Cea mai mare vulnerabilitate în securitatea cibernetică s-a dovedit a fi oamenii înșiși

Studiile au arătat în mod constant că eroarea umană este responsabilă pentru marea majoritate a atacurilor cibernetice reușite. Potrivit unui raport recent, procentul este de 68 %, relatează incrussia.ru.

Cercetările arată că, indiferent de cât de avansate devin apărările tehnologice, eroarea umană va rămâne probabil veriga cea mai slabă din lanțul securității cibernetice. Acest lucru îi afectează pe toți cei care utilizează dispozitive digitale, însă programele tradiționale de educație și sensibilizare în domeniul cibernetic, precum și noile legi orientate spre viitor, nu pot aborda problema în mod adecvat.

În contextul securității cibernetice, există două tipuri de erori umane:

• erori bazate pe competențe
• erori bazate pe cunoștințe

Erorile bazate pe competențe apar atunci când oamenii efectuează activități de rutină, în special dacă atenția lor este distrasă. De exemplu, o persoană poate uita să facă o copie de rezervă a datelor desktop de pe computerul său, chiar dacă știe cum ar trebui să o facă. Dar distragerea atenției, cum ar fi faptul că persoana respectivă întârzie să ajungă acasă, o poate face mai vulnerabilă la solicitările hackerilor în cazul unui atac cibernetic, deoarece nu există alternative pentru obținerea datelor originale.

Erorile bazate pe cunoștințe apar atunci când o persoană cu mai puțină experiență face greșeli de securitate cibernetică din cauza lipsei de cunoștințe importante sau a nerespectării anumitor reguli.

De exemplu, o persoană poate accesa un link dintr-un e-mail de la o persoană necunoscută, chiar dacă nu știe ce se va întâmpla. Acest lucru ar putea duce la hacking și la pierderea banilor și a datelor, deoarece link-ul poate conține programe informatice periculoase.

Organizațiile și guvernele investesc masiv în programe de educație în domeniul securității cibernetice pentru a aborda problema erorii umane. Cu toate acestea, rezultatele acestor programe sunt, în cel mai bun caz, mixte. Acest lucru se datorează în parte faptului că multe programe sunt axate pe tehnologie și au o abordare unică.

Acestea se concentrează adesea pe aspecte tehnice specifice, cum ar fi îmbunătățirea igienei parolelor sau implementarea autentificării cu mai mulți factori. Astfel, nu reușesc să abordeze aspectele psihologice și comportamentale care stau la bază și care influențează acțiunile oamenilor.

Realitatea este că schimbarea comportamentului uman este mult mai dificilă decât simpla furnizare de informații sau impunerea utilizării anumitor metode. Acest lucru este valabil mai ales în contextul securității cibernetice.

Exemple de metode eficiente sunt campaniile de sănătate publică, cum ar fi inițiativa de protecție solară Slip, Slop, Slap din Australia și Noua Zeelandă. De la începutul acestei campanii, în urmă cu 40 de ani, numărul cazurilor de melanom în ambele țări a scăzut semnificativ. Schimbarea comportamentului necesită investiții continue în creșterea gradului de conștientizare.

Același principiu se aplică și formării în domeniul securității cibernetice. Doar pentru că oamenii cunosc cele mai bune practici nu înseamnă că le vor aplica în mod consecvent, în special atunci când se confruntă cu priorități concurente sau constrângeri de timp.

Legea privind securitatea cibernetică propusă de Guvernul australian se concentrează pe câteva domenii-cheie:

• combaterea atacurilor de șantajare
• sporirea schimbului de informații între întreprinderi și agențiile guvernamentale
  
• Consolidarea protecției datelor în sectoarele infrastructurilor critice, precum energia, transporturile și comunicațiile
• extinderea competențelor de investigare a incidentelor cibernetice
• Introducerea unor standarde minime de securitate pentru dispozitivele inteligente.

Aceste măsuri sunt esențiale, dar, la fel ca programele tradiționale de educație în domeniul securității cibernetice, ele se referă în principal la aspectele tehnice și procedurale ale securității cibernetice.

SUA au adoptat o abordare diferită: Planul strategic federal de cercetare și dezvoltare în domeniul securității cibernetice include „securitatea cibernetică centrată pe om” drept prima și cea mai importantă prioritate.

Planul afirmă că ar trebui să se pună un accent mai mare pe abordările de securitate cibernetică centrate pe om, în care nevoile, motivațiile, comportamentele și capacitățile oamenilor sunt plasate în centrul proiectării, exploatării și securității sistemelor de tehnologie a informației.

Cele trei reguli ale securității cibernetice centrate pe om, bazate pe cele mai recente cercetări:

• Minimizarea sarcinii cognitive
  
• Promovarea atitudinilor pozitive față de securitatea cibernetică
• Aplicarea unei perspective pe termen lung
  

Practicile de securitate cibernetică ar trebui concepute pentru a fi cât mai intuitive și fără efort posibil. Programele de formare ar trebui să vizeze simplificarea conceptelor complexe și integrarea practicilor de securitate în fluxul de lucru zilnic.

În loc să se bazeze pe tactici care să sperie, formarea ar trebui să sublinieze rezultatele pozitive ale practicilor eficiente de securitate cibernetică. Această abordare va contribui la motivarea oamenilor pentru a-și îmbunătăți comportamentele în materie de securitate cibernetică.

Schimbarea atitudinilor și comportamentelor nu este un incident izolat, ci un proces continuu. Educația în domeniul securității cibernetice ar trebui să fie continuă, cu actualizări periodice pentru a face față amenințărilor în schimbare.

În cele din urmă, crearea unui mediu digital cu adevărat sigur necesită o abordare holistică. Aceasta trebuie să combine o tehnologie robustă, o politică solidă și asigurarea faptului că oamenii sunt bine educați și conștienți de securitate.

Dacă cercetătorii pot înțelege mai bine ce se află în spatele erorii umane, pot dezvolta programe de formare și practici de securitate mai eficiente, care să lucreze cu natura umană și nu împotriva ei.