Kimlik avı olayları artıyor. IBM’den bir rapor, kimlik avının 2021’de en popüler saldırı vektörü olduğunu ve beş çalışandan birinin kimlik avı korsanlığı tekniklerine kurban gitmesiyle sonuçlandığını gösteriyor.
Güvenlik Bilinci Eğitimi İhtiyacı
Teknik çözümler kimlik avı tehditlerine karşı koruma sağlasa da, hiçbir çözüm %100 etkili değildir. Sonuç olarak, şirketlerin çalışanlarını bilgisayar korsanlarına karşı mücadeleye dahil etmekten başka seçeneği yoktur. İşte burada güvenlik bilinci eğitimi devreye giriyor.
Güvenlik farkındalığı eğitim şirketlere güven verir çalışanlarının gelen kutularında bir kimlik avı mesajı keşfettiklerinde doğru yanıtı vereceklerini.
Söylediği gibi, “bilgi güçtür”, ancak bilginin etkinliği büyük ölçüde nasıl iletildiğine bağlıdır. Oltalama saldırıları söz konusu olduğunda, simülasyonlar en etkili eğitim biçimleri arasındadır çünkü eğitim simülasyonlarındaki olaylar, gerçek bir saldırı durumunda bir çalışanın nasıl tepki vereceğini doğrudan taklit eder. Çalışanlar, gelen kutularına gelen şüpheli bir e-postanın simülasyon mu yoksa gerçek bir tehdit mi olduğunu bilmedikleri için eğitim daha da değerli hale geliyor.
Kimlik Avı Simülasyonları: Eğitim neleri içeriyor?
Çalışan davranışını gerçekten değiştirdiğinden emin olmak için bir siber farkındalık eğitim programını planlamak, uygulamak ve değerlendirmek çok önemlidir. Ancak bu çabanın başarılı olması için çalışanlara e-posta göndermekten çok daha fazlasını içermesi gerekir. Göz önünde bulundurulması gereken temel uygulamalar şunları içerir:
- Gerçek hayattaki kimlik avı simülasyonları.
- Uyarlanabilir öğrenme – gerçek siber saldırılara karşı canlı yanıt ve koruma.
- Departman, görev süresi ve siber deneyim düzeyi gibi faktörlere dayalı kişiselleştirilmiş eğitim.
- Çalışanları her zaman etkin bir siber güvenlik zihniyetiyle güçlendirmek ve donatmak.
- Veriye dayalı kampanyalar
Çalışanlar, kimlik avı simülasyonları ile gerçek siber saldırılar arasındaki farkı anlamadığından, kimlik avı simülasyonlarının farklı duygular ve tepkiler uyandırdığını unutmamak önemlidir. Bilinçlendirme eğitimi düşünceli bir şekilde yürütülmelidir.. Kuruluşların sürekli artan saldırılarla mücadele etmek ve varlıklarını korumak için çalışanlarını dahil etmesi gerektiğinden, moralleri yüksek tutmak ve pozitif bir siber hijyen kültürü oluşturmak önemlidir.
Üç yaygın kimlik avı simülasyon hatası.
Siber güvenlik firması CybeReady, yılların deneyimine dayanarak şirketlerin bu yaygın hatalara düştüğünü gördü.
1 — Eğitmek yerine test etmek
“Tekrarlayan suçluları” yakalamak ve cezalandırmak için bir test olarak bir kimlik avı simülasyonu çalıştırma yaklaşımı, yarardan çok zarar verebilir.
Stres içeren bir eğitim deneyimi verimsiz ve hatta travmatiktir. Sonuç olarak, çalışanlar eğitimden geçmeyecek, sistemi aşmanın yollarını arayacaklar. Genel olarak, korku temelli “denetim yaklaşımı”, uzun vadede gerekli eğitimi sağlayamadığı için kuruluş için uzun vadede faydalı değildir.
1. Çözüm: Duyarlı olun
Olumlu çalışan moralini sürdürmek, kuruluşun refahı için kritik öneme sahip olduğundan, tam zamanında olumlu eğitim sağlayın.
Tam zamanında eğitim, çalışanların simüle edilmiş saldırı içindeki bir bağlantıya tıkladıktan sonra kısa ve özlü bir eğitim oturumuna yönlendirilmeleri anlamına gelir. Buradaki fikir, çalışanı hataları konusunda hızlı bir şekilde eğitmek ve onlara gelecekte kötü niyetli e-postaları tespit etme konusunda temel ipuçları vermektir.
Bu aynı zamanda olumlu pekiştirme için bir fırsattır, bu nedenle eğitimi kısa, öz ve olumlu tuttuğunuzdan emin olun.
Çözüm #2: İlgili departmanları bilgilendirin.
Devam eden kimlik avı simülasyonu eğitiminden haberdar olmalarını sağlamak için ilgili paydaşlarla iletişim kurun. Birçok kuruluş, simülasyonların yürütüldüğü konusunda İK veya diğer çalışanlar gibi ilgili paydaşları bilgilendirmeyi unutur. Katılımcıların desteklendiğini hissetme, hata yapma ve bunları düzeltme fırsatına sahip olduklarında öğrenme en iyi etkiye sahiptir.
2 — Tüm çalışanlar için aynı simülasyonu kullanın
Simülasyonları çeşitlendirmek önemlidir. Aynı simülasyonu tüm çalışanlara, özellikle de aynı anda göndermek, hem öğretici hem de kurumsal risk söz konusu olduğunda geçerli bir metrikleri yoktur.
“Uyarı etkisi” – simülasyonu ilk keşfeden veya düşen çalışan diğerlerini uyarır. Bu, çalışanlarınızı simülasyonu öngörerek “tehdide” yanıt vermeye hazırlar, böylece simülasyonu ve eğitim fırsatını atlar.
Diğer bir olumsuz etki ise, çalışanların daha olumlu görülmek için olayları fark etmeden BT’ye fazla rapor etmelerine neden olan sosyal istenirlik yanlılığıdır. Bu, aşırı yüklenmiş bir sisteme ve BT departmanına yol açar.
Bu simülasyon biçimi, gerçekçi olmayan düşük tıklama oranları ve aşırı raporlama oranları gibi hatalı sonuçlara da yol açar. Bu nedenle, metrikler şirketin gerçek risklerini veya ele alınması gereken sorunları göstermez.
Çözüm: Damlama modu
Damlama modu, farklı zamanlarda farklı çalışanlara birden fazla simülasyon göndermeye izin verir. Hatta bazı yazılım çözümleri, farklı çalışan gruplarına çeşitli simülasyonlar göndererek bunu otomatik olarak yapabilir. Ayrıca, tüm yeni çalışanların uygun şekilde işe alındığından emin olmak ve güvenliğin yalnızca minimum uyumluluk için bir kutuyu işaretlemek değil, 7/24 önemli olduğunu güçlendirmek için sürekli bir döngü uygulamak da önemlidir.
3 — Tek bir kampanyadan elde edilen verilere güvenmek
Günde 3,4 milyardan fazla kimlik avı saldırısı ile en az bir milyonunun karmaşıklık, dil, yaklaşım ve hatta taktikler açısından farklılık gösterdiğini varsaymak güvenlidir.
Ne yazık ki, hiçbir kimlik avı simülasyonu bir kuruluşun riskini doğru bir şekilde yansıtamaz. Tek bir kimlik avı simülasyon sonucuna güvenmenin güvenilir sonuçlar veya kapsamlı eğitim sağlaması pek olası değildir.
Bir diğer önemli husus, farklı çalışan gruplarının tehditlere, yalnızca uyanıklıkları, eğitimleri, konumları, görev süreleri ve hatta eğitim düzeyleri nedeniyle değil, aynı zamanda kimlik avı saldırılarına verilen yanıtın da bağlamsal olması nedeniyle farklı yanıt vermesidir.
Çözüm: Çeşitli eğitim programları uygulayın
Davranış değişikliği evrimsel bir süreçtir ve bu nedenle zaman içinde ölçülmelidir. Her eğitim oturumu eğitimin ilerlemesine katkıda bulunur. Eğitim etkinliği veya başka bir deyişle, gerçek örgütsel davranış değişikliğinin doğru bir yansıması, birden fazla eğitim seansından sonra ve zamanla belirlenebilir.
En etkili çözüm, çeşitli eğitim programlarını (ayda en az bir kez) çoklu simülasyonlarla sürekli olarak yürütmektir.
Çalışanların risk seviyelerine göre eğitilmesi şiddetle tavsiye edilir. Çeşitli ve kapsamlı bir simülasyon programı, zaman içinde sistematik davranışa dayalı güvenilir ölçüm verileri de sağlar. Etkili eğitim çabalarını doğrulamak için kuruluşlar, risk azaltmadaki ilerlemeyi izlerken, herhangi bir zamanda risklerine ilişkin geçerli bir gösterge elde edebilmelidir.
Etkili bir kimlik avı simülasyon programı uygulayın.
Böyle bir program oluşturmak çok zor ve zaman alıcı görünebilir. Bu nedenle, basit ve etkili bir kimlik avı simülasyonu oluşturmak için kullanabileceğiniz 10 temel uygulamadan oluşan bir başucu kitabı oluşturduk. Sadece CybeReady Playbook’u indirin veya bir ürün demosu için uzmanlarımızdan biriyle görüşün ve CybeReady’nin tam otomatik güvenlik bilinci eğitim platformunun, neredeyse sıfır çaba gerektiren BT ile kuruluşunuzun en hızlı sonuçlara ulaşmasına nasıl yardımcı olabileceğini öğrenin.