امروزه مقدار بودجه مصرفی برای تأمین و حفظ امنیت سایبری نسبت به گذشته افزایش چشمگیری داشته است. با این وجود از آنجا که نفوذهای امنیتی معمولاً در اثر عدم وجود کنترلهای امنیتی رخ میدهند و نه خطاهای انسانی، مدیران امنیت سایبری اعتماد چندانی به سرمایهگذاریهایشان در این حوزه نداشته و براساس پیشبینیهای محققان امنیتی نیز تا سال 2025 میلادی خسارتهای سالیانه ناشی از وقوع حملات سایبری به رقم 10 تریلیون دلار در سال میرسد.
در این مطلب از فراست مواردی از قبیل دلایل ارتکاب اشتباهات امنیتی توسط انسانها، محرکهای تأثیرگذار بر روی رفتار آنها و اینکه چرا انسانها در برابر شستشوی مغزی آسیبپذیر هستند را مورد بررسی قرار میدهیم.
سوگیری و هیوریستیک[1] منجر به ایجاد خطاهای امنیت سایبری میشود
ضعف ذاتی ضمیر ناخودآگاه انسان معمولاً تأثیر بسیار زیادی بر روی تصمیمگیریهای امنیتی دارد و منجر به بروز رفتارهای پرخطر، قضاوتهای ضعیف و ایجاد حفرههایی در وضعیت امنیتی میشود. افراد همچنین همواره در تلاش برای جستجوی میانبرهای شناختی (رهیافت آنی یا هیوریستیک) برای درک اطلاعات در سریعترین زمان ممکن هستند. کارشناسان امنیتی نیز مستثنی نبوده و خواهان پردازش منطقی حجم انبوهی از دادههای امنیتی در سریعترین زمان ممکن هستند. بنابراین ممکن است این افراد تصمیمات فوری نادرستی گرفته و امنیت کل سازمان را دچار مخاطره کنند.
به همین ترتیب، سوگیریها هم یک نوع سیستماتیک در استدلال هستند که منجر به ناکامی در اتخاذ تصمیمات امنیتی صحیح میشوند. برای مثال اگرچه میزان کشتار انسان توسط پشهها در یک روز، بیشتر از آمار کشتار انسانها توسط کوسهها در صد سال است، ولی بنا بر غریزه انسانی، همواره از کوسهها نسبت به پشهها بیشتر میترسیم.
سوگیری شناختی در امنیت سایبری
در حوزه روانشناسی مطالعات گستردهای در زمینه سوگیریهای شناختی انجام شده و از نتایج آنها نیز در تبلیغات، بازاریابی، فروش و غیره استفاده میگردد ولی تأثیر این سوگیریها در امنیت سایبری معمولاً چندان مورد توجه قرار نمیگیرد. در ادامه یکسری از سوگیریهای مهم و پیامدهای ناشی از آنها بر امنیت سایبری را مورد بررسی قرار میدهیم.
- هیوریستیک تأثیر
هیوریستیک تأثیر یک میانبر ذهنی است که به شدت تحت تأثیر وضعیت کنونی احساسات ما قرار دارد. برای مثال اگر کارمندان بخش امنیت سایبری درباره یک وضعیت خاص احساس خوبی داشته باشند، ممکن است آن را کم خطر دانسته و به صورت دقیق مورد بررسی قرار ندهند.
- لنگر انداختن
لنگر انداختن یک سوگیری شناختی بسیار متداول است. در این وضعیت انسانها در هنگام تصمیمگیری اطلاعات اولیهای که کسب کردهاند را مثل وحی منزل میدانند. برای مثال اگر مدیر ارشد امنیت اطلاعات یا کارمند اجرایی اعلام کند که یک تهدید سایبری خاص از اولویت نسبتاً بالایی برخوردار است، کارمندان سطح پایینتر اصطلاحاً در آن دیدگاه لنگر انداخته و کل چشم انداز تهدید را در نظر نمیگیرند.
- هیوریستیک دسترسپذیری
هر چقدر قرارگیری یک فرد در یک شرایط خاص بیشتر شود، آن شرایط در ذهن او دسترسپذیرتر است. تیمهای امنیت سایبری معمولاً در هنگام ارزیابی تهدید یا وضعیت، به جای در پیش گرفتن رویکردی کارآمد که کلیه مخاطرات ممکن را مورد بررسی قرار میدهند، متکی بر حافظه، تجربه یا گرایشات صنعت خود هستند.
- عقلانیت محدود
عقلانیت محدود به فرایندی گفته میشود که در آن افراد سعی میکنند به جای بهینهسازی، فرایند تطبیق را پیادهسازی کنند. وقتی در یک حمله سایبری، فشارها بر تیم امنیت سایبری بیشتر میشود، آنها معمولاً تصمیماتی که بر اساس اطلاعات و ابزارهای امنیتی در دسترسشان، «به اندازه کافی خوب» باشد اتخاذ میکنند.
- ازدیاد گزینهها
تیمهای امنیت سایبری معمولاً چنین شرایطی را تجربه میکنند. هزاران راهکار امنیتی در بازار وجود دارند که مدعی ارایه جامعترین و کاملترین راهکارهای مقابله با تهدیدات سایبری هستند. پیامهای بازاریابی و داستانسراییهای فروشندگان میتوانند منجر به نصب راهکار اشتباه برای مسئلهای اشتباه توسط تیمهای امنیت سایبری شوند.
- خستگی ناشی از تصمیمگیری
تصمیمگیریهای پی در پی منابع ذهنی انسان را تخلیه نموده و میتواند منجر به خستگی از تصمیمگیری شود. به صورت میانگین ابزارهای امنیتی روزانه بیش از هزار هشدار تولید میکنند. بسیاری از کارمندان امنیت سایبری اعتراف کردهاند که در صورت قرار گرفتن در حالت اشباع هشدارهای امنیتی را نادیده میگیرند.
- رفتار گلهای
انسانها به صورت ناخودآگاه از اقدامات یک گروه بزرگتر تقلید میکنند. فرض کنید بعضی از اعضای یک سازمان کلمات عبورشان را نوشته و در اطراف محل کارشان قرار دهند. چنین رفتاری به سرعت شیوع پیدا کرده و کل سازمان را درگیر میکند.
- تأثیر مجوز اخلاقی
این سوگیری شناختی زمانی رخ میدهد که در آن افراد به خودشان اجازه میدهند با دستیابی به یک پاداش عاطفی در اثر انجام یک کار خاص، یک کار مثبت یا منفی را انجام دهند. تیمهای امنیت سایبری و کارمندان هم در معرض چنین رفتاری هستند. فرض کنید کارمندی اسناد حساس را از بین برده و حس کند که کار خوبی انجام داده است. در نتیجه ممکن است در نهایت بر روی یک ایمیل فیشینگ کلیک کند.
- سوگیری خوشبینانه
این سوگیری رایج که ناشی از باور غلط «این اتفاق برای من نمیافتد» معمولاً در 80 درصد از افراد از جمله کارمندان بخش امنیت سایبری وجود دارد. کارمندان و تیمهای امنیتی معمولاً دارای یک حس خوش بینی کاذب هستند. آنها حس میکنند چون ابزارها و فرایندهای امنیتی لازم را دارند، در برابر حملات سایبری ایمن هستند.
- تخلیه نفس
انسانها حجم محدودی از قدرت اراده را در اختیار دارند که به مرور زمان کمرنگتر میشود. برای مثال کارمندان پس از برگزاری یک جلسه آموزشی، اصول امنیتی را رعایت میکنند اما در صورت عدم وجود آموزشهای مستمر و زمانبندی شده، این رفتار در نهایت ناپدید خواهد شد.
اصول امنیت سایبری که به غلبه بر سوگیریهای شناختی کمک میکنند
انسانها ضعیفترین پیوند در امنیت سایبری هستند. مجرمان سایبری نیز از این شرایط و بازی با ذهن آنها در راستای منافعشان سوءاستفاده میکنند. مدیران سازمانها باید با پیادهسازی یکسری برنامههای ساده از جمله اقدامات زیر مانع از فریب تیمهای امنیتی توسط هکرها شوند.
- تأکید بر روانشناسی به جای فناوری: کنترلهای امنیتی باید بر مبنای رفتار انسانها طراحی شوند.
- استفاع از دفاع در عمق: باید یک رویکرد امنیتی که شامل مجموعهای ترکیبی از اصول، آموزشها و کنترلهای فناورانه است استقرار یابد.
- تقویت فرهنگ امنیتی از طریق آموزش و ارتباطات منظم: آموزش مستمر، برگزاری طرحهای آگاهیرسانی امنیت سایبری، شبیهسازی مکرر حملات فیشینگ منجر به ارتقای فرهنگ امنیت سایبری میشود.
امنیت سایبری در اصل یک مسئله انسانی است. بنابراین بسیار مهم است که تیمهای امنیت سایبری این موضوع را به رسمیت شناخته و رویکردشان را متناسب با آن تغییر دهند.
[1] تکنیک رهیافت آنی (اکتشاف یا هیوریستیک) دیدگاهی به حل مسئله یا خودیابی است، که از نوعی روش عملی استفاده میکند. اگرچه تضمینی بر «بهینه، کامل بودن، یا منطقی بودن» این دیدگاه نیست ولی با این وجود برای دسترسی به یک هدف یا تقریب از هدف «فوری و کوتاه مدت» مناسب است. ویکیپدیا
منبع: securitymagazine