Personelinizle olan ilişkinizi çözmeden güvenliğinizi nasıl çözebilirsiniz?
COVID sırasındaki dahili kimlik avı kampanyaları, uygulamanın daha fazla incelenmesini sağladı
Şunu hayal edin: Şu anda pandemi sırasında birçok insanın yaptığı gibi, evde masanızda çalışıyorsunuz. Ofisiniz aylardır kapalı ve sürekli bir belirsizlik içinde yaşıyorsunuz. Bazı arkadaşlarınızın izine çıktığını, bazılarının ciddi şekilde hastalandığını gördünüz. Ailenizi haftalar, aylar hatta yıllar boyunca göremediniz. Ardından, gelen kutunuzda bir e-posta görünür. Sonunda, bazı iyi haberler! Yönetim ekibinizden, “bu yıl 5.000 ila 10.000 dolar arasında” ikramiye sağlanacağını “sizlere bildirmekten memnuniyet duyduklarını” söylüyorlar. Bu, tüm personelin harika çalışması ve maliyet düşürme çabaları sayesinde.
Heyecanla linke tıklarsınız. Belki şimdi ülkenin diğer ucundaki ailenizi ziyaret etmek üzere uçağa binebilmek için yapmanız gereken COVID-19 testini karşılayabileceksiniz. Pandemi nedeniyle işini kaybeden kardeşinize maddi yardımda bulunabilir veya virüse yakalanmaları durumunda ebeveynlerinizin uygun sağlık hizmeti almalarını sağlayabilirsiniz. Ancak, başka bir olumlu sonucu hayal etmeden önce, bunların hiçbirini yapamayacağınız aklınıza gelir. E-posta, size bilgisayar korsanları tarafından değil, şirket çapında bir kimlik avı testinin parçası olarak işverenleriniz tarafından gönderilen bir dolandırıcılıktır. Başarısız oldun – sefil bir şekilde. 5.000 $ bonus yerine zorunlu bir siber güvenlik eğitimine katılacaksınız.
Gerçekçi değil mi? Yukarıda açıklanan senaryo , New York Daily News , Chicago Tribune ve Baltimore Sun gibi günlük gazetelerin sahibi Tribune Publishing’in çalışanlarının siber farkındalığını test etmeye karar verdiği Eylül 2020’de gerçekleşti.
Gerçek olamayacak kadar iyi
Finansal ödül gibi bir duygusal manipülasyon unsuru kullanan simüle edilmiş kimlik avı kampanyaları, güvenliklerini artırmaya çalışan şirketler arasında giderek daha popüler hale geliyor. İlk olarak ABD’de ortaya çıktığı düşünülen tartışmalı uygulama, o zamandan beri Atlantik üzerinden Almanya ve İngiltere gibi ülkelere doğru yol aldı.
Mayıs ayında West Midlands Trains , 2.500 çalışanına benzer bir e-posta gönderdiği için ateş altında kaldı. Tren operatörünün genel müdürü Julian Edwards, mesajında çalışanlara pandemi sırasında gösterdikleri sıkı çalışma için tek seferlik bir ödeme ile teşekkür etmek istediğini söyledi. Ancak, bonus için bağlantıya tıklayanlar, onlara bunun yalnızca bir “oltalama simülasyonu testi” olduğunu söyleyen bir mesaj aldı.
Siber Küresel İttifak’ın büyükelçisi ve Red Sift’in siber yönetişim başkanı Dr Rois Ni Thuama, ilk olarak West Midlands Trenleri’ndeki olayları, uygun bir şekilde Arkadaşlarınızı Phish Etme adlı bir blog yazısında analiz etti . Ancak aradan aylar geçmesine rağmen olay hala birçok soruyu beraberinde getiriyor:
“Neden kimse ‘bekle, bu kötü bir fikir gibi görünüyor’ demedi? Neden insan kaynaklarından sorumlu kişi ‘bunu bizim ekibimize yapmayın’ demedi?” o soruyor.
Ni Thuama, diğer birçok cephe çalışanı gibi West Midlands Trains çalışanlarının da pandemi başladığından beri her gün işe gitmek zorunda kaldıklarına dikkat çekiyor. Trenler evden sürülemediğinden, en azından şimdilik, uzaktan çalışabilme lüksüne sahip değildiler. Şaşırtıcı olmayan bir şekilde, bunun tren operatörünün personeli üzerinde tehlikeli sonuçları oldu, bazıları iş yerinde COVID-19’a yakalandı ve bir kişi hastalıktan öldü.
Ni Thuama, “Durumun gerçeği şu ki, bu insanlar bir meslektaşını COVID’ye kaptırdı ve yine de işe gitmek zorunda kaldı” diyor. “Yani benim için bu, uzmanlara göre makul bir şekilde yapamayacağı bir işi yapmak için kötü bir kit seçmekten başka bir şey değil.”
Almanya’da Karlsruhe Teknoloji Enstitüsü (KIT) ve Ruhr-Universitat Bochum tarafından geçen yıl yürütülen araştırma, simüle edilmiş kimlik avı kampanyalarının personelin öz yeterliliği ve üretkenliği üzerinde olumsuz bir etkisi olduğunu ortaya koydu. Ayrıca GDPR veya ulusal mevzuat kapsamında potansiyel veri koruma sorunları yaratırlar ve öncelikli olarak görülmesi gereken bir zamanda şirket ile çalışanları arasındaki güveni ciddi şekilde azaltırlar. En önemlisi, araştırma, “genel olarak simüle edilmiş oltalama kampanyaları ve özellikle bazı belirli biçimler için sonuçların dış geçerliliğinin bir tartışma konusu olduğunu” vurgulamaktadır.
Araştırma makalesinin yazarlarından Profesör Melanie Volkamer, siber güvenlik bilincinin çalışanlar arasında “olumlu bir duygu” yaratması gerektiğini söylüyor.
“Ancak çalışanlarınızı hacklemeye veya saldırmaya başlarsanız, bu olumlu değil” diyor. “Sanki: ‘Hey, beni bir şeye kandırmak istiyorlar ve eğer beni burada kandırmaya çalışırlarsa, belki başka durumlarda da beni kandırmaya çalışırlar’ – ve bu, şirketinizle kurmak isteyeceğiniz bir güven ilişkisi değildir. ”
Bunun yerine, Volkamer ve onun Personel için Simüle Edilmiş Kimlik Avı Kampanyalarını Analiz Etme araştırma makalesinin ortak yazarları, şirketlerin “teknik önlemlerin iyileştirilmesine zaman ve para yatırmalarını” ve “personeli aşağıdaki türlerden haberdar eden” “uygun farkındalık önlemlerini” tavsiye ediyor. tüm teknik önlemlere rağmen ulaşabilecekleri kimlik avı mesajları ve bunları nasıl tanımlayabilecekleri”. Son olarak, kuruluşlar kimlik avı e-postalarını bildirmeyi ve tehdit düzeylerini sorgulamayı kolaylaştırmalıdır.
Duygusal manipülasyon mu yoksa güvenli bir şekilde başarısız olma şansı mı?
Güvenlik bilinci eğitimi sağlayıcısı KnowB4’ün baş misyoner ve strateji sorumlusu olarak Perry Carpenter, simüle edilmiş kimlik avı kampanyalarının sadık bir destekçisidir.
Kimlik avı testleri hakkında “Bunu yapmamızın nedeni sizi kandırmak, kandırmak veya kendinizi kötü hissettirmek değil” diyor. “Kuruluşun riskini azaltmak, size güvenli bir şekilde başarısız olma şansı vermek, size riskleri nasıl rapor edeceğinizi öğretmek.”
Ancak, Tribune Publishing veya West Midlands Trains’deki olaylar hakkında soru sorulduğunda, “bu kadar değişken olan her şeyden uzak durmanın” daha iyi olduğunu kabul ediyor. Bunun yerine, şirketler pandemi sonrası ikramiyelerden biraz daha evcil konuları tercih edebilir. Bunlar, “COVID hakkında bilgi veren bir haber kuruluşu” gibi görünen e-postalar veya hatta ücretsiz pizza kuponu olabilir.
IT Pro’ya “COVID ile ilgili olduğu için buna tıklayabilirsiniz, ancak ihanet duygusunu hissetmeyebilirsiniz” diyor . “Yani burada bu tıklamayı sağlayacak bir şey var ve bu genellikle meraka, aciliyete veya korkuya dayanıyor.”
Ancak, pandemi gibi “son derece değişken” zamanlarda “korkudan uzak durmak isteyebileceğinizi” belirtiyor.
“Ayrıca açgözlülük veya umut uyandıracak bir şeyden uzak durmak isteyebilirsiniz” diye ekliyor.
Mart 2020’de Carpenter, küresel pandemi ve ardından gelen mali kriz sırasında kimlik avı testlerinin yeri olup olmadığı ikilemiyle karşı karşıya kaldı. Bununla birlikte, aynı zamanda, siber suçlular, uzaktan çalışmaya ani toplu geçişin neden olduğu güvenlik açıklarından cesaret alarak, her zamankinden daha fazla kimlik avı saldırısı gerçekleştiriyorlardı. Konuyu analiz eden bir blog yazısında Carpenter, “bu süre zarfında kimlik avı eğitimi vermemenin ihmal anlamına geldiğini” savundu. Bununla birlikte, bunların karşılıklı anlayış, uygun iletişim ve empatiye dayalı olarak stresli zamanlara adapte edilmesi gerekir. Tribune Publishing veya West Midlands Trains’de yürütülen simüle edilmiş kampanyalarda özellikle ikincisinin eksik olabileceğinden ve güvenlik ekiplerinin bu “yıldızlardan daha az kararlar” vermesine neden olabileceğinden şüpheleniyor.
Farklı şirketler, simüle edilmiş kimlik avı kampanyalarının kullanımı konusunda farklı görüşlere sahip olabilir. Bununla birlikte, bir kuruluş içindeki potansiyel siber güvenlik açıklarını giderirken, süreç içinde işveren-çalışan ilişkisinin bozulmamasını sağlamak faydalı olabilir.
Carpenter, “Sonuçta, tavsiyemiz, kimlik avı yapacaksanız, bunu insanların gerçekte nasıl çalıştığının farkında olarak yapmalısınız ve bunu bir ilişki kurma hedefiyle yapmalısınız” diyor. “O zaman, zamanla, bu riskin azalmasıyla karşılığını verecek.”
Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.