تستهدف الغالبية العظمى من حوادث الأمن السيبراني اليوم البشر إلى حد ما. في الحقيقة، 74% من الخروقات في 2023 شملت العنصر البشري. الآن بعد أن أصبح الذكاء الاصطناعي متاحًا على نطاق واسع للجهات الفاعلة والتهديدات الهندسة الاجتماعية آخذة في الارتفاع، ستصبح الحملات المستهدفة بشكل احترافي آلية ويصعب اكتشافها.
فلماذا لا يقوم المزيد من قادة الأمن السيبراني بتدريب فرقهم بشكل صحيح للدفاع ضد هذه التهديدات؟ وذلك لأن معظم التعليم الأمني اليوم يعتمد على عمليات محاكاة التصيد الاحتيالي ومقاطع الفيديو التي تلبي فقط الحد الأدنى من متطلبات التدريب على الامتثال. ونتيجة لذلك، يصبح من الصعب على الناس تعلم المهارات اللازمة لفهم التهديدات واستخدام تلك المعرفة لتطوير عادات وقائية.
بدلاً من ذلك، يحتاج فريقك إلى الوصول إلى لعب الأدوار والمحاكاة الحية التي تغطي التهديدات الحالية والألعاب الجادة التي ستستفيد من مهارات التفكير النقدي لديهم وتدمج هذه المفاهيم بعمق في أذهانهم.
إن تعليم الوعي الأمني الذي يتطلب من الموظفين النقر فوق وحدة نمطية على أجهزة الكمبيوتر الخاصة بهم (على الرغم من أنه من المحتمل أن يكون هناك مهام متعددة في الخلفية) ليس فعالاً لأنهم لا يأخذون في الاعتبار دور كل شخص، أو تعرضه للمخاطر، أو معرفته بأمن تكنولوجيا المعلومات. إن النهج الشامل غير قادر على نقل المعرفة والمهارات الأمنية ذات الصلة بالوظيفة والتي تعتبر ضرورية لتغيير سلوك شخص ما في بيئة عمله الفعلية.
علاوة على ذلك، فإن هذه البرامج لن تكون فعالة ما لم يتم تزويد الموظفين أيضًا بالأدوات والعمليات والموارد الأساسية لدمج السلوكيات الأمنية بسلاسة في روتينهم اليومي. على سبيل المثال، إذا جعلت شخصًا ما يحضر تدريبًا عبر الفيديو حول مدى أهمية استخدام مدير كلمات المرور للحصول على كلمة مرور فريدة وقوية لكل حساب، ولكن لا توفر له إمكانية الوصول إلى أداة إدارة كلمات المرور، يصبح التدريب بلا جدوى.
هناك مشكلة شائعة أخرى وهي أن محتوى التعلم يركز بشكل متكرر على تهديدات أمنية محددة بشكل فردي، بدلاً من التعامل معها من منظور المتعلم. على الرغم من أنه من المفيد للمتعلمين البحث وفهم المصطلحات التقنية لأنواع معينة من الهجمات، مثل “التصيد الاحتيالي الصوتي”، إلا أنها مجرد طريقة واحدة ضمن مشكلة التهديدات الأكبر. ومن المهم بالنسبة لهم التعرف على هجوم الهندسة الاجتماعية، بغض النظر عن كيفية استهدافهم.
لتعليم الموظفين بشكل فعال كيفية التخفيف من العوامل البشرية في الهجمات الإلكترونية، من الضروري فهم مفهومين رئيسيين حول كيفية عمل المجرمين. أولا، أوصي بتعليم الناس كيف تعمل دورة هجوم الهندسة الاجتماعية – جمع المعلومات وإقامة العلاقات والعلاقة والاستغلال والتنفيذ. اشرح كيف يمكن جمع المعلومات عبر معلومات استخباراتية مفتوحة المصدر ثم استخدامها لإنشاء علاقة يمكن استغلالها من قبل المهاجم.
ثانياً، من المهم التغطية كيف يستغل المجرمون الطبيعة البشرية من خلال مبادئ الامتثال. النفسية الخمس مبادئ الامتثال نكون:
-
الإعجاب والتشابه والخداع
-
الالتزام والمعاملة بالمثل والاتساق
بمجرد أن يفهم شخص ما كيف يستخدم المهندسون الاجتماعيون هذه المبادئ وعلم النفس الذي يقف وراءها، سيكون لديهم شعور متزايد بالوعي بهذه الأنواع من الهجمات ويصبحون أفضل في تجنبها، بغض النظر عن القناة التي يصلون إليها.
إحدى الطرق الفعالة لتثبيت هذه المبادئ في ذهن شخص ما هي استخدام ألعاب غامرة جادة. لعب الأدوار والمحاكاة، مثل قطعة من الكعكة – لعبة الطاولة للتوعية بالأمن الاجتماعي في مجال الهندسة الاجتماعية، والتي تجعل المشاركين يلعبون بتكتيكات تلاعبية في سيناريوهات مختلفة تعالج التحديات الأمنية بطريقة مرحة. إذا قمت بتخصيص سيناريوهات لوظائف وظيفية محددة، فسوف يفهم فريقك من خلال التعلم التجريبي سبب أهمية هذا التدريب الأمني لهم. فهو يجعل التعلم ذا معنى وممتعًا، مما قد يؤدي إلى تحول جذري في موقف شخص ما تجاه الأمن.
بعد مرور نصف عام على تدريب “قطعة الكعكة”، واجه أحد المشاركين اختباراً حقيقياً. بعد وفاة والديه، قام شقيقه بتسليم رقمه عن غير قصد إلى المحتالين الذين يتصلون بالخط الأرضي الخاص بوالديهم. عندما اتصل هؤلاء المحتالون برقمه الخاص، متظاهرين بأنه من بنك الوالدين برقم مزيف، تفاجأ في البداية. ومع ذلك، وسط ضعفه في لحظة الحزن هذه، انطلقت أجراس الإنذار، وتذكر النصيحة بقطع الاتصال والرد عبر قناة مختلفة. على الرغم من الضغط العاطفي، أظهرت هذه الغريزة لتحديد التكتيك والتحقق من شرعية المتصل التأثير الدائم لتعلمه التجريبي في التعرف على محاولات الهندسة الاجتماعية وإحباطها.
بالنسبة للقادة المشاركين في اتخاذ القرارات أثناء الأزمات، وكذلك فريق إدارة الأزمات، أثبتت تمارين الطاولة (TTXs) أنها لا تقدر بثمن. سيناريوهات الخياطة (استنادًا إلى القوالب الموجودة مثل أكثر من 100 من CISA) يعد عكس التحديات المحددة لمؤسستك طريقة رائعة للقيام بذلك. سيساعد ذلك فريقك على تطوير واختبار خطة متماسكة للاستجابة للحوادث. يعزز التدريب القائم على TTX التعاون والتواصل داخل المنظماتمما يسمح بتبادل المعرفة الحيوية وتحسين قنوات الاستجابة للحوادث.
يعد التعلم التجريبي، مثل اللعب التفاعلي مع التركيز على العوامل البشرية المشاركة في الهجمات الإلكترونية، الطريقة الأكثر فعالية لتقديم التدريب الأمني. تسهل هذه الأساليب الاحتفاظ بشكل أفضل بالمعرفة الأمنية وتطبيقها العملي، بما يتجاوز نماذج التعلم التقليدية والسلبية الموجودة في الغالب. ومن خلال إشراك الموظفين في سيناريوهات تحاكي مواقف الحياة الواقعية وتسليط الضوء على التكتيكات الشائعة المستخدمة في الهندسة الاجتماعية، يصبح التدريب أكثر أهمية وسهل الاستيعاب، ويمكن للموظفين اتخاذ موقف أكثر استباقية تجاه الأمن السيبراني داخل المنظمة.
