Her ne kadar Baby Boomers kuşağı, sonraki nesillere göre dijital konularda daha az bilgili olmalarıyla ün kazanmış olsa da, son araştırmalar gençliğin mutlaka siber güvenlikte daha iyi olmak anlamına gelmediğini öne sürüyor.
Y kuşağı ve Z kuşağı internet kullanıcıları, parolaların yeniden kullanılması, çok faktörlü kimlik doğrulamanın etkinleştirilmemesi ve ödeme bilgilerinin güvence altına alınmaması gibi zayıf siber güvenlik uygulamalarına ve riskli davranışlara daha sık girişiyor ve bu da onları siber saldırılara karşı savunmasız bırakıyor. Sorun, genç İnternet kullanıcılarına çevrimiçi güvenlik konusunda eğitim verilmemiş olmasından değil, daha ziyade eğitimin kalıcı olmamasından kaynaklanıyor. Kuruluşlar, siber güvenlik eğitim programlarını farklı demografik özelliklere sahip hedef kitleye uyacak şekilde uyarlamalı, eğitim oturumlarını daha sık düzenlemeli ve bu güvenlik mesajlarının unutulmamasını veya göz ardı edilmemesini sağlamak için yıl boyunca farkındalığı teşvik etmelidir.
Buna göre Yubico ve OnePoll anketi Ekim ayında serbest bırakılan 2.000 ABD ve Birleşik Krallık tüketicisinden beşte biri Baby Boomers’ta şifrelerini yeniden kullanıyor, ancak Y kuşağının neredeyse yarısı (%47) şifrelerini yeniden kullandığını söyledi. Anket aynı zamanda Boomer kuşağının beşte birinden (%19) daha azının kredi kartı bilgilerini çevrimiçi hesaplarına kaydettiğini ortaya çıkardı; bu oran Y kuşağının %37’sinden daha düşük. OnePoll’un bulgularına göre Boomer kuşağının neredeyse yarısı (%47) çok faktörlü kimlik doğrulamayı kullanmadıklarını, bunun ne olduğunu bilmediklerini veya etkinleştirip etkinleştirmediklerinden emin olmadıklarını söylerken Y kuşağının %52’si de aynısını söyledi.
ReasonLabs’ın kurucusu ve CTO’su Andrew Newman, genç kullanıcıların dijital hesaplarında farklı şifreler oluşturamamasının, kötü amaçlı yazılımların cihazlarına bulaşarak kişisel bilgilerini çalmasına, cihazlarına fidye yazılımı bulaştırmasına veya başka kesintilere neden olmasına yönelik bir açık yarattığını söylüyor. Parolanın yeniden kullanılması, siber suçluların kimlik bilgileri doldurma yoluyla sistemlere sızmasına da olanak sağladığını söylüyor. Siber suçlular, kurbanları çok faktörlü kimlik doğrulama ve diğer kimlik bilgileri ile kullanılan belirteçleri teslim etmeleri için kandırma konusunda usta olan kimlik avı kitlerini giderek daha fazla kullanıyor.
Güvenlik Eğitimini Özelleştirme Zamanı
Ulusal Siber Güvenlik İttifakı tarafından Ekim ayında ABD, İngiltere, Kanada, Almanya, Fransa ve Yeni Zelanda’da 6.000’den fazla kişiyle yapılan bir başka anket, Y kuşağının yarısının ve Z kuşağı katılımcılarının %56’sının siber güvenlik eğitimine erişimi olduğunu ortaya çıkardı. Buna karşılık, Sessiz Kuşak’ın yalnızca %20’si ve Baby Boomer kuşağının yalnızca %15’i siber güvenlik eğitimine erişebiliyor. Ancak Z kuşağının yarısından azı (%43) ve Y kuşağının %36’sı siber suç mağduru olduklarını söyledi.
Y kuşağı ve Z kuşağı internet kullanıcılarının siber güvenlik farkındalığı eğitimi alma olasılıkları yaşlı kullanıcılara göre daha yüksekse ve yine de siber saldırılara karşı savunmasızsa, genç kullanıcıları siber güvenlik önlemleri almaya teşvik etmek için ne gerekecek? Ulusal Siber Güvenlik İttifakı’nın genel müdürü Lisa Plaggemier, bu sorunun bir cevabının siber güvenlik eğitim programlarını özellikle genç izleyiciler için uyarlamak olabileceğini söylüyor.
Siber güvenlik eğitim programları genellikle kapüşonlu bir bilgisayar korsanının resmi ve siber saldırılarla ilgili uyarıcı hikayelerle korku aşılamayı içerir. Plaggemier, bu yaklaşımın kullanıcılarda yankı bulmayabileceğini, ancak çoğu durumda kuruluşun alternatif ilgi çekici içerik oluşturma seçeneğine sahip olmadığını söylüyor. Kuruluşun farklı türde eğitim materyalleri aramak için daha geniş bir ağ oluşturması veya içeriği geliştirirken yaratıcı olması gereken yer burasıdır.
Böyle bir alternatif, Ulusal Siber Güvenlik İttifakı’nın genç izleyicilere yönelik “KubikülKurbanları dolandırmak için çalışan çeşitli milletlerden siber suçluların yer aldığı bir işyeri komedisi. Plaggemier, serinin amacının sınırları zorlayarak gençlerin dikkatini çekmek olduğunu söylüyor.
Plaggemier, komedi içeriği oluşturmanın ötesinde, şirketleri yeni işe alımları sırasında eğitmeye, bu eğitime üç ayda bir en az on dakika devam etmeye ve daha fazla risk altındaki departmanlardaki çalışanlar için ek eğitim eklemeye teşvik ediyor. Çoğu durumda, güvenlik farkındalığı eğitimi, birden fazla video izlemeyi ve soruları yanıtlamayı içerdiğinden pasif bir alıştırmadır. Bu alıştırmaları dinamik hale getirmek, bilginin etkileşime girmesine ve akılda tutulmasına yardımcı olacaktır.
“İnsanlar yeni olduklarında ve bir kuruluşa başladıklarında sahip olduğunuz bu tür açık fikirlilikten yararlanmak önemlidir. Plaggemier, bir nevi yangın hortumundan su içerek organizasyonla ilgili yeni her şeyi öğreniyor gibi olduklarını söylüyor. “Eğitim farkındalık programları yürüten ve canlı yayınları kullanan birçok kişiyi tanıyorum. [tools] Bunun organizasyon için ne kadar önemli ve öncelikli olduğunu anlatmak için yeni işe alınan tüm kişilerle Zoom veya hatta yüz yüze oturum gibi.”
Kullanıcılara Doğrudan Ulaşın
Kent Üniversitesi’nde siber güvenlik alanında doçent ve kıdemli öğretim görevlisi olan Jason Nurse, Plaggemier’in düşüncelerini yineleyerek şirketlerin siber güvenlik eğitimine genellikle tamamlanması gereken bir başka uyumluluk görevi olarak yaklaştığını söylüyor. Hemşire, siber güvenlik eğitiminin kalıcı olmasını sağlamanın bir başka yolunun da, hassas bilgileri güvenli olmayan bir kanal aracılığıyla paylaşmadan önce nasıl tepki verdiklerini görmek veya çalışanları uyarmak için kimlik avı e-postaları göndermek olduğunu söylüyor.
“Birinin kimlik avı e-postasına tıklamadığını veya birisinin kimlik avı e-postası bildirdiğini düşünün. Peki, neden daha sonra o kişiye ping atıp ‘Hey, o kimlik avı e-postasını bildirmekle gerçekten iyi iş çıkardın’ demiyorsunuz? Bu kimlik avı e-postasına tıklamadığınızı görüyorum. Gerçekten iyi iş,” diyor Hemşire. “Ve bu olumlu bir pekiştirme ve bu, sağlık psikolojisi açısından başlangıçta bahsettiği şeye bir nevi geri dönüş.”
Herkese uyan tek bir strateji kullanmak yerine, eğitiminizi nesiller boyu izleyicilere uyacak şekilde uyarlayın. Nurse, genç izleyiciler için siber güvenlik farkındalığına ilişkin TikTok uzunluğundaki bir videonun davranışlarını değiştirmelerine yardımcı olabileceğini veya belki de onları iletişim içi platform Slack’e yönlendirebileceğini söylüyor.
Plaggemier, çalışanları bunaltmamak için siber güvenlik eğitiminizi daraltmanızın da kritik olduğunu söylüyor. Ekim ayındaki Siber Güvenlik Farkındalık Ayı sırasında NCA, birkaç kritik siber güvenlik en iyi uygulamasını tanıttı: kimlik avını tespit etmek ve raporlamak; benzersiz ve karmaşık şifreler oluşturmak; bir şifre yöneticisi kullanmak; bilgisayarlar ve yönlendiriciler dahil olmak üzere teknolojinizi güvenlik açıklarına karşı güncellemek; ve çok faktörlü kimlik doğrulamayı benimsemek, diyor ve bu davranışları benimsemenin siber suçları önemli ölçüde azaltabileceğini ekliyor.
“Bunun gerçekten önemli olduğunu düşünüyorum, sektördeki bu tür bir tutarlılık, kamuoyuyla konuştuğumuzda, onların bunu yaptığı noktaya gelene kadar hep aynı şeyi tekrarlıyoruz çünkü hepimiz bunu yapmak zorundayız.” Plaggemier, “Biz onlar hakkında bir şey yapmadan önce şeyleri milyonlarca kez duyarız” diyor.