آموزش امنیت و مسئولیت اجتماعی

Educate Users

آموزش امنیت و مسئولیت اجتماعی :مردم، همانند گذشته، هنوز تحت تاثیرسوء استفاده‌های ذهنی و مهندسی اجتماعی می‌باشند. از دو دهه پیش تابه‌حال شاید میلیون‌ها و میلیون‌ها نفر کاربر با کلاه‌برداری‌های مختلفی، که قبلاً از طریق نامه بوده و امروزه از طریق ایمیل می‌باشد، برخورد کرده‌اند. علی‌رغم این‌که بسیاری از مردم این حقه‌ها و کلاه‌برداری‌ها را می‌شناسند، واقعیت این است که برخی هنوز تحت تأثیر قرارگرفته و فریب می‌خورند. دلیل آن شاید ندانم‌کاری، عدم توجه و یا حتی عدم آگاهی باشد اما درنهایت چنین مواردی قربانی می‌گیرند.
یک نمونه “کلاه‌برداری‌های نیجریه یا ۴۱۹ (Nigerian scam” or “419 scam”)” است که در آن نامه‌ها و ایمیل‌هایی از طریق افراد ناشناخته ارسال می‌گردد که وعده به دست آوردن انباشته‌ها و پول‌های زیاد در مقابل هیچ می‌دهند. چنین موارد به انقلاب فرانسه و یا حتی قبل از آن برمی‌گردد که در آن زمان از طریق پست ارسال می‌شد.
این موارد و انواع دیگر کلاه‌برداری‌ها در سال‌های اخیر با پیدایش فناوری‌های پیشرفته قدرت گرفته و از طریق ایمیل ارسال می‌شوند. در این‌گونه کلاه‌برداری‌ها پس از چندین مکاتبه و توجیه شدن قربانی از دید کلاه‌بردار، اگر فقط ۱ هزینه از پیش بپردازید مجرمین وعده می‌دهند که می‌توانید صاحب میلیون‌ها دلار شوید. پس از پرداخت مبلغ فوق از طریق کانال‌های غیررسمی، مجرمین ناپدید می‌شوند و قربانی مدرکی برای اثبات پرداخت خود ندارد. همچنین ما پیام‌هایی در رسانه‌های اجتماعی و سایت‌ها می‌بینیم که می‌گویند “شما بازدیدکننده نفر یک‌میلیون هستید”، “شما قرعه‌کشی را برنده شدید” یا “شما برای تعطیلات بی‌نظیری انتخاب‌شده‌اید” و این‌گونه کلاه‌برداری‌ها به شما پیشنهاد جوایز و تعطیلات مجانی را می‌دهند.
با تکامل مستمر تهدیدات کامپیوتری که به سطوحی غیرقابل درک و بسیار پیچیده (حملات هدفمند، جنگ سایبری و IPT ها) رسیده‌اند، مشخص نیست که چرا کلاه‌برداری‌ها آن‌قدر موفق مانده‌اند. درواقع مردم هنوز تحت تأثیر فریب ذهنی و مهندسی اجتماعی هستند.

Social Engineering

امروزه ما با بسیاری خطرات، مانند جاسوسی سایبری، حملات هدفمند و تهدیدات به محرمانگی، مواجه هستیم. یکی دیگر از نگرانی‌های ما وسایل اینترنت اشیا با امنیت پایین هستند که آسیب‌پذیر بوده و قربانیان زیادی را گرفته و خواهند گرفت. اعتقاد بر این است که امسال حملات باج افزار افزایش خواهد یافت و بسیار مخرب خواهد بود.
تمامی این تهدیدات که به‌مرورزمان توسعه‌یافته‌اند یک مورد مشترک دارند: “نقطه ورودی همیشه کاربر است”. حمله‌کنندگان با فریب دادن قربانیان از طریق ایمیل و پیام‌ها در رسانه‌های اجتماعی، رفتارهای احمقانه و بدون مسئولیت را تشویق می‌کنند که البته بیشتر این رفتارها ناخدا گاه است. برخی از حملات توسط دستگاه‌های USB که در مکان‌های عمومی گذاشته می‌شود قربانی را فریب داده و سیستم‌های کاربر را نقض می‌کنند.
این مسائل متأسفانه قرار است در سال ۲۰۱۷ فراتر برود و حمله‌کنندگان از این موارد سوءاستفاده بیشتری خواهند کرد. علیرغم آسیب‌پذیری‌های احتمالی در سخت‌افزار و نرم‌افزار که به حمله‌کنندگان اجازه می‌دهد که کنترل سیستم‌ها را به دست بگیرند، راحت‌ترین روش برای مجرمین سایبری فریب دادن کاربران است.
لازم نیست مجرمین ساعت‌ها سرمایه‌گذاری در نقض آسیب‌پذیری وسایل کنند وقتی‌که با یک ایمیل به‌سادگی می‌توان به همان سیستم‌ها از طریق کاربران دسترسی داشته باشند. چرا یک دزد باید وقت صرف کنند و یک تونل ایجاد کند وقتی‌که می‌تواند فقط با در زدن کار خود را راه بی اندازد.

Cyber Crime

پیش‌بینی می‌شود که در سال ۲۰۱۷:
• انواع کدهای مخرب جدید را شاهد باشیم
• باج افزار بیشترین افزایش را به‌عنوان یک تهدید خواهند داشت
• وسایل اینترنت اشیا وسیع‌تر و بیشتری مورد هدف مجرمین سایبری قرار خواهند گرفت

مجرمین سایبری نیز بی‌رحم‌تر خواهند شد و بخش‌های بهداشت و سلامت و اجزای زیر ساختاری مانند ATM را مدام تحت حمله قرار خواهند داد. در سال ۲۰۱۶ ما شاهد مجرمین سایبری مدرن بودیم که از طریق انواع نرم‌افزارهای مخرب و تکنیک‌های مهندسی اجتماعی علاوه بر “برنامه‌های کسب‌وکار (Business Plan)” برای کلاه‌برداری و دریافت پول از قربانیان استفاده می‌کردند.
ما به نقطه رسیده‌ایم که نیاز به عمل داریم و حرف زدن کافی نیست. همچنین نباید در مورد تهدیدهای امنیتی با “اصطلاحات ژنریک (generic terms)” صحبت کنیم. ضروری است که کاربران ، شخصی و سازمانی، از انواع حملات آگاهی داشته باشند. آن‌ها باید انواع کلاه‌برداری‌های با ایمیل و روش‌های سرقت اطلاعات را با جدیت شناسایی کنند و بدانند که چه اقداماتی ازنظر فناوری و افزایش آگاهی نیاز دارند.
امروزه ۲ بازیگر در دنیای دیجیتال وجود دارند- “شهروندان دیجیتالی (digital natives)” و “مهاجران دیجیتالی (digital immigrants)”. شهروندان دیجیتالی از کودکی و در بیشتر عمر خود از فناوری استفاده کرده‌اند و مهاجران دیجیتالی بسیاری از فعالیت‌های روزمره خود را طریق فناوری انجام می‌دهند و مجبور شده‌اند که خود را منطبق و یا تغییراتی در خود ایجاد کنند.
در یک مطالعه از موسسه BBB در سال گذشته دیده شد که جوانان بین ۲۴ تا ۳۴ سال بیشتر تحت تأثیر کلاه‌برداری قرار می‌گیرند و کاربران جوان رفتارهای ریسک‌پذیری بیشتری در زمان گردش در اینترنت رادارند. جوانان ممکن است از طریق شبکه‌های وای فای با امنیت پایین به اینترنت متصل شوند و یا هر نوع دستگاه USB را بدون احتیاط اولیه استفاده کنند و حتی از راه‌حل‌های امنیتی استفاده نکنند.
از طرفی دیگر مهاجرین دیجیتالی در زمان استفاده از فناوری احتیاط بیشتری را به خرج می‌دهند اما آن‌ها نیز قربانیان حملات شده و بی‌احتیاطی نشان می‌دهند. این امر به خاطر کمبود دانش آن‌ها از مشخصه‌های امنیتی وسایل یا کمبود دانش ازلحاظ مقیاس تهدیدهای کامپیوتری یا مراقبت‌های موردنیاز برای عدم آسیب‌پذیری می‌باشد.
در کل “سن کاربران” فاکتور موردنظر در امور محافظت و امنیت نیست. همه کاربران باید از تهدیدها آگاهی داشته، رفتارهای خود را شناخته و بهترین انتخاب و گزینه را برای محافظت از دستگاه‌های خود بدانند.
مردم هنوز اعتقاددارند که داده‌های شخصی آن‌ها امن و محافظت‌شده می‌باشد. درواقع اطلاعات بی‌شماری در اینترنت وجود دارد که به کاربران بگوید که چه اتفاقی برای داده‌های آن‌ها می‌افتد. چالش این است که هر کاربر و هر فرد باید در مورد امنیت آنلاین به خود آموزش دهد.
مانیتور شدن یا تحت نظر بودن برای بسیاری از کاربران نگرانی ایجاد کرده و شناخت واقعیت مانیتورینگ جهانی (Global Monitoring) یکی از درس‌هایی است که باید آن را بیاموزیم. ما باید از روش‌های محافظت آنلاین مطلع باشیم و بدانیم چه اطلاعاتی را باید انتشار دهیم یا چه اقداماتی را باید انجام دهیم تا اطمینان حاصل شود که اطلاعات ما امن است و محرمانگی دارد.
امنیت فقط “راه‌حل‌های فناوری نیست” و نیاز است که به همدیگر برای محافظت و امنیت کمک کنیم. درحالی‌که روند آگاهی از امنیت کامپیوتری در دنیا در حال افزایش است، بسیاری از کاربران آموزش‌های لازم را ندیده‌اند. درحالی‌که بسیاری از کاربران از تهدیدهای کامپیوتری آگاهی دارند، عده زیادی در مورد وسایل موبایلی و وسایل اینترنت اشیا آگاهی کافی ندارند.
در سال 2013 پیش‌بینی شد که نسبت مابین “تعداد وسایل موبایلی” و “راه‌حل‌های امنیتی نصب‌شده” و “تعداد اتصالات جهانی از وسایل موبایلی” ۴.۸ درصد باشد. امروزه پیش‌بینی می‌شود که این رقم در ۲۰۱۸ به ۱۵ درصد برسد. این نسبت سه برابر در فاصله زمانی ۵ ساله می‌باشد، اما در همین مدت‌زمانی کمتر از یک از ۶ گوشی هوشمند و تبلت نرم‌افزارهای امنیتی را اجرا خواهند کرد.
پیش‌بینی می‌شود که در سال‌های آینده ما شاهد توزیع تهدیدها به همه نوع وسایل متصل به اینترنت و دارای اطلاعات حساس را خواهیم بود. درنتیجه بسیار ضروری است که ما در هر زمان‌ و در همه مقاطع از امنیت “وسایل شخصی متصل به وای فای” تا “زیرساخت‌های حساس متصل”، با کنترل از راه دور و متصل به اینترنت، آگاهی داشته باشیم.
پیشرفت فوق‌العاده سریع فناوری باعث می‌شود که مجرمین سایبری مجهز به ابزارهای بیشتری شوند که برای حملات سایبری استفاده می‌شوند و درنتیجه کاربرها نیز باید آموزش‌های به‌روز بینند تا افزایش پیچیدگی باعث نشود که ضرر کنیم.آموزش امنیت و مسئولیت اجتماعی

Password Theft

درواقع “محافظت” باید با “واقعیت‌های جرائم سایبری” همگام باشد و درنتیجه آموزش بسیار ضروری است. اگر کاربران متوجه باشند که استفاده از اسم رمز به‌عنوان تنها روش دسترسی به اینترنت، یک خطر امنیتی برای داده‌های شخصی آن‌ها می‌باشد، پس باید درک کنند که احراز هویت دو برگ خرید یک‌لایه اضافه امنیتی برای امنیت بیشتر آن‌ها خواهد بود. چالش این خواهد بود که علاوه بر ارائه آموزش به کاربر برای شناخت تهدیدها، آن‌ها را مجهز به ابزارهای امنیتی کرد که داده‌های آن‌ها را امن نگه دارد. در زمان نبود چنین ابزاری، سطوح تهدیدها و حملات قطعاً افزایش خواهد یافت.

Education of Children

همچنین بهترین روش اطمینان حاصل کردن از محرمانگی اطلاعات استفاده از فنّاوری‌های رمزگذاری در ارتباطات است. بهترین روش برای مقابله با باج افزار و از دست دادن دائمی اطلاعات شخصی، داشتن backup برای اطلاعات حساس و مهم است. درنهایت برای آن‌هایی که در دنیای امنیت اطلاعات فعالیت می‌کنند، قاعده اینکه ضعیف‌ترین لینک در زنجیره کاربر نهایی است همیشه واقعیت داشته و هدف ما باید افزایش آگاهی کاربران باشد. ما باید آموزش را به‌عنوان یک عامل اساسی و پایه ببینیم که باعث ایجاد تغییر خواهد شد. درواقع کاربر باید مسئولیت امنیت را به عهده بگیرد و باید اولین خط دفاعی در حفظ و امنیت اطلاعات باشد. این امر صرفاً مختص به کارشناسان و افرادی نیست که در حوزه فناوری فعالیت دارند و باید شامل همه کارمندان و کارکنان و مدیران و اعضای سازمان باشد.
ما به نقطه رسیدیم که باید آموزش مسائل امنیتی به‌صورت رسمی و مستند اجرا شود و سازمان‌ها باید به‌تمامی کارمندان تازه‌وارد امور امنیتی را آموزش دهند. چنین آموزش و فعالیت‌ها باید مستمر و دائمی باشند. کاربران نهایی باید احساس کنند که در یک زنجیره‌ای امنیتی قرار دارند و متوجه باشد که دقیقاً چه تهدیدهایی وجود دارند و مکانیزم های لازم برای استفاده از فناوری و امنیت را بدانند.آموزش امنیت و مسئولیت اجتماعی