詐欺師を撃退する: 組織がサイバー攻撃から身を守る方法 (Aileen Allkins)

2015 年、マテル社の上級幹部は、同社の新しく任命された CEO から電子メールを受け取りました。 そのメモには、馴染みのあるメーカーへの延滞支払いの処理を要求していました。 この幹部は電子メールに基づいて行動し、3万ドルの間違いを引き起こした。

この種のサイバー攻撃は「捕鯨」メールとして知られており、電子メール アドレスを持っている人なら誰でもよく知っているフィッシング メッセージの「コピー＆ペースト」手法ではなく、非常に具体的で超現実的な模倣を使用して高レベルの幹部をターゲットにします。

捕鯨メールには、マルウェアへのリンクや資金や機密データの送金要求など、さまざまな悪質な要素が含まれる場合があります。 攻撃者の特定のアプローチに関係なく、捕鯨の試みが成功するかどうかは、ターゲットのデジタル リテラシーのギャップに依存します。

サイバーセキュリティに対する懸念は、金融サービス業界全体で特に議題となっており、イングランド銀行と欧州中央銀行は最近、取り締まりを求める声が高まる中、大手金融機関に対し、サイバー侵害への対応方法について詳細な計画を提出するよう求めている。この分野のサイバーセキュリティについて。 この問題に取り組むアプローチの一環として、金融サービス組織は、あらゆるレベルのスタッフがサイバーセキュリティ侵害を特定して対応するスキルを向上させる必要があります。

上昇傾向に

最近、セキュリティおよび IT 専門家の 45% が 調査対象となりました PwC はランサムウェア攻撃の増加を予測しており、AI により、ハッカーは捕鯨を利用してこれまでにない精度で詐欺を行うことが可能になっています。 60年に英国で2022件以上の国家的に「重大な」サイバー攻撃が発生した。
による 国家サイバーセキュリティセンター

サイバーセキュリティ プログラムが導入されている場合でも、個々の従業員は企業の鎧の隙間であることがよくあります。 ファイアウォール、フィッシング フィルター、ウイルス対策ソフトウェアは重要ですが、従業員全体に優れたサイバーセキュリティ教育とスキルが存在することが、数百万ドルの損失を引き起こす重大なデータ侵害に対する重要な防御線となります。

捕鯨などの攻撃を促進するために使用されるツールは洗練されている可能性がありますが、捕鯨やその他の種類のサイバー攻撃から企業を守るために個人が訓練できる、シンプルでありながら非常に効果的なプロセスがいくつかあります。

すべての人のためのサイバーセキュリティスキル

デジタル リテラシーは、テクノロジー関連の仕事に関わるあらゆる役割の前提条件であり、金融​​サービスのポジションの大部分がこれに当てはまります。 サイバーセキュリティの意識はこれに重要な部分を占めます。 企業は高レベルのサイバーセキュリティ システムの必要性を主に認識していますが、安全なデジタル エコシステムを維持する上で個人のデジタル能力が果たす役割を見落としていることがよくあります。

したがって、サイバーセキュリティは、技術部門の単独の責任の下にある独立した機能と見なされるべきではなく、組織全体に存在する必要があるスキルセットと見なされるべきです。 従業員が常に最新のプロトコルを把握できるようにし、潜在的な脅威とベスト プラクティスを全社的に認識できるようにするために、従業員はサイバーセキュリティに関する定期的なトレーニングを受ける必要があります。

たとえば、詐欺メール アドレスを特定する方法を知ること、迷惑な添付ファイルを開かないように努めること、攻撃の疑いを報告するための適切なチャネルを知ることは、基本的でありながら大きな影響を与えるスキルであり、すべての従業員がトレーニングを受ける必要があります。デバイスがマルウェアに感染した場合、または偽の電子メールが成功した場合に、攻撃の影響を可能な限り軽減するために取るべき即座の手順についてトレーニングを受けています。

全面的な勤勉さ

捕鯨者の強みは、本物のアドレスから XNUMX 文字離れた電子メール アドレス、本物の送信者の典型的な声に沿った言語、ターゲットに馴染みのある本物の取引やイベントの詳細を使用して、従業員を忠実に模倣する能力にあります。 コミュニケーションが AI 経由で作成されるか人間によって作成されるかに関係なく、捕鯨は模倣するソース データに依存します。

ソーシャルメディアのプロフィールから抽出された誕生日や趣味などの個人情報は、偽のコミュニケーションに説得力のある詳細を追加する可能性があり、ハッカーは、なりすまし対象の個人との会議中に被害者との連絡を避けるために、廃棄された文書からのスケジュールデータを使用することさえ知られています。

継続的なサイバーセキュリティのスキル習得は、運用上のセキュリティ意識の文化を確立する基盤となる必要があります。 どのような情報がリスクを引き起こす可能性があるかについての感覚を養い、情報を適切に保護する方法を知ることで、ハッカーの燃料となる一見無害に見える活動を特定して阻止できるようになります。 チーム メンバーは、プライバシー設定、ファイアウォール、ウイルス対策ソフトウェアのセットアップ、暗号化の使用に関するスキルを習得することにより、個人のオンライン プレゼンスがハッカーの侵入を妨げないようにする方法についてトレーニングを受ける必要があります。

XNUMX は魔法の数字です

従業員全体にサイバーセキュリティ意識を導入することで、多くのハッキングに対する強力な防御策を提供できますが、資金やデータの転送などの機密性の高い行為を検証するための XNUMX 番目のフィルターも不可欠です。

捕鯨攻撃は標的となる個人の権限に大きく依存します。 たとえ上級幹部であっても、個人が二次的な説明なしに行動を検証することを防ぐための手順を整備する必要があります。

XNUMX 段階認証は、企業ソフトウェアに組み込まれた自動プロセスである場合もあれば、手動プロセスである場合もあります。 検証の XNUMX 番目のステップが別の個人によって行われるか、同じ人物が別のプラットフォームで行うかにかかわらず、企業はスタッフが XNUMX 段階認証の適切な実践について完全に熟練していることを確認する必要があり、定期的なサイバーセキュリティ トレーニングによってこの実践が習慣化されます。  

サイバーセキュリティのスキルは贅沢品ではありません

最も堅牢な自動サイバーセキュリティ システムであっても、ハッカーが組織の従業員を動員してシステムに対して攻撃することによって、冗長化される可能性があります。 捕鯨やその他の種類のサイバー攻撃を防ぐには、安全な実践に関する継続的な取り組みと最新の教育が中心となります。

企業は、自社のサイバーセキュリティインフラストラクチャ、ポリシー、従業員のスキルを定期的に評価し、あらゆる可能性のある攻撃を防御するためにすべての従業員が効果的に機能していることを確認する必要があります。 そのためには、これらの評価を適切に実施し、ベストプラクティスを維持するための訓練を受けた人材が必要です。そうしないと、企業は外部のサイバーセキュリティサポートへの投資を検討することができます。

サイバーセキュリティのスキルへの投資は贅沢ではなく必要不可欠であり、ハッカーから防御するためのシステムとプロトコルを適切に設定および維持できなければ、詐欺やデータ侵害にさらされることになります。 規制当局や政府機関は金融サービス部門のサイバー攻撃に対する脆弱性に特に細心の注意を払っており、待っているわけにはいかない問題となっている。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• 情報源： https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs