نهجنا في الوعي الأمني معيب. ويجب علينا تغييره.
ومع دخول الدبابات الروسية إلى أوكرانيا، بدأ الرؤساء التنفيذيون ومديرو تكنولوجيا المعلومات في جميع أنحاء الولايات المتحدة وجزء كبير من العالم الحر إرسال رسائل البريد الإلكتروني لتحذير موظفيها حول هجمات التصيد الاحتيالي الوشيكة.
كان الأمر منطقيا: كان التصيد الاحتيالي هو ما استخدمه الروس مع الأوكرانيين عدة مرات في النصف الماضي من العقد، كما حدث عندما إغلاق الشبكة الكهربائية في البلاد في إحدى ليالي الشتاء الباردة. وكان هذا أيضًا هو ما استخدمه الروس ضد اللجنة الوطنية الديمقراطية وأهداف في جميع أنحاء الولايات المتحدة.
من ناحية، كانت رسائل البريد الإلكتروني الصادرة عن الرؤساء التنفيذيين منعشة. كان الناس جادين بشأن تهديد التصيد الاحتيالي، وهو ما لم يكن الحال في عام 2014 عندما بدأت بالتحذير من مخاطرها على قناة سي إن إن.
وفي الطرف الآخر، كان الأمر يبعث على اليقظة. لم يكن هناك الكثير مما فكرت المنظمات في القيام به.
إرسال رسائل لتحذير الناس كان ما لجأ الرئيس التنفيذي لشركة AOL إلى ذلك في عام 1997، عندما ظهر التصيد الاحتيالي لأول مرة وحصل على اسمه. كان المتسللون الناشئون في ذلك الوقت ينتحلون صفة مسؤولي AOL ويصطادون المعلومات الشخصية للمشتركين. كان ذلك منذ ما يقرب من ثلاثة عقود مضت، العديد من الأعمار في سنوات الإنترنت.
وفي غضون ذلك، أنفقت المؤسسات المليارات على التقنيات الأمنية وساعات لا حصر لها من التدريب الأمني. في السياق، قبل عقد من الزمن، كان بنك أوف أمريكا (BoA) ينفق 400 مليون دولار على الأمن السيبراني. هو الآن تنفق مليار دولار سنويا عليه. بعد الآلاف من حسابات عملائها في ولاية كاليفورنيا تم اختراقها العام الماضي.
وبوا ليست وحدها. هذا العام، مايكروسوفت، ونفيديا، وسامسونج، وإل جي، وتي موبايل - والتي في الآونة الأخيرة دفع تسوية بقيمة 350 مليون دولار للعملاء بسبب حدوث اختراق في عام 2021 — تم اختراقهم. وقد وقع الجميع ضحية لهجمات التصيد الاحتيالي. ولا شك أن الموظفين في هذه الشركات يتمتعون بالخبرة والمدربين جيدًا في اكتشاف مثل هذه الهجمات.
نهج معيب
من الواضح أن هناك شيئًا معيبًا بشكل أساسي في نهجنا، عندما تأخذ في الاعتبار أنه بعد كل هذا، زادت التسويات القائمة على البريد الإلكتروني بنسبة 35% في عام 2021، و خسرت الشركات الأمريكية أكثر من 2.4 مليار دولار نظرا لأنها.
جزء كبير من المشكلة هو التيار نموذج تدريب المستخدم. وهو يدور في المقام الأول حول شكل ما من أشكال تعليمات السلامة عبر الإنترنت، وعادةً ما يتبع ذلك اختبارًا وهميًا للتصيد الاحتيالي عبر البريد الإلكتروني. ويتم إرسال الاختبارات بشكل دوري، ويتم تتبع فشل المستخدم - لتكون بمثابة مؤشر على مدى ضعف المستخدم وتشكل العمود الفقري لحسابات المخاطر السيبرانية التي تستخدمها شركات التأمين وصناع السياسات.
هناك دعم علمي محدود لهذا النوع من التدريب. يشير معظم إلى قيمة قصيرة المدىوتتلاشى آثاره خلال ساعات، وفقًا لدراسة أجريت عام 2013. لقد تم تجاهل هذا الأمر منذ بداية الوعي كحل.
هناك مشكلة أخرى. الوعي الأمني ليس حلاً؛ إنه منتج ذو نظام بيئي من البائعين الأثرياء الذين يدفعون من أجله. هناك تشريعات وسياسة فيدرالية تفرضها، بعضها ينبع من الضغط الذي تمارسه منظمات التدريب، مما يجعل من الضروري لكل منظمة أن تنفذه وأن يتحمله المستخدمون.
وأخيرا، لا يوجد صالح قياس الوعي الأمني. من يحتاجها؟ أي نوع؟ وكم يكفي؟ لا توجد إجابات لهذه الأسئلة.
وبدلاً من ذلك، ينصب التركيز على ما إذا كان المستخدمون يفشلون في اختبار التصيد الاحتيالي دون تشخيص السبب - السبب وراء الفشل. ولهذا السبب، تستمر هجمات التصيد الاحتيالي، وليس لدى المنظمات أي فكرة عن السبب. ولهذا السبب كان أفضل دفاع لدينا هو إرسال تحذيرات عبر البريد الإلكتروني للمستخدمين.
الدفاع بالأساسيات
الطريقة الوحيدة للدفاع ضد التصيد الاحتيالي هي البدء بالأساسيات. ابدأ بالسؤال الرئيسي: ما الذي يجعل المستخدمين عرضة للتصيد الاحتيالي؟
إن علم الأمن يقدم الإجابات بالفعل. وقد حددت محددة العوامل العقلية أو المعرفية والعادات السلوكية التي تسبب ضعف المستخدم. وتشمل العوامل المعرفية معتقدات المخاطر السيبرانية - الأفكار التي نحتفظ بها في أذهاننا حول المخاطر عبر الإنترنت، مثل مدى أمان فتح مستند PDF مقابل مستند Word، أو كيف يمكن لنظام تشغيل معين للهاتف المحمول أن يوفر حماية أفضل لفتح رسائل البريد الإلكتروني. العديد من هذه المعتقدات، بعضها معيب والبعض الآخر دقيق، تحكم مقدار الاهتمام العقلي الذي نوليه للتفاصيل عبر الإنترنت.
يكتسب الكثير منا أيضًا العادات الإعلامية من فتح كل رسالة واردة إلى طقوس مثل التحقق من رسائل البريد الإلكتروني والخلاصات لحظة استيقاظنا. بعض هذه هي مشروطة بالتطبيقات؛ الآخرين من خلال سياسة تكنولوجيا المعلومات التنظيمية. إنها تؤدي إلى ردود فعل طائشة على رسائل البريد الإلكتروني التي تزيد من قابلية التصيد الاحتيالي.
هناك عامل آخر يتم تجاهله إلى حد كبير: اشتباه. إنه عدم الارتياح عند مواجهة شيء ما؛ هذا الشعور بأن شيئا ما معطل. فهو يؤدي دائمًا تقريبًا إلى البحث عن المعلومات، ويؤدي، بالتسلح بالأنواع الصحيحة من المعرفة أو الخبرة، إلى كشف الخداع وتصحيحه.
وهذا ما حدث مع الرئيس السابق لمكتب التحقيقات الفيدرالي. توقف روبرت مولر، بعد إدخال معلوماته المصرفية ردًا على طلب عبر البريد الإلكتروني، قبل الضغط على إرسال. شيء ما لا يبدو صحيحا. وفي العودة اللحظية إلى العقل الناجمة عن الشك، أدرك لقد كان يتعرض للتصيد الاحتيالي، وقام بتغيير كلمات المرور المصرفية الخاصة به.
من خلال قياس الشك إلى جانب العوامل المعرفية والسلوكية التي تؤدي إلى ثغرة التصيد الاحتيالي، يمكن للمؤسسات تشخيص ما يجعل المستخدمين عرضة للخطر. يمكن قياس هذه المعلومات وتحويلها إلى مؤشر للمخاطر، حيث يمكنهم تحديد الأشخاص الأكثر عرضة للخطر، أضعف الروابط، وحمايتهم بشكل أفضل.
إن القيام بذلك سيساعدنا في الدفاع عن المستخدمين بناءً على تشخيص ما يحتاجون إليه، بدلاً من نهج التدريب الذي يتم بيعه كحل - وهو نموذج نعلم أنه لا يعمل.
بعد إنفاق المليارات، يظل أفضل نهج لدينا هو إرسال تحذيرات عبر البريد الإلكتروني بشأن الهجمات الواردة. بالتأكيد يمكننا أن نفعل ما هو أفضل. ومن خلال تطبيق علم الأمن، يمكننا ذلك. ويجب علينا ذلك، لأن التصيد الاحتيالي يمثل خطرًا واضحًا وقائمًا على الإنترنت.
