صورت حمله سایبری قرار دهد؛ چون در این شرایط هیچ جایگزینی برای بازیابی دادههای اصلی نخواهید داشت.
اما نوع دوم خطاها، مبتنی بر دانش است و زمانی اتفاق میافتد که فردی با تجربۀ کمتر، مرتکب اشتباهات امنیتی سایبری میشود. چراکه دانش چندانی ندارد یا از قوانین خاصی پیروی نمیکند. مثلاً شاید در ایمیل ارسالشده از سوی یک مخاطب ناشناس، روی لینک (پیوند) کلیک کنید، آنهم در شرایطی که حتی نمیدانید که چه اتفاقی خواهد افتاد.
همین کلیک بهظاهر ساده، میتواند منجر به هک شدن و از دست رفتن پول و دادههای شما شود؛ چون شاید لینک حاوی بدافزارهای خطرناک باشد.
نقصهای رویکردهای سنتی
سازمانها و دولتها، برای رسیدگی به خطاهای انسانی، سرمایهگذاری هنگفتی بر روی برنامههای آموزشی امنیت سایبری انجام دادهاند؛ اما حتی در بهترین حالت هم این برنامهها نتایج متفاوتی داشتهاند. این تا حدی به این دلیل است که بسیاری از برنامهها رویکردی مبتنی بر فناوری و مناسب برای همه دارند و اغلب تمرکزشان بر جنبههای فنی خاصی مثل بهبود سلامت و کیفیت رمز عبور یا اجرای احراز هویت چندعاملی (Multi factor authentication) است.
البته آنها به مسائل روانی و رفتاری اساسی که بر اعمال افراد تأثیرگذار است، توجه چندانی ندارند. واقعیت این است که تغییر رفتار انسان بسیار پیچیدهتر از صرفاً تأمین اطلاعات یا الزام به اقدامات خاص است و این مورد، بیش از هر چیز در امنیت سایبری به چشم میآید.
ازجمله مثالهای ملموس در این زمینه، میتوان از کمپینهای بهداشت عمومی مثل "ابتکار ایمنی در برابر نور خورشید" در استرالیا و نیوزلند یاد کرد که بهوضوح نشان میدهد که چه فاکتورهایی در این میان تأثیرگذار هستند. این کمپین چهار دهه پیش آغاز شد و از آن زمان به بعد موارد ابتلا به ملانوما (نوعی سرطان پوست) در هر دو کشور به میزان قابلتوجهی کاهش داشت و این نشان میدهد که تغییر رفتار مستلزم سرمایهگذاری مداوم برای ارتقای آگاهی است.
همین اصل در مورد آموزش امنیت سایبری نیز صادق است. اینکه مردم بهترین شیوهها را میدانند، به این معنا نیست که بهطور مداوم آنها را به کار میبرند؛ بهخصوص در زمانهایی که با اولویتهای رقابتی یا فشار زمانی روبرو هستند.
کوتاهی در قوانین جدید
در این شرایط، تمرکز قوانین پیشنهادی امنیت سایبری بر چند حوزه کلیدی قرار دارد. بهعنوانمثال این قوانین در کشور استرالیا بر این حوزهها متمرکز هستند:
- مبارزه با حملات باجافزار
- افزایش به اشتراکگذاری اطلاعات بین مشاغل و سازمانهای دولتی
- تقویت حفاظت از دادهها در بخشهای زیرساختی حیاتی، مثل انرژی، حملونقل و ارتباطات
- گسترش اختیارات تحقیقاتی برای حوادث سایبری
- معرفی حداقل استانداردهای امنیتی برای دستگاههای هوشمند.
چنین اقداماتی بسیار مهم هستند. البته دقیقاً مثل برنامههای آموزشی سنتی امنیت سایبری، در این اقدامات نیز در درجه اول به جنبههای فنی و رویهای امنیت سایبری پرداخته میشود. در کشوری مثل آمریکا، رویکرد متفاوتی را شاهد هستیم و در برنامه استراتژیک تحقیق و توسعه امنیت سایبری این کشور،"امنیت سایبری انسانمحور" اولین و مهمترین اولویت در نظر گرفتهشده است.
در این برنامه بر این نکته پافشاری شده: «تأکید بیشتری بر رویکردهای انسانمحور به امنیت سایبری موردنیاز است که در آن نیازها، انگیزهها، رفتارها و تواناییهای افراد در خط مقدم تعیین طراحی، عملکرد و امنیت سیستمهای فناوری اطلاعات قرار دارد.»
سهقانون برای امنیت سایبری انسانمحور
حالا این سؤال مطرح میشود که چگونه میتوان بهاندازه کافی به موضوع خطای انسانی در امنیت سایبری رسیدگی کرد؟ در اینجا سه استراتژی کلیدی بر اساس آخرین تحقیقات ارائهشده است.
۱-بار شناختی را به حداقل برسانید: شیوههای امنیت سایبری باید به نحوی طراحی شوند که تا حد امکان بصری و بدون دردسر باشند. تمرکز برنامههای آموزشی باید بر روی سادهسازی مفاهیم پیچیده و ادغام شیوههای امنیتی یکپارچه در جریانهای کاری روزانه قرار بگیرد.
۲-تقویت نگرش امنیت سایبری مثبت: آموزش باید بهجای تکیهبر تاکتیکهای ترس، بر نتایج مثبت اقدامات خوب امنیت سایبری تأکید کند. این رویکرد به ایجاد انگیزه در افراد برای بهبود رفتارهای امنیت سایبری کمک خواهد کرد.
۳- اتخاذ دیدگاهی بلندمدت: تغییر نگرشها و رفتارها یک رویداد واحد نیست، بلکه یک فرآیند مستمر است. آموزش امنیت سایبری باید ادامهدار باشد و برای مقابله با تهدیدات، بهصورت منظم بهروزرسانی انجام گردد.
درنهایت، ایجاد یک محیط دیجیتالی امن نیازمند یک رویکرد جامع است که با ترکیب فناوری قوی، سیاستهای درست و مهمتر از همه، کسب اطمینان از آموزش خوب و آگاهی مردم از امنیت به دست میآید. اگر بتوان دریافت که چه چیزی پشت خطاهای انسانی نهفته است، میتوان برنامههای آموزشی مؤثرتری طراحی کرد و به سراغ شیوههای امنیتی بهتری رفت که در مسیر طبیعت انسان کار میکنند، نه برخلاف آن.
منبع: sciencealert
۵۸۳۲۱