مقالات

آشنایی با یک رویکرد سازنده برای آموزش امنیت سایبری

افزایش امنیت سایبری برای شما که اگر مدیر یک کسب و کار هستید، و یا  قصد راه‌اندازی یک کسب و کار را دارید و یا اگر کارمند هستید؛ از اهمیت ویزه ای برخوردار است، و به همین دلیل مطالعه این مقاله را به شما توصیه می‌کنیم.

آیا تا به حال به میزان ارزش داده‌های شرکت خودتان فکر کرده‌اید؟

اگر نتوانید چند روز به این داده‌ها دسترسی داشته باشید، چه پیامدهایی برای شرکت شما ایجاد می‌شود؟

اگر قراردادها، اطلاعات مالیاتی یا سایر داده‌های محرمانه شرکت شما در فضای آنلاین منتشر شود، چه آسیبی به اعتبار و شهرت شرکت شما وارد می‌شود؟

آیا تا به حال به این فکر کرده‌اید که ممکن است کلیک کردن بر روی یک لینک یا فایل پیوست یا ارسال داده‌ها بدون بررسی دقیق دریافت کننده آنها، چقدر برای شرکت شما مهلک و مرگ­بار باشد؟

هزینه‌های نشت داده برای شرکت‌ها بسیار زیاد است. بر اساس تحقیقی که سال گذشته اجرا و منتشر شد، ۹۰ درصد از شرکت‌های بزرگ متحمل یک رخنه امنیتی شده‌اند. یک گزارش جدید دیگر نشان می‌دهد که مخاطره مالی نشت داده‌های تلفن همراه برای یک شرکت می‌تواند به بزرگی ۲۶.۴ میلیون دلار باشد.

متأسفانه دلیل اصلی نیمی از رخنه‌های امنیتی، خطاهای انسانی است. ;  که در صورت عدم افزایش امنیت سایبری رخ می دهد. در زنجیره امنیت یک سازمان، کارمندان ضعیف‌ترین حلقه محسوب می‌شوند.

افزایش امنیت سایبری

اقدام­ های ما مبتنی بر احساسات هستند، ما همیشه عجله داریم و هیچ وقت قبل از انجام کار با داده‌های حساسی که در اختیارمان هستند، خوب فکر نمی‌کنیم. ما با عجله بر روی لینک‌ها و فایل‌های پیوستی دریافتی کلیک می‌کنیم و اطلاعات حساس را در اختیار دیگران قرار می‌دهیم. ما از طریق دستگاه‌های ناامن به داده‌های شرکت دسترسی پیدا می‌کنیم.

هرچه سازمان بزرگتر باشد، افزایش امنیت سایبری اهمیت بیشتری پیدا میکند. تهدیدها هم بیشتر و بزرگتر هستند. نمی‌توانید همه را تحت کنترل بگیرید، نمی‌توانید تمام اقدام­ های آنها را ردیابی و نظارت کنید. این در حالی است که یک کارمند می‌تواند کل یک شرکت را آلوده کرده و باعث نشت داده‌های حساس آن شود.

کاری که شما می‌توانید انجام دهید، انجام اقدام ­های محافظتی است که می‌توانند منجر به محافظت از داده‌های شرکت شما و باعث افزایش امنیت سایبری شوند و این اقدام ­ها با آموزش کارمندان آغاز می‌شوند.

به جای این که سخت­گیرانه و آمرانه (دستوری) رفتار کنید، سعی کنید یک آموزش افزایش امنیت سایبری سازنده را اجرا کنید. بسیار مهم است که به کارمندان خودتان درباره تصمیم ­هایی که در زمینه امنیت سایبری گرفته ­اید و دلایل آنها توضیح دهید.

همیشه پاسخگوی پرسش‌های این افراد باشید یا یک فرد خاص را به عنوان مسئول این کار انتخاب کنید تا کارمندان بتوانند آزادانه با وی گفتگو کنند. به خاطر داشته باشید، فرهنگی که بر اساس اعتماد شکل می‌گیرد، بسیار ایمن‌تر خواهد بود.

 

توصیه‌هایی که باید برای کارمندان تان بیان کنید

۱- هرگز برای ارسال اطلاعات حساس عجله نکنید

بسیاری از شرکت­ های بزرگ، هدف حملات فیشینگ هدفمندی قرار گرفته‌اند که در آنها مهاجمان نقش مدیرعامل شرکت را بازی کرده اند. شرکت‌های Snapchat و Seagate جزو قربانیان چنین حملاتی هستند. کارمندان بخش منابع انسانی، ایمیل‌هایی دریافت کردند که به نظر می‌رسید توسط مدیرعامل آنها ارسال شده است. این افراد فریب خوردند و اطلاعات محرمانه را ارسال کردند بدون این که بررسی کنند شخصی که با آنها تماس گرفته واقعاً چه فردی است. این حمله منجر به نشت اطلاعات فرم‌های مالیاتی هزاران نفر از کارمندان فعلی و سابق این شرکت‌ها شد.

شرکت‌ها باید آگاه باشند که فیشینگ هدفمند، کارآمدترین نوع فیشینگ و بسیار موفقیت­ آمیز است. زیرا مهاجمان سایبری سعی می‌کنند از قبل بیشترین میزان اطلاعات ممکن را درباره اهداف خودشان جمع­ آوری کنند. آماده شدن برای چنین حملاتی بیشتر زمان می‌برد اما ارزش صرف وقت و زمان را دارد.

افزایش امنیت سایبری

اقدام ­هایی که کارمندان شما باید انجام دهند:

  • از آنها بخواهید قبل از ارسال اطلاعات، همه چیز را به خوبی بررسی کنند.
  • از آنها بخواهید قبل از ارسال هر اطلاعاتی، ایمن بودن وب سایت مورد نظر را بررسی کنند. آیا لینک مورد نظر با https آغاز می‌شود یا http؟ وجود حرف s نشانه خوبی بوده و به این معنی است که سایت مورد نظر، گواهینامه SSL (Secure Sockets Layer) را دارد؛ روشی که تضمین می‌دهد داده‌های ارسالی و دریافتی شما رمزنگاری شده هستند.
  • از کارمندان بخواهید که با پاسخ دادن به این آزمون­ ها که توسط سایت Capterra تهیه شده‌اند، دانش خودشان را در زمینه فیشینگ محک بزنند. همچنین می‌توانید این راهنمای فیشینگ و نحوه مقابله با آن (که در آن همه چیز درباره فیشینگ تشریح شده است) را برای آنها ارسال کنید.

 

۲- هرگز بر روی لینک‌هایی که از مقصد آنها اطلاعی ندارید، کلیک نکنید

آیا می‌دانستید که ۱۵ تا ۲۰ درصد از نشست­ های وب کارمندان (باز کردن مرورگر)، با کلیک کردن روی لینکی که از طریق ایمیل دریافت کرده‌اند آغاز می‌شود؟

هر لحظه ممکن است کارمندی باعث شروع یک آلودگی بدافزاری (شاید حتی باج افزاری) یا گیر افتادن در دام فیشرها شود.

قانون کلی: اگر اطلاع ندارید که یک لینک شما را به کجا هدایت می‌کند یا این که خود شما آن را درخواست نکرده ­اید، پس آن را باز نکنید. روی لینک‌های کوتاه شده یا لینک‌های عجیب کلیک نکنید. مراقب لینک‌هایی که دامنه آنها مجاز به نظر می‌رسد اما نام دامنه آنها یا املای آنها کمی متفاوت است باشید.

معمولاً انجام این کار منجر به آلودگی‌های بدافزاری (از جمله باج افزار) یا فیشینگ می‌شود. بنابراین بهترین کار، پرهیز از کلیک بر روی چنین لینک‌هایی است.

کارهایی که کارمندان شما باید انجام دهند:

 

۳- هرگز پیوست‌هایی که خود شما درخواست نکرده بودید را دانلود نکنید

مهاجمان می‌توانند با استفاده از پیوست‌های ایمیل، کنترل رایانه را به دست گرفته یا روی آن بدافزار نصب کنند.

این جمله برای حملاتی که از طریق ایمیل‌های هرزنامه ارسال می‌شود، درست است اما علاوه بر آن ما شاهد حملاتی بودیم که از طریق نرم افزارهای پیام ­رسان و شبکه‌های اجتماعی انجام می‌شوند. از کارمندان­تان بخواهید وقتی در شبکه‌های اجتماعی خصوصی خودشان هستند، نکات امنیتی را رعایت کنند.

کارهایی که کارمندان شما باید انجام دهند:

  • کارمندان باید نسبت به فایل‌های دریافتی، محتاط و مراقب باشند. منظور فایل‌های دریافتی، از سوی افراد ناشناس و همچنین افراد آشنایی است که منتظر دریافت فایل از سوی آنها نبوده ­اند.
  • هر فایلی که بی­ ضرر به نظر می‌رسد، از جمله فایل‌های مایکروسافت آفیس آسیب پذیری‌های خاص خود را دارند و می‌توان از آنها برای انتشار بدافزار استفاده کرد.
  • همچنین بهتر است ماکروها را نیز غیرفعال کنید. ماکروها کدهایی هستند که به زبان ویژوال بیسیک برای برنامه‌های کاربردی نوشته شده‌اند اما امکان استفاده از آنها برای آلوده کردن رایانه های کاربران وجود دارد.

 

۴- هرگز از تورنت یا سایت‌هایی با محتوای به سرقت رفته استفاده نکنید

شاید شما از این مسأله اطلاع نداشته باشید اما این امکان وجود دارد که در صورت استفاده از وب سایت‌های غیرقانونی با محتوای سرقتی، سیستم شما به ویروس و بدافزار آلوده شود و در صورتی که سازوکارهای امنیتی قوی روی سیستم خودتان نداشته باشید ممکن است رایانه شما و تمام رایانه­ های متصل به آن آلوده شده، قربانی حمله باج افزاری شوید یا داده‌های حساس شما به سرقت رفته و نشت کنند.

یکی از اشتباه ­های بزرگی که ما اغلب مرتکب آن می‌شویم، این تصور است که لزوماً همه آنچه ما می‌دانیم را می‌دانند، به خصوص اطلاعاتی که از نظر ما ابتدایی و ساده به نظر می‌رسند.

یکی از تفکراتی که بین افراد مختلف و به ویژه افراد جوان و مسن وجود دارد این است که آنها تصور می‌کنند اگر چیزی روی اینترنت قرار گرفته، بنابراین باید قانونی و بی ­ضرر باشد. حتی اگر رایگان بوده، کیفیت آن پایین باشد و ده‌ها تبلیغ عجیب در آن مشاهده شود.

این افراد نمی‌توانند بین آنچه بی­ ضرر است و آنچه ممکن است مخاطره­ آمیز باشد، تمایز قایل شوند. آنها برای این موضوع آموزش ندیده‌اند و در نتیجه بی­ اطلاع هستند.

هدف ما در این مقاله، پرداختن به جنبه‌های اخلاقی و قانونی مسأله نیست بلکه هدف گفتن این نکته است که تورنت‌ها و سایر منابع محتوای به سرقت رفته می‌توانند تهدیدی جدی برای داده‌های شما باشند.

افزایش امنیت سایبری

کارهایی که کارمندان شما باید انجام دهند:

امکان انتشار باج افزار از طریق شبکه‌های تبلیغاتی حتی وب سایت‌های بزرگ وجود دارد. در این حملات از آسیب پذیری‌های موجود در وب سایت‌ها، مرورگرها، پلاگین‌های نصب شده بر روی مرورگرها و نرم افزارهایی که به­ روزرسانی نشده‌اند برای آلوده کردن سیستم‌ها استفاده می‌شود. به همین دلیل حتماً باید به کارمندان خودتان توصیه کنید که:

  • هیچ وقت آنتی ویروس خودتان را غیرفعال نکنید.
  • نرم افزارهای خودتان، به خصوص مرورگر وب را همواره به­ روز نگه دارید.
  • یک مسدودکننده پیام­ های تبلیغاتی نصب کنید.
  • پلاگین و افزونه‌های آسیب پذیر مرورگر، مثل جاوا و فلش پلیر را غیرفعال کنید.

افزایش امنیت سایبری

 

۵- در صورت مشاهده رفتارهای عجیب در رایانه ­تان، موضوع را به سرعت گزارش دهید

رفتارهای عجیب می‌توانند هر چیزی را شامل شوند، از کند شدن رایانه گرفته تا روشن شدن بیش از حد و بی­ دلیل فن آن یا نمایش پیام‌های خطای غیرمنتظره.

همه این علایم می‌توانند نشان دهنده آن باشند که رایانه شما به نوعی بدافزار آلوده شده یا از آن در یک بات­ نت استفاده می‌شود.

بات­ نت‌ها شبکه‌ای از رایانه­ ها هستند که توسط مهاجمان سایبری برای انجام کارهای بد و مجرمانه مورد استفاده قرار می‌گیرند. از این شبکه‌ها می توان برای حمله به سایر رایانه ­ها، ارسال پیام های هرزنامه و فیشینگ، انتشار باج افزار، جاسوس افزار و غیره استفاده کرد. تمام این کارها به صورتی انجام می‌شود که خود کاربر، کوچکترین اطلاعی هم درباره آنها نخواهد داشت.

کارهایی که کارمندان شما باید انجام دهند:

کارمندان باید به عملکرد دستگاه‌ها توجه داشته باشند و در صورت مشاهده هر فعالیت مشکوک و غیرطبیعی، بلافاصله موضوع را گزارش دهند.

در صورتی که یک رخنه امنیتی رخ دهد، بهترین کار گزارش دادن آن در اسرع وقت است. به این ترتیب می‌توان آسیب را بهتر کنترل کرد. همچنین نمی‌توان چنین موضوع­ هایی را پنهان کرد چون بالاخره موضوع مشخص خواهد شد.

البته ممکن است در اصل، حمله‌ای رخ نداده باشد و رایانه شما قدیمی بوده و فقط نیاز به به­ روزرسانی داشته باشد اما در هر صورت تلاش برای حفظ امنیت، بهتر از پشیمانی و ابراز تأسف است.

متأسفانه در حال حاضر، شرایط چندان خوشایند نیست. طبق گزارش امنیتی سالیانه CISCO در سال ۲۰۱۶، تزریق اسکریپت از طریق مرورگر و آگهی افزار جزو تهدیدهای امنیتی هستند که تشخیص آنها بسیار دشوار است و بیش از ۲۰۰ ساعت زمان می‌برد.

مشکل اینجا است که کارمندان از بیان چنین موضوع­ هایی شرم و خجالت دارند یا نمی‌خواهند برای کارمندان IT مزاحمت ایجاد کنند.

بهترین کار این است که کارمندان درک کنند هر چه زودتر مسأله را گزارش دهند، بهتر است و قرار نیست جریمه شوند در نتیجه نباید از گزارش دادن ترس داشته باشند.

همچنین بهترین کار این است که فردی مسئول گزارش دادن این موارد شود.

 

افزایش امنیت سایبری

 

۶- هرگز از شبکه‌ها یا دستگاه‌های ناامن استفاده نکنید

بیشتر شرکت‌ها در راستای تلاش برای ایجاد یک محیط کاری بهتر و راضی نگه داشتن کارمندان­شان به آنها اجازه می‌دهند که از منزل و با دستگاه‌های خودشان کار کنند. هر لپ­ تاپ، گوشی هوشمند و تبلتی با هر سیستم عاملی در برابر حملات سایبری آسیب پذیر است. افزایش میزان استفاده از دستگاه‌های قابل حمل و افزایش انعطاف­ پذیری کاری، منجر به افزایش مخاطرات امنیتی می‌شود.

یک گزارش امنیتی نشان می‌دهد که ۶۷ درصد از شرکت‌ها به دلیل استفاده کارمندان­شان از گوشی تلفن همراه جهت دسترسی به داده‌های شرکت، متحمل یک نشت اطلاعاتی شده‌اند. به همین دلیل لازم است کارمندان برای ورود به حساب‌های کاربری و دسترسی به اطلاعات حساس، فقط از گوشی‌های سازمانی امن شده و رایانه­ های مجاز استفاده کنند.

افزایش امنیت سایبری

کارهایی که کارمندان شما جهت افزایش امنیت سایبری باید انجام دهند:

  • کارمندان باید سعی کنند فقط با استفاده از دستگاه‌های کاری تأیید و کنترل شده به داده‌های حساس دسترسی پیدا کنند. همچنین آنها نباید به شبکه‌های بی­ سیم رایگان و عمومی ناامن متصل شوند.
  • از آنها بخواهید که از وی‌پی‌ان استفاده کنند. وی‌پی‌ان یک شبکه خصوصی مجازی است که ترافیک اینترنت را رمزنگاری و ایمن ­سازی کرده و یک لایه امنیتی اضافی تشکیل می‌دهد که باعث کاهش آسیب پذیری در برابر حملات خواهد شد.
  • همچنین به کارمندان توصیه می‌شود این راهنما را که درباره نحوه استفاده از دستگاه‌های خودشان در محل کار است، مطالعه کنند.

 

۷- هرگز USB یا هارد دیسک های اکسترنال غریبه را به لپ­ تاپ یا رایانه ­تان متصل نکنید

از آنجا که استفاده از این تجهیزات، بسیار متداول است ممکن است چنین کاری طبیعی به نظر برسد اما احتمال آلودگی آنها به ویروس، بدافزار، تروجان یا کی‌لاگر وجود دارد.

افزایش امنیت سایبری

کارهایی که کارمندان شما باید انجام دهند:

  • کارمندان نباید هیچ وقت، هیچ درایو اکسترنالی را به دستگاه‌های خودشان متصل کنند اما بعید است که آنها از چنین قانونی پیروی کنند.
  • اقدام مفید بعدی، غیرفعال کردن قابلیت راه اندازی خودکار (Auto-Run) برای مواقعی است که درایوهای اکسترنال را به رایانه متصل می‌کنند و همچنین اسکن کردن آنها با استفاده از آنتی ویروس، قبل از باز کردن آنها.

 

۸- گزارش دادن سرقت یا گم شدن دستگاه‌ها در اسرع وقت

چه این دستگاه یک لپ­ تاپ باشد یا یک گوشی هوشمند، یک هارد درایو اکسترنال یا فقط یک USB ساده، در هر صورت باید سرقت و گم شدن آنها در اسرع وقت گزارش داده شود.

کارهایی که کارمندان شما باید انجام دهند:

  • این نکته با نکته‌ای که پیش از این درباره گزارش دادن رفتارهای عجیب مطرح شد، مرتبط است.
  • مشکل اینجا است که بیشتر کارمندان به دلیل شرم و خجالت یا ترس از تنبیه شدن، چنین مسایلی را گزارش نمی‌دهند. به آنها بگویید در صورت وقوع چنین مواردی بهترین اقدام این است که موضوع را در اسرع وقت گزارش دهند تا بتوانید آسیب را کنترل کنید.
  • سرقت یک دستگاه می‌تواند منجر به افشای داده‌های حساس و محرمانه شرکت شود؛ از قراردادهای شرکت گرفته تا فرم‌های مالیاتی کارمندان.

 

۹- هرگز در رابطه با عادت­ های مناسب در خصوص کلمه عبور، غفلت نکنید

هر چند در حال حاضر، کلمه عبور به تنهایی برای مقاومت در برابر تهدیدهای سایبری پیشرفته کافی نیست اما هنوز هم داشتن عادت­ های خوب در این زمینه اهمیت زیادی دارد.

افزایش امنیت سایبری

کارهایی که کارمندان شما باید انجام دهند:

  • کلمه عبور کارمندان باید بیشتر از ۸ کاراکتر طول داشته و شامل ترکیبی از حروف بزرگ و کوچک، نمادها و عددها باشد.
  • کارمندان هرگز نباید از یک رمز عبور برای حساب‌های کاربری مختلف استفاده کنند. درست همان­طور که برای خودرو، اداره و منزل از یک قفل یکسان استفاده نمی‌کنند.

هرگز کلمه­ های عبور را در اختیار دیگران قرار ندهید.

آیا می‌دانستید یکی از مهم‌ترین دلایل رخنه‌های امنیتی، قرار دادن رمزهای عبور در اختیار سایر همکاران است؟

کلمه های عبور را دایماً تغییر دهید. بیشتر افراد، چندین حساب کاربری مختلف دارند. بنابراین ممکن است انجام این کار برای آنها سخت باشد. تنها راه حل این مسأله استفاده از یک ابزار مدیریت رمز عبور مثل نرم افزار LastPass است.

به این ترتیب آنها فقط ملزم به حفظ کردن کلمه عبور اصلی، یعنی رمز عبور ورود به LastPass هستند. از آنها بخواهید هرگز کلمه های عبورشان را یادداشت نکرده یا بر روی فایل رایانه­ ای، پیامک گوشی، پیش­نویس ایمیل یا هر جای دیگری یادداشت نکنند.

همچنین در صورت امکان، سازوکار احراز هویت دومرحله‌ای را فعال کنند تا علاوه بر کلمه عبور، یک لایه محافظتی دیگر هم ایجاد شود.
با رعایت تمام این نکات جهت افزایش امنیت سایبری میتوانید جلوی بیشتر حملات را بگیرید.

افزایش امنیت سایبری

 

نتیجه ­گیری

مشکلی که درباره بیشتر نکته­ های گفته شده وجود دارد این است که بیشتر مردم از این نکات جهت افزایش امنیت سایبری اطلاع دارند و تمام راهکارهای امنیتی و حریم خصوصی مناسب را می‌شناسند اما در به کارگیری آنها ضعف دارند. در نتیجه، یک شکاف بزرگ بین دانستن آنچه که باید برای محافظت از داده‌های خودشان انجام دهند و آنچه در واقعیت انجام می‌دهند وجود دارد.

به آنها کمک کنید تا آگاه شوند مخاطرات چقدر واقعی و جدی هستند.

از خودتان بپرسید:

  • احتمال وقوع یک نشت داده یا حمله باج افزاری برای شرکت ما چقدر است؟
  • آیا ما به صورت کامل از پیامدهای چشم ­پوشی و غفلت از راهکارهای امنیتی آگاه هستیم؟

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یازده + دو =

دکمه بازگشت به بالا