پرونده / آگاهی‌رسانی امنیتی؛ اهمیت و سرفصل‌های آموزشیِ اصلی برای سال ۲۰۲۲

پرونده / آگاهی‌رسانی امنیتی؛ اهمیت و سرفصل‌های آموزشیِ اصلی برای سال ۲۰۲۲
تاریخ انتشار : ۳۰ آذر ۱۴۰۱

با توجه به این که خطای انسانی در ۹۵ درصد از موارد نقضِ امنیت سایبری نقش مهمی دارد، برای جلوگیری از نشت داده‌ها توسط کارمندان، مدیریت ریسکِ سایبری در میان آن‌ها ضروری است.

به گزارش گرداب، یکی از مولفه‌های اصلی یک برنامه‌ی موثر مدیریت ریسک انسانی (HRM)، آموزش مداوم مسائل امنیتی است که به کاربران در مورد چگونگی شناسایی و مبارزه با تهدیدات مدرن و نیز بهترین شیوه‌ها برای حفظ امنیت اطلاعات یاری می‌رساند. اما تصمیم‌گیری برای راه‌اندازی این نوع آموزش با چند مسئله‌ی رایج همراه است که یکی از مهم‌ترین آن‌ها تصمیم‌گیری درباره‌ی موضوعات آموزشی آگاهی‌رسانیِ امنیتی است، که باید در برنامه گنجانده شود.

در این مقاله به آگاهی‌رسانی امنیتی و اهمیت آن می‌پردازیم و نیز به این مساله خواهیم پرداخت که چه موضوعاتی باید در آرشیو آموزشیِ آگاهی‌رسانی امنیتی برای سال ۲۰۲۲ در اولویت قرار بگیرد.

پرونده / آگاهی‌رسانی امنیتی؛ اهمیت و سرفصل‌های آموزشیِ اصلی برای سال ۲۰۲۲

                                              آگاهی‌رسانی امنیتی، یک فاکتور حیاتی در سال ۲۰۲۰

آگاهی‌رسانی امنیتی
یکی از مسائل مهمی که از خطرات آنلاین و وقوع جرایم سایبری پیشگیری می‌کند، آگاهی‌رسانی امنیتی و افزایش دانش کاربران است. بسیاری از مجرمان سایبری، کارمندان سازمان‌ها و کاربران ناآگاه را مورد هدف قرار می‌دهند و امنیت داده‌ها را با سوءاستفاده از عدم آگاهی این کاربران، به خطر می‌اندازند.

آگاهی‌رسانی امنیتی، یکی از راهکار‌های مهم برای افزایش امنیت اطلاعات و کاهش خطرات احتمالی در فضای رایانه است. به عبارت دیگر، آگاهی‌رسانی امنیتی به واسطه‌ی آموزش کارکنان سازمان‌ها و کاربران فضای دیجیتال و افزایش دانش آن‌ها در زمینه‌ی حفاظت اطلاعات، از بروز تهدیدات و حملات سایبری جلوگیری می‌کند.

در بسیاری از موارد، عدم آگاهی کاربر او را تبدیل به طعمه‌ی خوبی برای حملات سایبری می‌کند. بر همین اساس، هکر‌ها با سوءاستفاده از دانش کم کاربر، در سیستم نفوذ می‌کنند و داده‌ها را سرقت می‌کنند و یا به نحو دلخواه تغییر می‌دهند. برای مثال، ممکن است کاربر ناآگاه، روی یک لینک آلوده کلیک کند و یا یک فایل آلوده را در سیستم خود باز کند و موجب سرقت اطلاعات شود. چنین حملاتی می‌تواند باعث درز اطلاعات حساس سازمانی شود و در سطح گسترده به افراد آسیب وارد کند؛ بنابراین افزایش آگاهی در زمینه‌ی امنیت اطلاعات امری بسیار مهم و حیاتی است.

سازمان‌ها همزمان با افزایش تجهیزات امنیتی خود، می‌توانند با آموزش و آگاهی‌رسانی امنیتی به کارکنان، احتمال وقوع چنین حملاتی را به طرز چشمگیری کاهش دهند. البته لازم به ذکر است که کاربرد این آموزش‌ها تنها زمانی به طور کامل محقق می‌شود که پس از آگاهی‌رسانی، آمادگی و آگاهی کارکنان آزموده شود و اطمینان حاصل شود که آگاهی‌رسانی به درستی انجام شده است.

بدون شک، افزایش آگاهی در خصوص جرایم آنلاین برای همه‌ی افراد از هر سازمان و در هر جایگاه شغلی لازم و ضروری است. با این حال، اهمیت این آموزش برای افرادی که با تجهیزات الکترونیک و کامپیوتر‌ها سروکار دارند، بیش از همه غیرقابل انکار است. به عبارت دیگر، همه‌ی افرادی که به نحوی از تکنولوژی و سیستم‌های هوشمند استفاده می‌کنند، به آگاهی‌رسانی امنیتی نیاز دارند. با افزایش آگاهی کاربران نسبت به خطرات احتمالی و نحوه‌ی وقوع آنها، ریسک این حملات و آسیب‌ها به حداقل می‌رسد و در دراز مدت با جلوگیری از سرقت اطلاعات، از ورود خسارت‌های مالی یا آسیب‌های معنوی به حسن شهرت افراد و سازمان‌ها جلوگیری می‌شود.

به صورت کلی آگاهی‌رسانی امنیتی باید موارد زیر را پوشش دهد:

· ماهیت دارایی‌های مادی و فیزیکی حساسی که ممکن است کارمندان با آن‌ها سر و کار داشته باشند؛ مانند اسرار تجاری، نگرانی‌های مربوط به حریم خصوصی و اطلاعات طبقهبندیشدهی دولتی.

· مسئولیت‌های کارمند و کارفرما در قبال اطلاعات حساس؛ از جمله بررسی قرارداد‌های عدم افشای کارمندان.

· الزامات ضروری برای جابه‌جایی مناسب مواد حساس به شکل فیزیکی؛ از جمله علامتگذاری، انتقال، ذخیرهسازی و تخریب.

· روش‌های مناسب محافظت از اطلاعات حساس در سیستم‌های کامپیوتری؛ از جمله رمز‌های عبور و سیستم‌های احراز هویت.

· انواع نگرانی‌های امنیت سایبری از جمله بدافزارها، حملات فیشینگ، مهندسی اجتماعی و ….

· امنیت محل کار؛ از جمله دسترسی‌ها در ساختمان، نشان‌های امنیتی، موارد ممنوعه و ….

· پیامد‌های عدم حفاظت صحیح از اطلاعات؛ از جمله از دست دادن احتمالی شغل، پیامد‌های اقتصادی برای شرکت، آسیب‌های احتمالی به افراد از طریق افشای سوابق خصوصی، مجازات‌های مدنی و کیفری احتمالی.
به گفته‌ی آژانس امنیت شبکه و اطلاعات اتحادیه‌ی اروپا، آگاهی از خطرات و پادمان‌های موجود اولین خط دفاعی برای امنیت سیستم‌ها و شبکه‌های اطلاعاتی است؛ بنابراین تمرکز آگاهی‌رسانی امنیتی باید دستیابی به تغییر درازمدت در نگرش کارمندان نسبت به امنیت و در عین‌حال ترویج تغییر فرهنگی و رفتاری در یک سازمان باشد. سیاست‌های امنیتی، نزد سازمان‌ها باید به عنوان مقوله‌های کلیدیِ توانمندسازی تلقی شوند و نه به عنوان یک سری مقررات فرعی که بهره‌وری کسب و کار‌ها را محدود می‌کنند.

مهم‌ترین سرفصل‌های آموزشیِ آگاهی‌رسانی امنیتی در سال ۲۰۲۲ چیست؟

در پاسخ بدین سوال، لیستی از مرتبط‌ترین موضوعات آموزشی آگاهی‌رسانی امنیت سایبری برای کارکنان را در سال ۲۰۲۲ گرد آورده‌ایم:

۱- حملات فیشینگ (phishing)
یکی از موثرترین راه‌های حمله توسط مجرمان سایبری، فیشینگ است. میزان این حملات در سال ۲۰۲۰ دو برابر شد و در طول سال ۲۰۲۱ نیز به صورت مدام افزایش یافت. در نتیجه، شرایط دورکاری کارمندان برای کسب‌وکار‌ها دشوارتر شد؛ چرا که کسب‌وکار‌ها باید ابتدا اطمینان حاصل می‌کردند که کارمندانشان قربانی فیشینگ نشوند.

اما چرا فیشینگ، در سال ۲۰۲۲ نیز تهدیدی جدی برای مشاغل است؟

یکی از دلایل اصلی این است که این نوع حملات، نسبت به گذشته به مراتب پیچیده‌تر شده‌اند. امروزه مهاجمان برای فریب کارمندان در نشت داده‌های حساس یا دانلود ضمیمه‌های مخرب، از تکنیک‌هایی به مراتب هوشمندانه‌تر استفاده می‌کنند. فیشینگ خود به انواع مختلفی تقسیم می‌شود:
· فیشینگ با قلاب (angler phishing): مهاجم در شبکه‌های اجتماعی، حساب خدمات مشتری جعلی ایجاد می‌کند.

· جعل ایمیل سازمانی (BEC): مهاجم خود را جای یکی از مدیران ارشد سازمان جا می‌زند و در ایمیلی از کارمند می‌خواهد پولی را به حساب او بریزد یا داده‌ی حساسی را به او ایمیل کند.

· فارمینگ (pharming): مهاجم، کاربران را به جای وبسایت اصلی به وبسایت جعلی و کلون شده هدایت می‌کند تا اطلاعاتی را که کاربر وارد می‌کند، سرقت کند.

· فیشینگ نیزه‌ای (spear phishing): یادآور ماهی‌گیری با نیزه است و در آن مهاجم حمله‌ی خود را تنها روی فرد خاصی متمرکز می‌کند تا ازطریق او بتواند به کل سیستم نفوذ کند.

· تب‌قاپی (tabnabbing): مهاجم تب‌های مرورگر کاربر را که برای مدتی غیرفعال مانده است، با محتوای مخرب جایگزین می‌کند و او را متقاعد می‌کند اطلاعات خود را برای ورود به وبسایت، در این صفحه‌ی جعلی وارد کند.

· شکار نهنگ (whaling): مهاجم در این روش به جای کاربران عادی، سراغ مدیران ارشد یا اعضای هیئت رئیسه می‌رود و با ترفند مهندسی اجتماعی سعی می‌کند اطلاعات بسیار حیاتی سازمان را مستقیما سرقت کند.

پرونده / آگاهی‌رسانی امنیتی؛ اهمیت و سرفصل‌های آموزشیِ اصلی برای سال ۲۰۲۲

                                         آمار تاکتیک‌های نفوذ در حملات فیشینگ

متاسفانه امروزه، حملات فیشینگ برخلاف تصور ما دیگر به راحتی قابل تشخیص نیستند و با توجه به افزایش چشمگیر این حملات در دو سال اخیر، چندان سخت نیست که میزان شیوع این حملات را در سال ۲۰۲۲ پیش‌بینی کنیم. به همین خاطر کاربران باید پیوسته در مورد چگونگی حملات فیشینگ و تکنیک‌های جدید به کار رفته در آن‌ها آموزش ببینند و همچنین یاد بگیرند چگونه به محض این که مورد حمله قرار گرفتند، آن را گزارش بدهند.

۲- رسانه‌ی جداشدنی یا حافظه‌ی خارجی قابل جابه‌جایی
یکی دیگر از موارد مرتبط با آگاهی‌رسانی امنیتی که به طور روزمره هم در شرکت‌ها مورد استفاده قرار می‌گیرد، رسانه‌هاییست که قابلیت جابجایی دارند. این رسانه‌ها، وسایل ذخیره‌سازی قابل حملی هستند که به کاربران کمک می‌کنند تا داده‌ها را از دستگاهی کپی و به دستگاهی دیگر منتقل کنند؛ مثل فلش USB. مهاجمان حافظه‌ی USB حاوی بدافزار را در اختیار کاربران هدف حمله قرار می‌دهند تا وقتی به رایانه‌ی خود متصل کرد، به آن نفوذ کنند.

محققان ۳۰۰ عدد حافظه‌ی USB را در محوطه‌ی دانشگاه ایلینویز پخش کردند. ۹۸ درصد از افراد این فلش‌ها را برداشتند. از بین این افراد، ۴۵ درصد نه تنها فلش‌ها را برداشتند، بلکه روی فایل‌هایی که داخلشان بود کلیک کردند.

با توجه به بالا بودن میزان خطر حمله از طریق حافظه‌های جانبی، لازم است کارمندان علاوه بر درک خطرات ممکن، بدانند چگونه با رعایت ایمنی و به شکلی مسئولانه از این حافظه‌ها استفاده کنند. دلایل متعددی برای استفاده از این رسانه‌ها در یک شرکت وجود دارد و بنابراین نمی‌توان به راحتی این ابزار را کنار گذاشت. با این‌حال، باید دانست که با وجود هر سطح از تکنولوژی، همیشه‌ی خطراتی در کمین است. کارمندان باید از تمام اطلاعاتشان، خواه شرکتی و یا شخصی، محافظت کنند؛ چرا که همه‌ی داده‌ها برای مهاجمان به نوعی ارزشمند هستند.

در زیر چند نمونه‌ی رایج از رسانه‌های جداشدنی را که احتمالا در هر شرکتی مورد استفاده قرار می‌گیرد، آورده‌ایم:
· فلش USB
· کارت‌های SD
· سیدی
· گوشی‌های هوشمند

این مبحث از آگاهی‌رسانی امنیتی باید در هر آموزشی گنجانده شود و ضمن معرفی نمونه‌هایی از رسانه‌های جداشدنی، به افراد درمورد چرایی استفاده از آن‌ها در مشاغل آموزش داده شود و همچنین در مورد نحوه‌ی جلوگیری از خطراتی مانند گم شدن یا دزدیده شدن، آلودگی به بدافزار و نقض قانون کپی‌رایت توضیحات کافی به افراد ارائه شود.

۳- رمز‌های عبور و احراز هویت
امنیت رمز عبور، مولفه‌ای بسیار ساده، اما مغفول‌مانده است که می‌تواند امنیت شرکت را ارتقا دهد. مهاجمان غالبا به امید دسترسی به حساب‌ها، رمز‌های عبور را با روش‌های مختلفی حدس می‌زنند؛ بنابراین استفاده از رمز‌های عبور ساده یا داشتن الگو‌های رمزی قابل تشخیص توسط کارمندان، می‌تواند دسترسی مجرمان سایبری را به طیف وسیعی از حساب‌ها آسان‌تر نماید. هنگامی که این رمز‌ها و اطلاعات حساب به سرقت می‌رود، یا به صورت عمومی منتشر می‌شود یا در دارک‌وب فروخته می‌شود.

پیاده‌سازی رمز‌های عبور تصادفی ساخته شده، می‌تواند دسترسی مهاجمان را دشوار سازد. در مرحله‌ی بعد، احراز هویت دومرحله‌ای، لایه‌های امنیتی بیشتری به وجود می‌آورد که به صورت یکپارچه از حساب‌ها محافظت می‌کند.

۴- امنیت فیزیکی
اگر از آن دسته از افرادی هستید که رمز عبور خود را روی کاغذ یادداشت‌های چسب‌دار روی میز خود می‌گذارند، ممکن است زمانی دیگر به آن‌ها نیاز نداشته باشید و قصد دور انداختنشان را داشته باشید. در این موارد مسائل امنیتی را مد نظر قرار دهید. اگرچه بسیاری از حملات احتمالا از طریق رسانه‌های دیجیتال رخ می‌دهند، اما حفظ اسناد فیزیکی حساس در یکپارچگی سیستم امنیتی شرکت موثر و ضروری است.

آگاهی‌رسانی ساده‌ای از خطرات اسناد دور ریخته شده، رایانه‌ها و رمز‌های عبور بدون نظارت در محیط اداری یا منزل، می‌تواند خطر امنیتی را به طرز چشمگیری کاهش دهد. با اجرای سیاست میز تمیز، خطر سرقت یا کپی اسناد بدون مراقبت را می‌توان به میزان قابل توجهی کاهش داد.

۵- امنیت دستگاه موبایل
چشم‌انداز در حال تغییر فناوری‌های اطلاعات، توانایی محیط‌های کاری را در انعطاف‌پذیر بودن افزایش داده است و همراه با آن، راه را برای پیچیده‌تر شدن حملات امنیتی هموار کرده است. با توجه به این که امروزه بسیاری از مردم، تلفن همراه دارند و در حال حرکت از آن استفاده می‌کنند، خطر حمله‌ی امنیتی هم افزایش یافته است. استفاده از تلفن همراه در شرکت‌های کوچک‌تر راهی موثر برای صرفه‌جویی در هزینه‌هاست. با این‌حال، ظهور برنامه‌های مخرب خطر ابتلا به بدافزار را در این دستگاه‌ها به قدری افزایش داده است که بالقوه می‌تواند منجر به نقض امنیت شود؛ بنابراین نحوه‌ی کار با تلفن همراه، به خصوص برای کارمندان سفری یا دورکارها، باید یکی از مبحث‌های آموزشی در سال ۲۰۲۲ باشد.

در سال ۲۰۲۱ نیاز آشکار به دورکاری، همراه با افزایش جذب نیرو، منجر به این شد که بسیاری از شرکت‌ها گام‌های جدی به سمت سیاست‌های کار تمام‌وقت از خانه اتخاذ کنند. دورکاری می‌تواند هم برای شرکت‌ها و هم برای کارمندان مفید باشد و باعث بهره‌وری و تعادل بیشتر بین کار و زندگی شود. با این‌حال، این روند زمانی که به شکلی ایمن در مورد خطرات کار از راه دور آموزش داده نشده باشد، تهدیدی برای نقض امنیت است. دستگاه‌های شخصی که برای مقاصد کاری استفاده می‌شوند، در صورت عدم مراقبت باید قفل بمانند و آنتی‌ویروس بر رویشان نصب شده باشد. اگر شرکتی بخواهد سیاست دورکاری اتخاذ کند، باید بر روی آموزش کارمندان در مورد شیوه‌های کاری ایمن تمرکز کند.

همین روند در سال ۲۰۲۲ نیز ادامه دارد. شرکت‌ها به طرزی فزاینده کارمندان دورکار استخدام کرده‌اند و کسانی که با سبک زندگی کار از خانه سازگار شده‌اند، مسلما ترجیحشان دورکاری است؛ بنابراین ضرورت آموزش کارمندان برای درک و مدیریت امنیت سایبری در دستگاه‌های شخصی افراد بر کسی پوشیده نیست.

۷- وای‌فای عمومی

بسیاری کاربران تفاوت شبکه‌ی وای‌فای امن و شبکه‌ی وای‌فای ناامن را نمی‌دانند. این کاربران به هکر‌ها در حمله به وای‌فای عمومی کمک می‌کنند و اجازه می‌دهند حمله‌های آن‌ها با سهولت بیشتری به سرانجام برسد. طبق گزارش وبسایت کسپرسکی، بخش عمده‌ای از کاربران دنبال مکانیزم ارتباطی پایدار هستند و از وای‌فای عمومی برای موقعیت‌یابی یا ارسال موقعیت فعلی برای دوستان خود استفاده می‌کنند. نزدیک به ۴۰ درصد کاربران از وای‌فای عمومی برای موضوعات سرگرم‌کننده و دانلود فیلم‌ها استفاده می‌کنند. جالب آن که ۵۳ درصد کاربران فرق بین شبکه‌ی ایمن و غیر ایمن را نمی‌دانند و بالغ بر ۶۰ درصد تصور می‌کنند اتصال به وای‌فای عمومی در شرایط ایده‌آل و ایمنی انجام می‌شود. بنابراین، شاید لازم باشد برای برخی از کارمندان که نیاز به دورکاری یا سفر کاری با قطار و اقامت در هتل دارند، نحوه‌ی استفاده ایمن از وای‌فای عمومی آموزش داده شود. شبکه‌های وای‌فای عمومی جعلی که اغلب در کافی‌شاپ‌ها به عنوان وای‌فای رایگان ظاهر می‌شوند، می‌توانند کاربران را در مقابل نشت اطلاعات به سرور‌های عمومی غیر ایمن آسیب‌پذیر نمایند.

آموزش کارمندان در مورد استفاده‌ی ایمن از وای‌فای عمومی و نشانه‌های رایج برای شناسایی کلاه‌برداری احتمالی، آگاهی شرکت‌ها را افزایش می‌دهد و خطر را به حداقل می‌رساند.

۸- امنیت ابری
رایانش ابری نحوه‌ی ذخیره‌سازی و دسترسی به اطلاعات توسط کسب‌وکار‌ها را متحول کرده است. با وجود ذخیره‌سازی حجیم داده‌های خصوصی از راه دور، به همان میزان خطر حمله در مقیاس وسیع نیز وجود دارد. شرکت‌های بسیاری روی حفاظت از داده‌ها کار می‌کنند، اما انتخاب ارائه‌دهنده‌ی خدمات ابری مناسب و فضای ذخیره‌سازی ابری می‌تواند راهی بسیار ایمن‌تر و مقرون به صرفه‌تر برای ذخیره‌ی داده‌ها باشد.

همانند سایر مباحث ذکر شده، هک داخلی تهدیدی جدی‌تر از هک شرکت‌های ابری بزرگ است. در همین زمینه پیش‌بینی می‌شود تا سال آینده ۹۹ درصدِ حوادث امنیتی ابری، تقصیر کاربر باشد؛ بنابراین آگاهی‌رسانی امنیتی باید راهنمای کارمندان در استفاده‌ی ایمن از برنامه‌های کاربردی مبتنی بر فضای ابری باشد.

۹- استفاده از شبکه‌های اجتماعی مجازی

امروزه اکثر افراد در شبکه‌های اجتماعی بخش‌های زیادی از زندگی خود را، اعم از تعطیلات و رویداد‌های مختلف و اتفاقات روزمره در فضای کارشان، به اشتراک می‌گذارند؛ اما اشتراک‌گذاری بیش از حد می‌تواند باعث شود اطلاعات شخصی آن‌ها به راحتی در دسترس قرار بگیرد و بدین ترتیب، مجرم سایبری بتواند خود را فردی آشنا و قابل‌اعتماد جا بزند.

آموزش کارمندان در مورد حفاظت از تنظیمات حریم خصوصی حساب‌های شبکه‌های اجتماعی و جلوگیری از انتشار اطلاعات عمومی شرکت، خطر احتمالیِ دسترسی هکر‌ها را به شبکه‌ی شرکت کاهش می‌دهد.

۱۰- استفاده از اینترنت و ایمیل

ممکن است برخی از کارمندان، پیش‌تر با استفاده از ایمیل‌های ساده یا تکراری برای چندین حساب کاربری، در معرض نشت داده قرار گرفته باشند. بر اساس یک نظرسنجی، ۵۹ درصد از افراد از رمز عبور یکسانی برای تمام حساب‌هایشان استفاده می‌کنند؛ بنابراین اگر به یک حساب حمله شود، هکر می‌تواند با استفاده از همان رمزعبور به حساب‌های کاری و شبکه‌های اجتماعی مجازی و در واقع تمام اطلاعات کاربر دست پیدا کند.
بسیاری از وبسایت‌ها نیز نرم‌افزار رایگان، ولی آلوده به بدافزار ارائه می‌دهند. بهترین راه حفاظت از رایانه در برابر نصب بدافزار‌های مخرب این است که از منابع نرم‌افزاری مطمئن برنامه‌های مورد نیاز خود را دریافت کنیم. باید در هر برنامه‌ی آموزشی امنیت اطلاعات، بخشی اساسی به آموزش کارمندان در مورد عادات ایمن استفاده از اینترنت اختصاص داشته باشد. اگرچه ممکن است برخی آموزش چنین مباحثی را بدیهی قلمداد کنند، اما آموزش عادات صحیح استفاده از اینترنت همواره ضروری است.

۱۱- مهندسی اجتماعی

مهندسی اجتماعی، هنر جلب اعتماد اشخاص است تا هکر به کمک آن، اطلاعات محرمانه را به طور غیر مجاز از سیستم کامپیوتری دیگران به دست آورد و فاش نماید. این اصطلاح همچنین می‌تواند شامل فعالیت‌هایی مانند بهره‌گیری از لطف انسان، حرص و آز و کنجکاوی برای دسترسی به ساختمان‌هایی با دسترسی محدود یا استفاده از کاربران برای نصب نرم‌افزار بکدور (backdoor) باشد.

مراحل کلیِ حمله به روش مهندسی اجتماعی به شرح زیر است:
· جمع‌آوری اطلاعات: در این مرحله، هکر تا آن‌جا که می‌تواند در مورد قربانی مورد نظر اطلاعات کسب می‌کند. اطلاعات از طریق وبسایت‌های شرکت، نشریات دیگر و گاهی صحبت با کاربران سیستم هدف جمع‌آوری می‌شود.

· نقشه‌ی حمله: عبارت است از طرحی که مهاجم می‌خواهد طبق آن حمله را اجرا کند.

· به دست آوردن ابزار: شامل برنامه‌های کامپیوتری است که مهاجم در هنگام حمله استفاده می‌کند.

· حمله: مهاجم در این مرحله از نقاط ضعف سیستم هدف استفاده می‌کند.

· استفاده از اطلاعات به دست آمده: در این مرحله اطلاعاتی مانند نام حیوان خانگی، تاریخ تولد بنیان‌گذاران سازمان و ... که در طول تاکتیک‌های مهندسی اجتماعی به دست می‌آید، در حملاتی مانند حدس زدن رمز عبور استفاده می‌شود.

دانستن ترفند‌هایی که هکر‌ها برای فریب کاربران و انتشار اطلاعات حیاتی آن‌ها استفاده می‌کنند و نیز حفاظت از سیستم‌های رایانه‌ای، امری ضروری است. برای مبارزه با این تهدیدها، کارکنان باید در مورد رایج‌ترین تکنیک‌های مهندسی اجتماعی در حملات سایبری، آموزش ببینند.

۱۲- امنیت در خانه

متاسفانه دورکاری بر خلاف تصور و انتظار، حملات سایبری را افزایش چشمگیری داده است. بسیاری از شرکت‌ها به کارمندانشان اجازه می‌دهند از رایانه‌ها و یا سایر دستگاه‌های شخصی خود برای کار استفاده کنند. این مسئله باعث صرفه‌جویی در هزینه‌ها می‌شود و امکان کار انعطاف‌پذیر را فراهم می‌کند، اما خطرات زیادی هم به همراه دارد. به عنوان مثال، تصور کنید جزئیات ورود به شبکه‌ی شرکت، از طریق بدافزار‌هایی که ناخواسته روی رایانه‌ی شخصی نصب شده‌اند، در معرض حمله‌ی مجرمان سایبری قرار بگیرد. در نتیجه‌ی چنین امری یکپارچگی امنیت شرکت نیز به راحتی به خطر می‌افتد.

علاوه بر این، شبکه‌ی رو به رشد منابع دیجیتالی که در دسترس کارمندان و شرکت‌ها قرار دارد، اتصال و بهره‌وری را افزایش داده است؛ اما همین برنامه‌ها نیز برای کاربر خطراتی به همراه دارند. افزایش دانش کاربران، اشتراک‌گذاری فایل‌های رمز‌گذاری شده و تائید اعتبار بارگیری‌ها، خطراتی را که ممکن است از این مجرا بروز پیدا کند، کاهش می‌دهد.

سخن آخر

در این مقاله به آگاهی‌رسانی امنیتی، اهمیت آن و مباحثی که باید در دوره‌های آموزشی مدنظر قرار بگیرد، پرداختیم. کاربران ضعیف‌ترین حلقه‌ی زنجیره در امنیت سایبری هستند و بخش عمده‌ای از حملات سایبری با سوءاستفاده از ناآگاهی کاربران صورت می‌گیرد. بنابراین، دوره‌های آموزشی آگاهی‌رسانی امنیتی با تفهیم خطرات و نحوه‌ی مواجهه و مقابله با آن‌ها می‌تواند درصد موفقیت این حملات را کاهش دهد. در کنار آموزش کارمندان در مورد موضوعات امنیتی، وضع مقررات جدید و انطباق با آن برای کارمندان ضروری است. همچنین کارمندان باید از تغییر مقررات مالی، حفاظت از داده‌ها، مالیات و موارد دیگر آگاه باشند.

 

___________________

منابع: 

[1] Security Awareness

[1] https://douran.academy/security-awareness/

[1] https://www.itgovernance.co.uk/blog/wp-content/uploads/2017/10/Cyber-Security-Infographic-Final-2.png

[1] - https://www.oecd.org/digital/ieconomy/oecdguidelinesforthesecurityofinformationsystems1992.htm

[1] https://www.youtube.com/watch?v=KjXHt0FFYuY

[1] https://www.youtube.com/watch?v=Y7zNlEMDmI4

[1] https://www.zoomit.ir/security/374861-social-engineering-complete-guide/

[1] https://www.passwordrevelator.net/blog/wp-content/uploads/2020/09/differentes-methodes-phishing.png

[1] https://www.youtube.com/watch?v=E9GRafGdLIw

[1] https://www.allaboutcookies.org/security/images/i_7fc1f204057b088f_html_3510e24f.png

[1] https://www.google.com/url?sa=i&url=https%3A%2F%2Fus.norton.com%2Finternetsecurity-emerging-threats-what-is-social-engineering.html&psig=AOvVaw1OwogaRZ8OuDlHT1oGWK2t&ust=1650442056975000&source=images&cd=vfe&ved=0CAwQjRxqFwoTCNDq4fbVn_cCFQAAAAAdAAAAABAq

[1] https://pvlearn.com/product/%D9%87%DA%A9-%D8%A8%D9%87-%D8%B1%D9%88%D8%B4-%D9%85%D9%87%D9%86%D8%AF%D8%B3%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C/

[1] - https://pvlearn.com/product/%D9%87%DA%A9-%D8%A8%D9%87-%D8%B1%D9%88%D8%B4-%D9%85%D9%87%D9%86%D8%AF%D8%B3%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C/

[1] https://www.youtube.com/watch?v=v7VTJhkJUUY