Fidye yazılımı saldırılarının insan üzerindeki etkisi: İşletmeler güvenlik uzmanlarını nasıl koruyabilir?


Goldilock CEO'su Tony Hasek tarafından yazılmıştır.

Siber suçların yıllık maliyetinin Birleşik Krallık'taki işletmelere 2023'te 30,5 milyar £'dan fazlaya mal olacağı tahmin edilirken, liderlere fidye yazılımı saldırılarının parasal, operasyonel ve itibar üzerindeki etkileri sürekli olarak hatırlatılıyor. İş operasyonlarının durdurulması, büyük miktarda hassas verinin kaybedilmesi ve bunun sonucunda ortaya çıkan itibar kaybının göz ardı edilmesi zordur. Bunu akılda tutarak, iş liderleri genellikle kurtarma süreçlerine mali zararın önlenmesi ve mümkün olan en kısa sürede işe normal şekilde geri dönme etrafında odaklanır. Ancak fidye yazılımı saldırısının bazı sonuçlarının gerçekleşmesi aylar, hatta yıllar alabiliyor ve özellikle de olayın insan üzerindeki etkisi söz konusu olduğunda bu sonuçlar genellikle göz ardı edilebiliyor.

CISO stres raporuna göre, CISO'ların %48'i iş stresinin zihinsel sağlıklarını etkilediğini, %35'i ise fiziksel sağlıklarının etkilendiğini söyledi. Güvenlik profesyonellerinin iş baskısının uzun vadeli sonuçlarıyla karşı karşıya olduğu günümüzde, temel nedenleri anlamak ve çözümleri keşfetmek çok önemlidir. Bu strese neden olan şey nedir ve iş dünyasının liderleri çalışanlarının refahını korumak için nasıl adım atabilir?

Günümüzün tehdit ortamı

Kuşkusuz güvenlik profesyonellerinin işi doğası gereği yüksek bir baskıdır. Ancak küresel siber tehdit ortamındaki son değişiklikler, güvenlik profesyonelleri arasındaki zihinsel ve fiziksel sağlık sorunlarını muhtemelen daha da kötüleştirmiştir. Yapay zeka ve kuantum gibi gelişen teknolojiler, daha hedefli ve karmaşık fidye yazılımı saldırılarına yönelik yeni bir dalgayı körüklüyor. Daha geçen ay Apple, gelecekteki ileri düzey kuantum bilişim saldırıları tehdidini savuşturmak için mesajlaşma uygulamasının güvenliğine yeni bir takviye yaptığını duyurdu ve tüm işletmelerin benzer senaryolara hazırlandığını görüyoruz.

Ancak gerçek şu ki, Birleşik Krallık'taki birçok işletme, kendilerini siber suçlara karşı dayanıklı hale getirecek doğru önlemlerden yoksundur. Bu ay yayınlanan bir Microsoft araştırmasına göre Birleşik Krallık'taki kuruluşların yalnızca %13'ü siber suçlara karşı “dayanıklı” olarak tanımlandı. Bu gönül rahatlığı olmadan, işletmelerin diğer %87'sinde çalışan güvenlik uzmanları, ihlalleri tespit etme ve savuşturma konusunda büyük bir baskı altına girer.

Güvenlik uzmanı eksikliği

Şirketlere sürekli olarak ihlale uğrayacaklarını varsaymaları gerektiği hatırlatıldığından, güvenlik uzmanlarına tetikte olmaları yönünde baskı yapılıyor. Bu baskı, kuruluşlardaki siber beceri açığı büyüdükçe daha da yoğunlaşıyor: Yakın zamanda yapılan bir Kaspersky araştırması, siber güvenlik profesyonellerinin %50'sinden fazlasının, doğrudan teknik bilgi eksikliğine atfedilebilecek potansiyel olarak ciddi sonuçlar doğurabilecek erken kariyer hataları yaptığını itiraf ettiğini ortaya çıkardı.

Yetenek havuzunun daralmasıyla mevcut siber güvenlik uzmanları, işletmenin kolektif siber sevgisini sürdürme baskısı altında kalıyor ve bu da kaçınılmaz olarak çalışanların hem iş yükünü hem de yoğunluğunu artırıyor.

Fidye yazılımının insani bedeli

Tüm bu faktörler, bilgi güvenliği profesyonelleri için zayıf iş-yaşam dengesi raporlarının artmasına ve zihinsel ve fiziksel sağlıklarındaki düşüşe katkıda bulundu. Son yıllarda siber güvenlik profesyonellerinin fiziksel ve psikolojik sağlıklarındaki bozulma nedeniyle tıbbi müdahaleye ihtiyaç duyma oranları ciddi oranda arttı. Royal United Services tarafından Ocak ayında yayınlanan yakın tarihli bir raporda, yüksek basınçlı saldırıların genellikle çalışanlar arasında yüksek düzeyde strese, travma sonrası stres bozukluğuna ve suçluluk ve utanç duygularına neden olduğu, birçok kişiyi işten uzun süre izin almaya zorladığı ve iş arkadaşları ve çalışanlarla ilişkileri zorladığı ortaya çıktı. aile ve arkadaşlar.

Güvenlik profesyonellerinin önemli bir kısmının mesleki yaşamları nedeniyle zihinsel ve fiziksel sağlıklarının etkilendiğini fark ettiğimizde, güvenlik profesyonellerini ön saflarda daha iyi korumak işverene düşüyor. Peki neyin değişmesi gerekiyor?

Kültürel bir değişim

Güvenlik profesyonellerinin yaşadığı baskı, potansiyel hatalar veya güvenlik olayları hakkında konuşma korkusuna dönüştüğünde, bir kuruluşta kültürel bir değişime ihtiyaç olduğu açıktır. İş dünyası liderleri, çalışanların yardım aramasını teşvik eden açık, suçlamadan uzak bir çalışma ortamı yaratmalıdır. Bu, iş yükü yönetimi için çözümler önermeyi ve güvenlik ekibi içinde açık iletişim kültürünü teşvik etmeyi içerebilir.

Eğitim ve beceri geliştirme de önemli unsurlardır. Bölümlerdeki güvenlik profesyonellerini ve çalışanlarını olası olayları mümkün olan en kısa sürede bildirebilecek bilgi ve özgüvenle güçlendirmek, güvenlik bilgisinin daha iyi bir temele sahip olmasını sağlayacaktır. Siber ekipler için bu, 'temizlemeleri' gereken 'karışıklıkların' sayısını azaltır. Özel beceri geliştirme programları aynı zamanda siber becerilerdeki boşluğun doğrudan giderilmesine, bilgi boşluklarının kapatılmasına ve profesyonellerin mükemmelleşmeleri için ihtiyaç duydukları operasyonel ustalıkla donatılmasına da yardımcı olabilir.

Bağlantı kesiliyor

İşletmeler ayrıca çalışanlar üzerindeki baskıyı azaltmak ve ihlalleri önlemek için bir temel savunma hattı uygulayabilir. Basitçe söylemek gerekirse, internete bağlı her şey fidye yazılımı saldırısı riski altındadır. İşletmelerin 'her zaman açık' esasına göre çalıştığı, ağların ve BT altyapısının sürekli olarak internete bağlı olduğu göz önüne alındığında, bu sistemler her zaman risk altında kalmaktadır.

Burası, bir cihazın veya ağın fiziksel izolasyonunu içeren ve bu durumda internetten harici bir bağlantı kurmasını önleyen bir süreç olan hava boşluğunun devreye girdiği yerdir. Toplum olarak internete bağlı olmaya o kadar alıştık ki bunun her zaman gerekli olduğunu varsayıyoruz. Bir işletme ağının hassas alanlarının varsayılan olarak bağlantısının kesilmesi, güvenlik uzmanlarına ve iş liderlerine, kullanılmayan kaynakların kapatıldığı ve dolayısıyla saldırılara maruz kalmadığı konusunda gönül rahatlığı sağlayacaktır.

C düzeyindeki yöneticiler, ellerinde bir 'sonlandırma düğmesi' bulundurarak çalışanlarının refahının sorumluluğunu üstlenmelidir. Hava boşluğu aynı zamanda fiziksel bir varlık veya internet bağlantısı gerektirmez. Bağlantıyı kesme seçimi uzaktan, anında ve internet bağlantısı olmadan yapılabilir; bu da yöneticilerin liderliği ele geçirebileceği ve fidye yazılımı saldırısı tehdidiyle karşı karşıya kaldıklarında bağlantıyı kesmeyi seçebilecekleri anlamına gelir. Bu süreçler güvenlik profesyonellerine sistemlerin daha iyi korunduğu konusunda gönül rahatlığı sağlayabilir ve ellerindeki sorumluluğu bir miktar ortadan kaldırabilir.

Çalışan refahının sağlanması

Siber tehditler gelişmeye devam ettikçe işletmelerin güvenlik profesyonellerinin refahına öncelik vermesi her zamankinden daha kritik hale gelecektir. BT güvenlik personeli tükenmişlik veya stres hissettiğinde hata yapma olasılığı daha yüksek oluyor; 2023 yılında yapılan bir araştırmaya göre BT profesyonellerinin %83'ü tükenmişliğin veri ihlallerine neden olduğunu söylüyor. Buradaki çözüm iki yönlüdür. Çalışanlar arasında açıklığı teşvik eden ve sistemleri gerekmediğinde çevrimdışına alan bir çalışma ortamı yaratmak. İş dünyası liderleri bu adımları izleyerek hem kendilerinin hem de çalışanların gönül rahatlığına sahip olurken, çalışanların sağlığını ve dijital varlıkları da koruyabilirler.



Source link