چرا کارمندان سیاست های امنیت سایبری را نقض می کنند؟

    کلی پوزی و میندی شوس – 20 ژانویه 2022 -تصویر توسط آندریوس بانلیس

تابستان گذشته، پس از یک حمله سایبری که وحشت گسترده ای را در مورد در دسترس بودن بنزین در سراسر جنوب شرقی ایالات متحده ایجاد کرد، Colonial Pipeline تقریباً 5 میلیون دلار باج پرداخت. حمله سایبری که فعالیت کارخانه ها را در سراسر ایالات متحده، کانادا و استرالیا به حالت تعلیق درآورد. حملاتی از این دست برای سال‌ها رایج‌تر شده‌اند، و همه‌گیری کووید-19 فقط اوضاع را بدتر کرده است، به طوری که FBI افزایش 400 درصدی حملات سایبری را در چند ماه اول همه‌گیری گزارش کرده است.

در پاسخ، سرمایه‌گذاری در امنیت سایبری به شدت افزایش یافته است – اما متأسفانه، این تلاش‌ها همیشه به عوامل زمینه‌ای که آسیب‌پذیری‌ها را ایجاد می‌کنند، توجه نکرده است. در حالی که متخصصان فناوری اطلاعات برای ایجاد سیستم‌های فنی بهتر، هوشمندتر و ایمن‌تر تلاش می‌کنند، یک خطر وجود دارد که نمی‌توانند برنامه‌ریزی کنند:

 انسان‌ها. به خصوص که کار از راه دور رایج تر می شود و در نتیجه دسترسی به سیستم های ایمن بیشتر توزیع می شود، یک کلیک اشتباه توسط یک کارمند اغلب می تواند برای تهدید کل اکوسیستم دیجیتال کافی باشد.

علاوه بر این، در حالی که برخی از سازمان‌ها شروع به تکمیل تلاش‌های متمرکز بر فناوری با ابتکارات امنیت سایبری کرده‌اند که کارکنان را به‌عنوان حامل‌های حمله بالقوه هدف قرار می‌دهد، این برنامه‌ها معمولاً فرض می‌کنند که کارمندان پروتکل‌های امنیتی را از روی ناآگاهی یا نیت مخرب می‌شکنند. با این حال، تحقیقات اخیر ما نشان می‌دهد که اغلب اوقات، عدم رعایت قوانین ممکن است در واقع نتیجه نقض عمدی و در عین حال غیر مخرب باشد که عمدتاً ناشی از استرس کارکنان است.

ما از بیش از 330 کارمند از راه دور از طیف وسیعی از صنایع درخواست کردیم که در طی دو هفته در مورد سطح استرس روزانه خود و پایبندی خود به سیاست های امنیت سایبری خود گزارش دهند. علاوه بر این، ما مجموعه‌ای از مصاحبه‌های عمیق را با 36 متخصص که به دلیل همه‌گیری کووید-19 مجبور به کار از راه دور بودند انجام دادیم تا درک بهتری از تأثیر گذار به کار از خانه بر امنیت سایبری داشته باشیم.

ما دریافتیم که در سراسر نمونه ما، پایبندی به کنوانسیون های امنیتی متناوب بود. در طول 10 روز کاری که موارد مطالعه قرار گرفتند، 67 درصد از شرکت کنندگان گزارش دادند که حداقل یک بار به طور کامل به سیاست های امنیت سایبری پایبند نبودند، با میانگین نرخ شکست در انطباق یک بار از هر 20 وظیفه شغلی.

اما چه چیزی منجر به این نقض در پروتکل شد؟ وقتی از آنها پرسیده شد که چرا آنها در پیروی از سیاست‌های امنیتی شکست خورده‌اند، سه پاسخ اصلی شرکت‌کنندگان ما عبارت بودند از: “برای انجام بهتر وظایف برای شغلم”، “برای به دست آوردن چیزی که نیاز داشتم” و “کمک به دیگران برای انجام کارشان”. این سه پاسخ 85 درصد از مواردی را که کارکنان آگاهانه قوانین را زیر پا گذاشته اند، تشکیل می دهند. در مقابل، کارکنان تنها در 3 درصد از نقض‌های خط‌مشی تمایل بدخواهانه‌ای برای آسیب‌رسانی را گزارش کردند – نقض‌های غیر مخرب (یعنی مواردی که صرفاً با انگیزه انجام کار انجام می‌شوند) 28 برابر شایع‌تر از موارد تلافی‌جویانه.

ما همچنین دریافتیم که افراد در روزهایی که گزارش می‌کنند استرس بیشتری دارند، به‌طور قابل‌توجهی بیشتر احتمال دارد که آگاهانه پروتکل‌های امنیتی را زیر پا بگذارند، و این نشان می‌دهد که استرس بیشتر تحمل آن‌ها را برای پیروی از قوانینی که مانع انجام کارشان می‌شود، کاهش می‌دهد. منابع متداول استرس شامل خواسته‌های خانواده است که با کار، ترس از امنیت شغلی در تضاد است، و از قضا، خواسته‌های خود سیاست‌های امنیت سایبری:

مردم زمانی که نگران این بودند که پیروی از آنها مانع بهره‌وری شود، به زمان یا انرژی اضافی نیاز دارد، به احتمال زیاد رویه‌ها را نقض می‌کنند. به این معنی است که کارهای خود را به روشی متفاوت انجام دهند، یا به آنها احساس کنند که دائما تحت نظر هستند.

البته، از آنجایی که داده‌های ما توسط خودشان گزارش می‌شد، نتوانستیم نقض‌هایی را که کارکنان از ارتکاب آن بی‌اطلاع بودند، اندازه‌گیری کنیم. به این ترتیب، تحقیقات ما در مورد شیوع مسائل امنیتی ناشی از جهل یا خطای انسانی کمتر قطعی است. اما یافته‌های ما نشان می‌دهد که علی‌رغم تمرکز رسانه‌ها بر «تهدید درونی» ناشی از کارمندان بدخواه، دلایل خیرخواهانه زیادی وجود دارد که ممکن است آگاهانه از قوانین پیروی نکند. بر این اساس، ما سه نکته کلیدی را برای مدیران ایجاد کرده‌ایم:

بین جهل و بدخواهی حد وسطی وجود دارد

بسیاری از رهبران تصور می کنند که نقض امنیت کارکنان یا مخرب یا غیرعمدی است، و سپس سیاست های امنیتی را بر اساس این فرض طراحی می کنند. با این حال، تحقیقات ما نشان می دهد که حد وسط قابل توجهی بین جهل و سوء نیت وجود دارد، بنابراین مدیران علاقمند هستند که برنامه ها و خط مشی های آموزشی خود را بر این اساس تطبیق دهند.

به طور خاص، به جای تمرکز بر حملات مخرب، سیاست‌های امنیتی باید این واقعیت را تصدیق کنند که بسیاری از نقض‌های کارکنان ناشی از تلاش برای ایجاد تعادل بین امنیت و بهره‌وری است. این به معنای آموزش کارمندان و مدیران در مورد شیوع تخلفات غیر مخرب، و ارائه راهنمایی روشن در مورد آنچه که اگر پیروی از شیوه‌های امنیتی با انجام کار در تضاد است، انجام شود.

علاوه بر این، سازمان‌ها باید اقداماتی را برای گنجاندن کارکنان در فرآیند توسعه و آزمایش سیاست‌های امنیتی توسط کاربر انجام دهند و تیم‌ها را به ابزارهایی که برای پیروی از این سیاست‌ها نیاز دارند مجهز کنند. اغلب اوقات، بخش‌های فناوری اطلاعات، پروتکل‌هایی را در خلأ توسعه می‌دهند، با درک محدودی از اینکه چگونه این قوانین ممکن است با جریان کاری افراد تداخل داشته باشند یا منابع جدیدی از استرس ایجاد کنند. به خصوص از آنجایی که تغییر به سمت کار از راه دور تعداد افراد کار را تغییر داده است، رهبران فناوری اطلاعات باید مطمئن باشند که کارکنانی را که تحت تأثیر اقدامات امنیتی جدید قرار می گیرند در ایجاد، ارزیابی و اجرای آنها مشارکت دهند.

طراحی شغل و امنیت سایبری در هم تنیده شده اند

رایج است که امنیت را در درجه دوم بهره وری بدانیم. در مواقع عادی، این لزوماً یک مشکل نیست، زیرا کارکنان احتمالاً منابع لازم برای اختصاص انرژی کافی به هر دو را دارند. اما از آنجایی که فشارهای بی‌شمار ناشی از همه‌گیری، حفظ بهره‌وری را سخت‌تر می‌کند، این بدان معناست که امنیت به سمت وظایف حیاتی که باعث بررسی عملکرد، تبلیغات و پاداش‌ها می‌شود، عقب‌نشینی می‌کند.

برای رسیدگی به این موضوع، مدیران باید بدانند که طراحی شغل و امنیت سایبری اساساً در هم تنیده هستند. واقعیت این است که پیروی از سیاست‌های امنیت سایبری می‌تواند بر حجم کاری کارمندان بیفزاید، بنابراین باید در کنار سایر معیارهای عملکرد در هنگام تعیین حجم کاری مورد توجه و تشویق قرار گیرد.

علاوه بر این، مدیران باید برای شناسایی و کاهش منابع استرس برای تیم‌های خود تلاش کنند، زیرا کار در شرایط استرس‌زاتر می‌تواند بر ثبات کارمندان در پیروی از پروتکل‌های امنیتی تأثیر بگذارد (به سلامت و اثربخشی آن‌ها در بسیاری از معیارهای دیگر اشاره نکنیم) به‌ویژه که کار از راه دور رایج‌تر می‌شود، مدیران باید از بار روانی کارکنان ناشی از کار تحت سیستم‌هایی که آنها را نظارت می‌کنند آگاه باشند. سیستم‌های نظارتی که در دفتر کار معقول به نظر می‌رسند ممکن است در خانه احساس نفوذ کنند – و حتی اگر هیچ پیامد مستقیم و واضحی وجود نداشته باشد، تحقیقات ما نشان می‌دهد که استرس اضافه‌شده می‌تواند به طور غیرمستقیم افراد را بیشتر به احتمال زیاد پروتکل‌های امنیتی را زیر پا بگذارد.

هکرها از نوع دوستی استفاده می کنند

اکثر مدیران می گویند که اگر کارمندانشان بخواهند به یکدیگر کمک کنند، چیز خوبی است. اما متأسفانه، نوع‌دوستی می‌تواند هزینه‌ای داشته باشد:

در مطالعه ما، حدود 18 درصد از تخلفات خط‌مشی ناشی از تمایل به کمک به یک همکار بوده است. این بیماری همه‌گیر تنها چالش‌هایی را که همه ما هر روز با آن روبرو هستیم افزایش داده است، و بنابراین فرصت‌های بیشتری را برای کارکنان خوش‌نیت ایجاد کرده است تا به همتایان خود کمک کنند تا سازمان‌هایشان آسیب‌پذیر شود. هکرها این را می‌دانند و اغلب به عمد از تاکتیک‌های مهندسی اجتماعی استفاده می‌کنند که از تمایل کارمندان برای تغییر قوانین استفاده می‌کنند، که فکر می‌کنند به کسی کمک می‌کنند.

برای رسیدگی به این موضوع، مدیران نه تنها باید سیاست‌های امنیتی را که به‌طور خاص برای محافظت در برابر این نوع حملات طراحی شده‌اند، اجرا کنند، بلکه باید برای کاهش تأثیر این اقدامات بر گردش کار کارکنان، و به‌روشنی دلیل آن‌ها، به منظور افزایش انطباق کارکنان، تلاش کنند.

به عنوان مثال، از آنجایی که حرکت به سمت کار از راه دور ارتباطات حضوری را کاهش داده است، کلاهبرداری‌های مربوط به ایمیل تجاری (BEC) حتی بیشتر شده است. اینها کلاهبرداری هایی هستند که در آن یک مهاجم به عنوان یک سرپرست یا همکار نزدیک خود را نشان می دهد و با درخواست فوری برای انتقال وجه به کارکنان ایمیل می فرستد. فشار زمان و تمایل به کمک به یک همکار می تواند کارکنان را وادار به شکستن پروتکل و انجام این نقل و انتقالات بدون تأیید صحیح درخواست ها کند. محافظت از سازمان شما در برابر این نوع حملات نه تنها به معنای ایجاد یک خط مشی تأیید برای تراکنش های بزرگ است، بلکه هم به کارکنان آموزش می دهد که چرا این سیاست اهمیت دارد و هم به حداقل رساندن میزانی که مانع از کار روزانه می شود.

در چشم انداز امنیت سایبری مدرن، هر کارمند یک ناقل تهدید بالقوه است. برای ایمن نگه داشتن سازمان‌های خود، رهبران فنی و تجاری باید عواملی را درک کنند که می‌تواند هر کسی را در معرض نادیده گرفتن خط‌مشی و باز کردن دروازه‌ها به روی مهاجمان قرار دهد. در حالی که ایده یک کارمند خشمگین که به طور هدفمند تلاش می کند به شرکت خود آسیب برساند ممکن است داستان قانع کننده ای ایجاد کند، تحقیقات ما به نقش عمده استرس کارکنان در ایجاد انگیزه برای نقض های امنیتی غیر مخرب (و در عین حال بالقوه فاجعه بار) اشاره می کند. برای مقابله با خطر فزاینده حملات سایبری – و همچنین خطرات بی‌شماری مرتبط با نیروی کار با استرس فزاینده – رهبران باید تلاش‌های هدفمندی را برای به حداقل رساندن علل اصلی استرس در محل کار و طراحی بارهای کاری سالم‌تر و پایدارتر برای کارکنان در هر زمان انجام دهند.

https://hbr.org