Petturite tõrjumine: kuidas organisatsioonid saavad end küberrünnakute eest kaitsta (Aileen Allkins)

2015. aastal sai Matteli tippjuht ettevõtte värskelt ametisse nimetatud tegevjuhilt meili. Märkuses taotleti tuttavale tootjale tasumata makse menetlemist. E-kirja alusel tegutsedes tegi juht 3 miljoni dollari suuruse vea.

Seda tüüpi küberrünnakuid tuntakse vaalapüügi e-kirjadena, mis e-posti aadressi omavatele sõnumite kopeerimise ja kleepimise meetodi asemel kasutavad kõrgetasemeliste juhtide sihtimiseks väga spetsiifilist ja ülirealistlikku matkimist.

Vaalapüügi e-kirjad võivad sisaldada mitmesuguseid pahatahtlikke elemente, näiteks linke pahavarale või raha ülekandmise taotlusi või tundlikke andmeid. Sõltumata ründaja konkreetsest lähenemisest sõltub vaalapüügikatsete edu lünkadest sihtmärgi digitaalses kirjaoskuses.

Mure küberturvalisuse pärast on eriti päevakorras finantsteenuste sektoris, kuna nii Inglismaa Pank kui ka Euroopa Keskpank nõudsid hiljuti suurematelt laenuandjatelt üksikasjalikke plaane selle kohta, kuidas nad reageeriksid kübermurdele, kuna laialdasemad üleskutsed maha suruda. sektori küberjulgeoleku kohta. Osana oma lähenemisviisist probleemi lahendamisele peavad finantsteenuste organisatsioonid tagama, et kõigil tasanditel on küberturvalisuse rikkumiste tuvastamisel ja sellele reageerimisel kõrge kvalifikatsioon.

Tõusuteel

45% turva- ja IT-ekspertidest viimasel ajal küsitletud PwC ennustas lunavararünnakute sagenemist ja tehisintellekt võimaldab vaalapüüki kasutavatel häkkeritel sooritada pettusi seninägematu täpsusega. 60. aastal toimus Ühendkuningriigis üle 2022 riiklikult „olulise” küberrünnaku,
järgi riiklik küberjulgeoleku keskus

Isegi kui küberjulgeolekuprogrammid on paigas, on üksikud töötajad sageli ettevõtte raudrüüs. Tulemüürid, andmepüügifiltrid ja viirusetõrjetarkvara on olulised, kuid hea küberjulgeolekualase hariduse ja oskuste olemasolu kogu tööjõus on ülioluline kaitseliin tõsise andmerikkumise vastu, mis põhjustab miljoneid dollareid kaotust.

Kuigi rünnete, näiteks vaalapüügi hõlbustamiseks kasutatavad tööriistad võivad olla keerukad, on mõned lihtsad, kuid väga tõhusad protsessid, mille abil saab inimesi koolitada, et kaitsta ettevõtet vaalapüügi ja muud tüüpi küberrünnakute eest.

Küberturvalisuse oskused kõigile

Digitaalne kirjaoskus on eeltingimus igale rollile, mis hõlmab töötamist tehnoloogiaga, mis hõlmab enamikku finantsteenuste ametikohtadest. Küberturvalisuse teadlikkus on selle oluline osa. Ettevõtted on suures osas teadlikud vajadusest kõrgetasemeliste küberturvasüsteemide järele, kuid sageli eiravad nad üksikisikute digitaalsete võimete rolli turvalise digitaalse ökosüsteemi säilitamisel.

Seetõttu ei tohiks küberturvalisust vaadelda kui iseseisvat funktsiooni, mille eest vastutab ainuüksi tehnikaosakond, vaid oskuste hulka, mis peavad olema kogu organisatsioonis olemas. Töötajaid tuleks regulaarselt koolitada küberjulgeoleku alal, et hoida töötajaid protokollidega kursis ning tagada kogu ettevõtte teadlikkus võimalikest ohtudest ja parimatest tavadest.

Näiteks teadmine, kuidas tuvastada petturlikke e-posti aadresse, olla hoolas, et mitte avada soovimatuid manuseid ja teadmine kahtlustatavatest rünnetest teatamiseks õigete kanalite tundmine, on põhioskused, mille osas peaksid kõik töötajad olema koolitatud. Samuti on oluline, et kõik töötajad on koolitatud viivitamatute sammude kohta, mida nad peaksid tegema, kui nende seadmed on nakatunud pahavaraga või võltsitud e-kiri on olnud edukas, et tagada rünnaku mõju võimalikult hea leevendamine.

Töökus kõikjal

Vaalapüüdjate tugevus seisneb nende võimes töötajat täpselt matkida, kasutades e-posti aadressi autentsest aadressist ühe tähe kaugusel, keelt, mis on kooskõlas autentse saatja tüüpilise häälega, ja ehtsate tehingute või sündmuste üksikasju, mis on sihtmärgile tuttavad. Olenemata sellest, kas side on koostatud tehisintellekti kaudu või inimese poolt, tugineb vaalapüük jäljendamiseks lähteandmetele.

Sotsiaalmeedia profiilidest saadud isikuandmed, näiteks sünnipäevad ja hobid, võivad võltsitud suhtlusele lisada veenvaid üksikasju ning häkkerid on isegi teadaolevalt kasutanud äravisatud dokumentide ajakavaandmeid, et vältida ohvriga kontakti võtmist, kui nad kohtuvad kohtumisel esineva isikuga.

Pidevad küberjulgeolekualased oskused peaksid olema operatiivturvalisuse teadlikkuse kultuuri loomise aluseks. Arendades arusaamist, milline teave võib ohtu kujutada, ja teades, kuidas teavet õigesti kaitsta, saavad inimesed tuvastada ja peatada näiliselt kahjutu tegevuse, mis annab häkkeritele kütuse. Meeskonnaliikmed peaksid saama privaatsusseadete, tulemüüride, viirusetõrjetarkvara seadistamise ja krüptimise kasutamise kaudu väljaõppe, kuidas tagada, et nende isiklik kohalolek võrgus ei võimaldaks häkkereid.

Kaks on maagiline arv

Kuigi küberjulgeolekualase teadlikkuse rakendamine kogu tööjõus võib pakkuda võimsat kaitset paljude häkkimiste eest, on oluline ka teine ​​filter mis tahes tundliku tegevuse, näiteks raha või andmete ülekandmise kontrollimiseks.

Vaalapüügi rünnakud sõltuvad suuresti sihikule võetud isiku autoriteedist. Isegi kõrgetasemeliste juhtide jaoks peab protokoll olema paigas, et takistada ühelgi isikul toimingut ilma teisese selgituseta kontrollimast.

Kaheastmeline kinnitamine võib olla automatiseeritud protsess, mis on manustatud ettevõtte tarkvarasse või käsitsi protsessidesse. Olenemata sellest, kas kinnitamise teine ​​etapp pärineb eraldi isikult või samalt isikult, kuid erineval platvormil, peaksid ettevõtted tagama, et töötajad on kaheastmelise kinnitamise õigeks praktikaks täielikult kvalifitseeritud, ning regulaarne küberturvalisuse koolitus muudab selle praktika tavapäraseks.  

Küberturvalisuse oskused ei ole luksus

Häkkerid, kes suudavad organisatsiooni inimesi nende vastu mobiliseerida, võivad muuta isegi kõige tugevamad automatiseeritud küberturvasüsteemid üleliigseks. Jätkuvad jõupingutused ja ajakohane haridus turvaliste tavade kohta on vaalapüügi ja muud tüüpi küberrünnakute ärahoidmisel kesksel kohal.

Ettevõtted peaksid regulaarselt hindama oma küberjulgeoleku infrastruktuuri, poliitikat ja töötajate oskusi tagamaks, et kõik töötavad tõhusalt ja kaitsevad kõigi võimalike rünnete eest. See eeldab, et inimesed on koolitatud neid hindamisi õigesti läbi viima ja parimaid tavasid järgima, või ettevõtted võivad investeerida välisse küberjulgeoleku tuge.

Investeerimine küberturvalisuse oskustesse ei ole luksus, vaid vajadus ning need, kes ei suuda häkkerite eest kaitsmiseks süsteeme ja protokolle õigesti seadistada ja hooldada, jätavad end avatuks pettustele või andmetega seotud rikkumistele. Kuna reguleerivad asutused ja valitsusasutused pööravad eriti suurt tähelepanu finantsteenuste sektori haavatavusele küberrünnakute suhtes, on see probleem, mis ei saa endale lubada oodata.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Allikas: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs