خطای انسانی یک نقطه‌ضعف نگران‌کننده در امنیت سایبری!

به گزارش مجله خبری نگار/ایلنا،بررسی‌های انجام‌شده توسط محققان حکایت از آن دارد که مسئول اکثر حملات سایبری موفق، خطای انسانی است. رقم تخمین زده‌شده برای این امر، در آخرین بررسی‌ها ۶۸ درصد اعلام‌شده است.

دفاع تکنولوژیک هرچقدر هم پیشرفت کند، احتمالاً عنصر انسانی همچنان ضعیف‌ترین حلقه در زنجیره امنیت سایبری باقی خواهد ماند. این ضعف بر همه افرادی که از دستگاه‌های دیجیتال استفاده می‌کنند تأثیر می‌گذارد، اما برنامه‌های آموزشی و آگاهی سایبری سنتی قادر نیستند تا به‌اندازه کافی به آن رسیدگی کنند. حالا سؤالی که مطرح است این است که چگونه می‌توان با چالش‌های مربوط به امنیت سایبری انسان‌محور مقابله کنیم؟

درک خطا‌های انسانی

پیش از هرچیز باید بدانیم که درزمینهٔ امنیت سایبری با دو نوع خطای انسانی روبرو هستیم.

اولین مورد خطا‌های مبتنی بر مهارت است که زمانی اتفاق می‌افتد که افراد در حال انجام کار‌های معمولی هستند؛ به‌خصوص در زمان‌هایی که متمرکز نیستند و توجهشان منحرف‌شده است؛ مثلاً ممکن است فراموش کرده باشید که از داده‌های دسکتاپ رایانه‌تان بک‌آپ (نسخه پشتیبان) تهیه‌کرده باشید.

اصولاً شما می‌دانید که باید این کار را انجام دهید و قبلاً بار‌ها این کار را کرده‌اید و نحوه انجامش را بلد هستید؛ اما ازآنجاکه باید زود به خانه برگردید، یادتان رفته که آخرین بار چه زمانی بک‌آپ گرفته‌اید. همین ممکن است شما را بیشتر در معرض هکر‌ها در صورت حمله سایبری قرار دهد؛ چون در این شرایط هیچ جایگزینی برای بازیابی داده‌های اصلی نخواهید داشت.

اما نوع دوم خطاها، مبتنی بر دانش است و زمانی اتفاق می‌افتد که فردی با تجربۀ کمتر، مرتکب اشتباهات امنیتی سایبری می‌شود. چراکه دانش چندانی ندارد یا از قوانین خاصی پیروی نمی‌کند. مثلاً شاید در ایمیل ارسال‌شده از سوی یک مخاطب ناشناس، روی لینک (پیوند) کلیک کنید، آن‌هم در شرایطی که حتی نمی‌دانید که چه اتفاقی خواهد افتاد.

همین کلیک به‌ظاهر ساده، می‌تواند منجر به هک شدن و از دست رفتن پول و داده‌های شما شود؛ چون شاید لینک حاوی بدافزار‌های خطرناک باشد.

نقص‌های رویکرد‌های سنتی

سازمان‌ها و دولت‌ها، برای رسیدگی به خطا‌های انسانی، سرمایه‌گذاری هنگفتی بر روی برنامه‌های آموزشی امنیت سایبری انجام داده‌اند؛ اما حتی در بهترین حالت هم این برنامه‌ها نتایج متفاوتی داشته‌اند. این تا حدی به این دلیل است که بسیاری از برنامه‌ها رویکردی مبتنی بر فناوری و مناسب برای همه دارند و اغلب تمرکزشان بر جنبه‌های فنی خاصی مثل بهبود سلامت و کیفیت رمز عبور یا اجرای احراز هویت چندعاملی (Multi factor authentication) است.

البته آنها به مسائل روانی و رفتاری اساسی که بر اعمال افراد تأثیرگذار است، توجه چندانی ندارند. واقعیت این است که تغییر رفتار انسان بسیار پیچیده‌تر از صرفاً تأمین اطلاعات یا الزام به اقدامات خاص است و این مورد، بیش از هر چیز در امنیت سایبری به چشم می‌آید.

ازجمله مثال‌های ملموس در این زمینه، می‌توان از کمپین‌های بهداشت عمومی مثل "ابتکار ایمنی در برابر نور خورشید" در استرالیا و نیوزلند یاد کرد که به‌وضوح نشان می‌دهد که چه فاکتور‌هایی در این میان تأثیرگذار هستند. این کمپین چهار دهه پیش آغاز شد و از آن زمان به بعد موارد ابتلا به ملانوما (نوعی سرطان پوست) در هر دو کشور به میزان قابل‌توجهی کاهش داشت و این نشان می‌دهد که تغییر رفتار مستلزم سرمایه‌گذاری مداوم برای ارتقای آگاهی است.

همین اصل در مورد آموزش امنیت سایبری نیز صادق است. اینکه مردم بهترین شیوه‌ها را می‌دانند، به این معنا نیست که به‌طور مداوم آنها را به کار می‌برند؛ به‌خصوص در زمان‌هایی که با اولویت‌های رقابتی یا فشار زمانی روبرو هستند.

کوتاهی در قوانین جدید

در این شرایط، تمرکز قوانین پیشنهادی امنیت سایبری بر چند حوزه کلیدی قرار دارد. به‌عنوان‌مثال این قوانین در کشور استرالیا بر این حوزه‌ها متمرکز هستند:

مبارزه با حملات باج‌افزار

افزایش به اشتراک‌گذاری اطلاعات بین مشاغل و سازمان‌های دولتی

تقویت حفاظت از داده‌ها در بخش‌های زیرساختی حیاتی، مثل انرژی، حمل‌ونقل و ارتباطات

گسترش اختیارات تحقیقاتی برای حوادث سایبری

معرفی حداقل استاندارد‌های امنیتی برای دستگاه‌های هوشمند.

چنین اقداماتی بسیار مهم هستند. البته دقیقاً مثل برنامه‌های آموزشی سنتی امنیت سایبری، در این اقدامات نیز در درجه اول به جنبه‌های فنی و رویه‌ای امنیت سایبری پرداخته می‌شود. در کشوری مثل آمریکا، رویکرد متفاوتی را شاهد هستیم و در برنامه استراتژیک تحقیق و توسعه امنیت سایبری این کشور، "امنیت سایبری انسان‌محور" اولین و مهم‌ترین اولویت در نظر گرفته‌شده است.

در این برنامه بر این نکته پافشاری شده: «تأکید بیشتری بر رویکرد‌های انسان‌محور به امنیت سایبری موردنیاز است که در آن نیازها، انگیزه‌ها، رفتار‌ها و توانایی‌های افراد در خط مقدم تعیین طراحی، عملکرد و امنیت سیستم‌های فناوری اطلاعات قرار دارد.»

سه قانون برای امنیت سایبری انسان‌محور

حالا این سؤال مطرح می‌شود که چگونه می‌توان به‌اندازه کافی به موضوع خطای انسانی در امنیت سایبری رسیدگی کرد؟ در اینجا سه استراتژی کلیدی بر اساس آخرین تحقیقات ارائه‌شده است.

۱- بار شناختی را به حداقل برسانید: شیوه‌های امنیت سایبری باید به نحوی طراحی شوند که تا حد امکان بصری و بدون دردسر باشند. تمرکز برنامه‌های آموزشی باید بر روی ساده‌سازی مفاهیم پیچیده و ادغام شیوه‌های امنیتی یکپارچه در جریان‌های کاری روزانه قرار بگیرد.

۲- تقویت نگرش امنیت سایبری مثبت: آموزش باید به‌جای تکیه‌بر تاکتیک‌های ترس، بر نتایج مثبت اقدامات خوب امنیت سایبری تأکید کند. این رویکرد به ایجاد انگیزه در افراد برای بهبود رفتار‌های امنیت سایبری کمک خواهد کرد.

۳- اتخاذ دیدگاهی بلندمدت: تغییر نگرش‌ها و رفتار‌ها یک رویداد واحد نیست، بلکه یک فرآیند مستمر است. آموزش امنیت سایبری باید ادامه‌دار باشد و برای مقابله با تهدیدات، به‌صورت منظم به‌روزرسانی انجام گردد.

درنهایت، ایجاد یک محیط دیجیتالی امن نیازمند یک رویکرد جامع است که با ترکیب فناوری قوی، سیاست‌های درست و مهم‌تر از همه، کسب اطمینان از آموزش خوب و آگاهی مردم از امنیت به دست می‌آید. اگر بتوان دریافت که چه چیزی پشت خطا‌های انسانی نهفته است، می‌توان برنامه‌های آموزشی مؤثرتری طراحی کرد و به سراغ شیوه‌های امنیتی بهتری رفت که در مسیر طبیعت انسان کار می‌کنند، نه برخلاف آن.