ممرضة جيسون، قارئ في الأمن السيبراني في جامعة كينتيعتقد اعتقادا راسخا أن إلقاء اللوم على نقاط الضعف السيبراني يحتاج إلى التحول نحو كيفية صنع الأنظمة بدلاً من توجيه الإصبع إلى المستخدمين ، قائلين: “قبل خمس أو 10 سنوات ، كان خبراء الأمن يقولون أن المستخدم هو الأضعف رابطًا ، وأن المستخدمين أغبياء. لحسن الحظ ، لم يسمع المستخدم حقًا.
يجري الممرض أبحاثًا حول مجموعة متنوعة من قضايا الأمن السيبراني التي تؤثر على المنظمات والحكومات ، لكن الكثير من أعماله يركز على شيء غالبًا ما يتم تفويته في المحادثات والتقارير والأوراق البحثية حول الأمن السيبراني – علم النفس.
على الرغم من جميع تحليلات الهجمات والحوادث الإلكترونية ، لا يزالون يميلون إلى التركيز على CVES والعصابات الإجرامية الإلكترونية بدلاً من الأشخاص الذين يتأثرون عندما مواعيد المستشفى Ransomware Force لإلغاءها أو أ ينتج عن الهجوم السيبراني أرفف فارغة في محلات السوبر ماركت. الممرضة حريصة على التعبير عن منظور مختلف حول ما يهم في الأمن السيبراني.
“لسنوات ، ركز الناس على الأمن كتكنولوجيا ، مما يجعل التكنولوجيا أفضل ، مما يجعلها أكثر تقدماً. أوافق تمامًا على أن التكنولوجيا تلعب دورًا رئيسيًا ، لكنها أيضًا مفتاح التركيز على التكنولوجيا من حيث صلتها بالبشر والناس” ، كما يقول. “كيف نتعامل مع التكنولوجيا ، وكيف يمكننا استكشاف سلوك الناس ، وكيف يمكننا أن نفهم كيف يتم تصميم الناس باستمرار واستغلالهم اجتماعيًا – وبعد ذلك بالطبع ، ماذا نفعل حيال ذلك؟”
بالإضافة إلى عمله في الأوساط الأكاديمية ، فإن الممرضة هي أيضًا مدير علوم الأبحاث في cybsafe، وهي شركة للأمن السيبراني تهدف إلى المساعدة في تقليل المخاطر السيبرانية في مكان العمل من خلال قياس السلوكيات الأمنية والتأثير عليها. Cybsafe شراكة مع تحالف الأمن السيبراني الوطني الأمريكي لإنتاجها السنوي تقرير المواقف والسلوكيات الأمنية، مسح الآلاف من الناس لدراسة كيف تشكل السلوكيات والمواقف مخاطر الأمن.
تتضمن بعض النتائج الرئيسية في التقرير كيف يعتقد 44 ٪ من الناس أن البقاء آمنًا عبر الإنترنت أمر تخويف ، في حين قال 48 ٪ فقط من المجيبين إنهم أكملوا التدريب على الأمن السيبراني في العمل في العام الماضي. كانت الأسباب الأكثر شيوعًا التي قدمها الناس لعدم إكمال التدريب هي “أعرف بالفعل ما يكفي” (23 ٪) و “مشغول جدًا” (22 ٪). هل يمكن أن يكون هناك شيء خاطئ في التدريب على الأمن السيبراني؟
Cyber Security مقابل مستخدمي
خلال عرضه في InfoSecurity Europe 2025، استطلعت ممرضة جمهور أخصائيي الأمن السيبراني على طريقة التدريب الأمنية المفضلة لديهم. كان الرد بأغلبية ساحقة لصالح الألعاب واللعب.
ثم كشفت الممرضة عن نتائج الاستطلاع ، والتي أثبتت صدمة للجمهور: لطرق التدريب المعروضة ، كانت الألعاب واللعب على الأقل طريقة تدريب الأمن السيبراني إلى حد بعيد للمستخدمين ، حيث ذكرت 11 ٪ فقط من الأشخاص أن هذا كان طريقة مفضلة للتعرف على الأمن السيبراني.
وفي الوقت نفسه ، فإن الطريقة الأكثر شعبية يقول المستخدمون إنهم يريدون تلقي التدريب على الأمن السيبراني عن طريق الفيديو أو المحتوى المكتوب – والذي كان من المرجح أن يصوتوا من أجلهم. إذا لم يكن الأشخاص الذين يصدرون التدريب لا يلبي احتياجات المستخدمين ، فلا عجب في أن المستخدمين لا يتلقون تدريبًا للتوعية بالأمن السيبراني.
تقول ممرضة: “إنها قضية معقدة”. “هناك هذا التباين بين ما نعتقد أنه الأفضل ، وبعد ذلك ما يعتقده المستخدمون هو الأفضل. قد أعتقد أنني أعرف ما هو الأفضل ، لكن هذا قد لا يكون ما هو أفضل بالنسبة لك. هل تصورات المستخدمين لما يصلح لهم صحيحًا؟”
لا يزال الكثير من التدريب على الأمن السيبراني في الشركات يعتمد على تحذيرات حول الأشياء التي يمكن أن تخطئ ، مثل عملية الاحتيال الخادعة ، أو الاحتيال في الدفع. لا يساعد العديد من المنظمات على تعامل مع الخطأ كشيء يجب معاقبة الموظف أو السخرية من ذلك – خاصة إذا كانت اختبارات التصيد تحاول بنشاط خداع الموظفين. “الناس يريدون فقط الاستمرار في وظائفهم” ، يضيف ممرضة.
بالعودة إلى مفهوم أخصائيي الأمن السيبراني الذين يلومون على المستخدمين لحوادث الحوادث ، فإن الممرضات أمر شديد الضغط على أن هذا ليس هو الموقف الصحيح ، خاصةً عندما تم بناء الكثير من التكنولوجيا والتطبيقات المتصلة بالإنترنت مع الأمن كطريقة لاحقة أو شيء تم تثبيته بعد ذلك-إذا تم تثبيته على الإطلاق.
“عندما تم بناء الإنترنت لأول مرة ، لم يكن الأمن أولوية – تمت إضافته بعد ذلك. وما زلنا نرى ذلك مع بعض التقنيات الجديدة ، يتم إضافة الأمن بعد ذلك. لكننا نتحسن مع ذلك آمن بتصميم ومفاهيم مماثلة ، تحدث فرقًا في كيفية بناء التكنولوجيا “.
ومع ذلك ، فإن ما يجب أن يؤخذ في الاعتبار هو فكرة صنع شيء آمن للغاية. إذا وجد المستخدمون هذا المنتج الخارجي للغاية في الاستخدام ، فسوف يبحثون عن أساليب بديلة للالتفاف عليه-وكما هو موضح في ظله ، عندما يستخدم الموظفون حسابات السحابة الشخصية بدلاً من حسابات المؤسسة المعتمدة ، فإن ذلك يمكن أن يحقق مخاطره الخاصة.
يقول ممرضة: “يمكننا بذل المزيد من الجهد مع ضمان أن يتم بناء الأنظمة مع مراعاة المستخدمين. “إذا كان هناك شيء آمن للغاية ، فهذا يخاطر بأن يكون غير قابل للاستخدام ، مما يعني أنه قد يكون لديك مسألة الحلول. إذا كان هناك شيء مريح ولكنه غير آمن ، فسيتم استغلاله بالطبع ، لذلك يجب أن يكون هناك توازن.”
تقترح الممرضة أن الإجابة على ذلك يمكن أن تشمل المستخدمين في دورة التطوير ، أو اختبار التطبيق أو المنتج الجديد للتأكد من أنه تم بناؤه حقًا مع وضعهم في الاعتبار ، مع ضمان موازنة الأمن والوظائف وسهولة الاستخدام بشكل جيد.
“هذا أمر بالغ الأهمية لأن إشراك المستخدمين يضمن أن لديك نقطة اللمس هذه. إذا قمت بإشراكها طوال الوقت ، فيمكنك محاولة التأكد من أن ما تم إنشاؤه يناسب احتياجات المستخدم ويضرب المتطلبات المتعلقة بالأمان والخصوصية” ، يضيف.
سلامة المستخدم والاستخدام المسؤول في عصر الذكاء الاصطناعي
ظهرت العديد من التقنيات الجديدة على مدار العقدين اللذين ارتكبوا جميعًا خطأ عدم التفكير في أمان المستخدم والسلامة منذ البداية. فكر في وسائل التواصل الاجتماعي ، والهواتف الذكية ، وإنترنت الأشياء (IoT) ، والتي ظهرت جميعها ، فقط من أجل النظر في قضايا الأمن بمجرد أن تكون بالفعل في البرية. هذه الدورة لا تزال مستمرة ويمكن القول الآن تتحرك بشكل أسرع من أي وقت مضى.
يقول ممرضة: “لقد رأينا ذلك مرارًا وتكرارًا والآن يحدث مع الذكاء الاصطناعي”. “و AI تتحرك بسرعة كبيرة ، إنها تهب الناس على التأثير الذي تحدثه وتأثيره ، ويعرضنا على زيادة المخاطر”.
إنها سرعة التبني التي تجعل إدارة المخاطر حول الذكاء الاصطناعي صعبة. سواء كان ذلك من خلال حلول المؤسسات المعتمدة أو الموظفين الذين يستخدمون حسابات ChatGPT الشخصية الخاصة بهم ، فإن الذكاء الاصطناعى في مكان العمل والمجتمع الأوسع.
لكن العديد من المستخدمين لا يفكرون في مخاطر الأمن والخصوصية المحتملة حوله. يدخل الأشخاص معلومات الأعمال الحساسة إلى أدوات الذكاء الاصطناعى لمساعدتهم في عملهم – نعم ، إنه يساعد في الكفاءة ، ولكن بالنظر إلى طبيعة الصندوق الأسود لكثير من نماذج الذكاء الاصطناعي ، فقد يعرض ذلك الشركات لخطر الانتهاكات أو ما هو أسوأ.
بالنسبة للممرضة ، يعود إلى المستوى البشري ، وضمان أن يفهم الناس ماهية الذكاء الاصطناعى ، وكيف يعمل والمخاطر المحتملة حوله – وتشجيع الاستخدام المسؤول.
يقول: “يستخدم الناس فقط الذكاء الاصطناعى مثل أي أداة أخرى دون التفكير بشكل صحيح في العواقب أو إذا كان ينبغي عليهم استخدامها بالطريقة التي يفعلونها”. “إنه مجال نحتاج حقًا إلى التركيز عليه – المخاطر في مكان العمل ، والمخاطر في الفضاء الشخصي – وهناك الكثير الذي يجب تفريغه حول استخدام الذكاء الاصطناعي الآمن وما هو استخدام الذكاء الاصطناعي الأخلاقي.”
ومع ذلك ، فهو حريص أيضًا على التأكيد على أنه لا ينبغي ترك عبء إدارة المخاطر للمستخدمين. بعيدًا عن ذلك – يجب أن تتحمل شركات الذكاء الاصطناعى المسؤولية أيضًا عن طريق وضع الدرابزينات المناسبة وتدابير السلامة على منتجاتها.
يقول ممرضة: “إن الدرابزين موضوع مثير للاهتمام حقًا”. “بعض نماذج الذكاء الاصطناعى لها درابزين أفضل من غيرها. إذا طلبت من الذكاء الاصطناعى إنشاء بريد إلكتروني للتصيد الخداع ، فلن يفعل البعض ذلك ، وسيقوم البعض بإنشائها لك وسيقوم البعض بإنشائها إذا قمت بالتحايل على الدرابزين حول السؤال.”
بالنسبة للممرضات ، سواء كانت حول الذكاء الاصطناعي أو حول الأمن السيبراني ، فإن الشيء المهم هو أن المسؤولين عن بناء التكنولوجيا والبرمجيات ثم تأمينهم يفكرون في الأشخاص الذين يستخدمونها. لأنه بدون فهم ليس فقط كيفية استخدام الناس للتكنولوجيا ، وكذلك سلوكهم ومواقفهم تجاهها ، سيكون من الصعب الحفاظ على سلامة الناس آمنة.
“نحن بحاجة إلى قضاء الوقت والجهد في فهم السلوكيات وتقدير أفضل أن السلوك هو نتيجة شبكة معقدة من المتغيرات التي تتفاعل مع بعضها البعض. يمكن أن يتم إبلاغ السلوك بمواقف الناس والثقافة والفرص والدوافع والمعايير الاجتماعية – هناك أشياء كثيرة يمكن أن تبلغ السلوك الذي نحتاج إلى فهمه ، خاصة فيما يتعلق بالأمن السيبراني”. “فهم هذه الأساسيات أمر مهم لكيفية تعاملنا مع الأمن.”
