Μια νέα μελέτη από την εταιρεία κατάρτισης στον κυβερνοασφάλεια και την προσομοίωση ηλεκτρονικού “ψαρέματος”, το KnowBe4 διαπίστωσε ότι ένας στους τρεις μη εκπαιδευμένους χρήστες ήταν πιθανό να πέσει για ηλεκτρονικού ψαρέματος ή κοινωνικής μηχανικής απάτης.
Η έκθεση ανέλυσε τις επιχειρήσεις σε μια ποικιλία βιομηχανιών για να χτίσει αυτό που το KnowBe4 αποκαλεί “ποσοστό επιρρεπές σε ψάρεμα” (PPP) ενός οργανισμού, το οποίο δείχνει πόσους υπαλλήλους είναι ευάλωτοι σε τέτοιες επιθέσεις. Η μέση βασική γραμμή, 31,4%, διέφερε πολύ από το μέγεθος του οργανισμού και τη βιομηχανία, με το πλήρες μισό των εργαζομένων σε μεγάλες (1.000+) εταιρείες ενέργειας και επιχειρήσεων κοινής ωφελείας να πέφτουν για επίθεση ηλεκτρονικού ψαρέματος ή κοινωνικής μηχανικής (Σχήμα Α).
“Αυτό είναι πολύ ανησυχητικό. Οι οργανισμοί θα πρέπει να παρακολουθούν τους κινδύνους τους λόγω της πλειονότητας των παραβιάσεων δεδομένων που προέρχονται από την κοινωνική μηχανική. Αυτά τα δεδομένα μας δείχνουν ότι η εφαρμογή εκπαίδευσης ευαισθητοποίησης ασφάλειας με προσομοιωμένες δοκιμές ηλεκτρονικού ψαρέματος θα βοηθήσει στην καλύτερη προστασία των οργανισμών από επιθέσεις στον κυβερνοχώρο”, δήλωσε ο Διευθύνων Σύμβουλος του KnowBe4 Stu Sjouwerman.
Τα δεδομένα του KnowBe4 δείχνουν ότι η εκπαίδευση είναι η απάντηση στα επικίνδυνα υψηλά ποσοστά. Εντός 90 ημερών από την εκπαίδευση, το KnowBe4 πραγματοποίησε ένα άλλο τεστ ηλεκτρονικού ψαρέματος (phishing) και κοινωνικής μηχανικής στους 23.400 οργανισμούς που περιλαμβάνονται στην έκθεση και διαπίστωσε ότι η μέση βαθμολογία ΣΔΙΤ μειώθηκε στο 16,4%. Μετά από ένα χρόνο συνεχούς εκπαίδευσης, ο αριθμός αυτός μειώνεται στο 4,8% (Σχήμα Β). Αυτό ισοδυναμεί με μια μέση βελτίωση 84%, ανέφερε η έκθεση.
Ενώ τα δεδομένα υποδηλώνουν ότι η εκπαίδευση του τύπου που προσφέρεται από το KnowBe4 είναι αποτελεσματική, η εκπαίδευση από μόνη της δεν μπορεί να αναμένεται να μεταμορφώσει έναν οργανισμό. Τούτου λεχθέντος, το KnowBe4 κάνει πολλές προτάσεις για την καταπολέμηση του ηλεκτρονικού ψαρέματος και της κοινωνικής μηχανικής.
Για αρχή, τα στελέχη πρέπει να μοντελοποιήσουν τη συμπεριφορά που θέλουν να δουν στους οργανισμούς τους, δήλωσε ο KnowBe4. Το C-suite είναι ένας δελεαστικός στόχος και μια κοινή αιτία παραβιάσεων της ασφάλειας λόγω του ηλεκτρονικού ψαρέματος και της κοινωνικής μηχανικής. “Τα στελέχη θα πρέπει να είναι ενεργά συμμετέχοντες σε όλες τις πτυχές της ευαισθητοποίησης για την ασφάλεια σε όλους τους οργανισμούς τους, συμπεριλαμβανομένης της συμμετοχής στις ίδιες απαιτήσεις εκπαίδευσης σχετικά με την ασφάλεια σχετικά με την αναμενόμενη ολοκλήρωση των υπόλοιπων υπαλλήλων τους”, συνιστά η έκθεση.
Είναι επίσης σημαντικό για όσους σχεδιάζουν μια στρατηγική κατά του ηλεκτρονικού ψαρέματος να συνεργάζονται με τα σωστά άτομα, προτείνει η έκθεση. Μια μοναδική προσέγγιση για την εκπαίδευση μπορεί να είναι περιοριστική όταν η έλλειψη βαθιάς εμπειρογνωμοσύνης σταματά την εκπαίδευση από το να είναι αποτελεσματική. “Μπορεί να είναι δελεαστικό να αξιοποιήσετε τον εσωτερικό εκπαιδευτικό οργανισμό σας για να ηγηθεί αυτής της ανάπτυξης προγράμματος … αλλά αυτό θα οδηγήσει σε μια μακροπρόθεσμη αδυναμία να διαμορφώσετε τις σκέψεις και τις ενέργειες που σχετίζονται με την ασφάλεια του κοινού σας”, ανέφερε η έκθεση.
Το KnowBe4 συνιστά επίσης ότι οι οργανισμοί που επικεντρώνονται στη βελτίωση της ασφάλειας στον κυβερνοχώρο θα πρέπει να σκέφτονται όπως οι έμποροι και να θέτουν την κυβερνοασφάλεια πρωτεύων σημασίας για το γραφείο, για τα μηνύματα ηλεκτρονικού ταχυδρομείου και για την εκπαίδευση . Υπενθυμίζοντας συνεχώς στους υπαλλήλους τη σημασία της ασφάλειας το καθιστά ένα πολύ σημαντικό μέρος της εργασίας.
Είναι επίσης σημαντικό να καθορίσετε στόχους, να συλλέξετε σημαντικά δεδομένα και να μετατρέψετε αυτά τα δεδομένα σε χρήσιμες μετρήσεις, να προσομοιώσετε επιθέσεις ηλεκτρονικού ψαρέματος (phishing) και να αυξήσετε τη συχνότητα της προπόνησης και των εσωτερικών δοκιμών για να αποφύγετε την ατροφία προπόνησης, δήλωσε το KnowBe4.