Месецът на киберсигурността – PR трик или нещо повече?

Месецът за повишаване на осведомеността за киберсигурността се провежда всеки октомври от 2004г. насам. Тази година Месецът  призова обществеността, професионалистите и партньорите от индустрията да „видят себе си в киберпространството“ по следните начини:

  • Обществеността, като предприеме действия, за да остане в безопасност онлайн.
  • Специалистите, като се присъединят към работната сила в областта.
  • Партньорите от киберпромишлеността – като част от решението за киберсигурност.

CISA очерта четири „неща, които можете да направите“, за да останете в безопасност онлайн за хората и семействата, включително актуализиране на софтуера, мислене преди да кликане, използване на силни пароли и активиране на многофакторна автентификация на чувствителни акаунти.

Индустрията отдавна преподава съвети за сигурност на служителите и обществеността. С толкова много повтарящи се изяви по медии и обучения за кибернетична осведоменост, завръщането на фокуса през октомври е скука  на мнозина. Предлагаме ви преглед на реакциите към месеца на киберсигурността и изводите от тазгодишните теми и послания, които трябва да ни подскажат дали в кампанията има нещо повече от място за  връзки с обществеността.

Най-важните новини от тазгодишния Месец за повишаване на осведомеността за киберсигурността

Емоциите за Месеца на осведомеността за киберсигурността през 2022г. варират от внимание до запомняне, като мъдрите съвети и закачките се смесват с остри, умни новини и материали по интереси.

На върха на класацията се намира прегледът на „The dread, sincerity and comedy of Cybersecurity Awareness Month“ от The Washington Post.

Ужасът и смехът  идват предимно от саркастични туитове, без да се признава тазгодишната тема. Кен Уестин от Cybereason написа в Туитър, че месецът на осведомеността е създаден от Hallmark, за да продава повече поздравителни картички.

Имаше и някои задръжки. Журналистът по киберсигурност Шон Лингас написа в Туитър, че Месецът на осведомеността за киберсигурността е пълен с пиар акции, които се възползват от пробиви в сигурността. Ан Кътлър, изпълнителен директор по PR в Keeper Security, отговори: „Грешите. Всъщност той се нарича Месец на киберсигурността. PR екипите няма да бъдат държани настрана  и ще повишат осведомеността, независимо дали ви харесва или не. Сега вече можете да се считате за осведомени“.

The Register погледна отрезвяващо на месеца на осведомеността и присъщите му предизвикателства в „Националната програма за осведоменост по киберсигурност 18 години по-късно: Не кликвайте върху това.“

Той отрази важността на  това да се запази осведомеността за киберсигурността достатъчно техническа, за да бъде полезна, но и достатъчно проста за разбиране. Участниците в сектора трябва да преминат отвъд „Мисли, преди да кликнеш“, без да загубят аудиторията си и всички усилия, които обществеността вече полага, за да избегне фишинга.

The Register изрази необходимостта служителите с малко познания в областта на киберсигурността да се превърнат в пълноценни специалисти по сигурността. Това няма да се случи скоро. Въпреки това, когато историята обобщи идеята на „Вижте себе си в киберсигурността“, ще се види, че въпреки че сигурността е сложна, от отделните хора зависи да я накарат да работи – това е смисълът.

The Register изтъква, че хората са решението, защото хората са проблемът, като над 80 % от нарушенията са свързани с човешкия фактор, включително хора, които се хващат на фишинг атаки.

Според Register, Seeing Yourself in the Cyber Workforce напомня на организациите, наемащи киберперсонал, че финансирането на обучението се увеличава. Те трябва да го използват за новонаети служители и специалисти, които са натрупали опит след миналогодишното обучение.

Forbes разкрива порой от печални тенденции в кибератаките в „За месеца на осведомеността за киберсигурността (и Хелоуин)-няколко страшни статистики за киберзаплахите“.

Месецът за повишаване на осведомеността за киберсигурността не е оказал измерим ефект върху тенденциите за нарушения. Нарушенията са все по-често срещани и тежки. През второто тримесечие на 2022г. фишингът е бил най-зловещият с над 1 милион атаки.

Forbes отбелязва, че атаките на държавни хакери не са само за критичната национална инфраструктура, като 64% от предприятията казват, че държавни хакери са ги хакнали. Все пак системите за индустриален контрол и ОТ са в по-голяма опасност от обикновените ИТ активи.

Съвети от Месеца за повишаване на осведомеността за киберсигурността 2022

Инициативата на CISA „Четири неща, които можете да направите“ за Месеца за повишаване на осведомеността по въпросите на киберсигурността през 2022г., включваща актуализиране на софтуера, мислене преди да кликане, за да се предотврати фишинг, използване на силни пароли и активиране на многофакторно удостоверяване, беше оповестена с цел да се повлияе на поведението на крайните потребители към по-добри практики за сигурност. Но дали подобни директивни съвети действително работят?

The Register пояснява, че успехът или провалът на Месеца на осведомеността за киберсигурността зависи от начина, по който го измервате. Месецът на киберсигурността не е проработил, ако очаквате въпросът с киберсигурността да бъде решен окончателно. Ако сте се надявали, че хората и организациите ще се отнасят по-сериозно към киберсигурността, тогава месецът на осведомеността е успех.

Месецът за повишаване на осведомеността за киберсигурността и „нещата, които можете да направите“ работят достатъчно добре. Най-резултатното нещо, което трябваше да се направи, беше да се намери по-ефективно решение за фишинга, основано на хората, отвъд „мисли, преди да кликнеш“.

Под повърхността на статията в Post гласове в Twitter изясниха, че обучението по фишинг, като например лекции за изтъкване с пръст и изненадващи фишинг тестове, е нежелателно.

CISA иска партньорите от индустрията да се възприемат като част от решението, работейки заедно за изграждането на сигурна и устойчива технологична екосистема. Като разработват продукти, които да са сигурни по проект, те могат колективно да намалят риска и да защитят критичната инфраструктура, на която американците разчитат.

В статията си във Forbes Чък Брукс посочва, че въпреки месеца на осведомеността енергийният сектор и електрическата мрежа са изложени на значителен риск от атаки. Защитата на критичната национална инфраструктура срещу държавни хакери , като тези, които атакуваха Colonial Pipeline, е предизвикателство. То трябва да бъде приоритет на публичния и частния сектор, както е одобрено от CISA.

Как можем да подобрим киберсигурността през 2023г. отвъд усилията за PR?

Излизането извън рамките на Месеца за повишаване на осведомеността за киберсигурността означава, че организациите са отговорни за обучението на своите крайни потребители в областта на киберсигурността, но има и технически решения, които могат да решат проблема с лошото поведение на крайните потребители и все пак да защитят ИТ сигурността на вашите организации. Няколко бързи победи, които трябва да направите в най-скоро време:

1 – Поправете софтуера си
Организациите могат да възприемат актуализациите на софтуера като скъпоструващи и много от тях ги избягват, за да не повредят приложенията, с които работят в момента. Но за да изпълнят целите за киберсигурност през 2023г., организациите трябва да патчват софтуера си веднага след като актуализациите са налични.

2 – Блокирайте използването на нарушени пароли
Чрез сканиране на Active Directory за уязвимости, свързани с пароли, със Specops Password Auditor организациите могат да идентифицират използването на над 900 милиона слаби и нарушени пароли в своята Active Directory. Хакерите използват откраднати идентификационни данни при атаки срещу критичната национална инфраструктура. Одитите на пароли гарантират, че тези нарушени пароли не се използват във вашата организация.

3 – Одит на нивото на сигурност на използваните приложения на трети страни
Неотдавнашен доклад установи, че популярните приложения, свързани с работата, имат някои сериозни пропуски в сигурността, когато става въпрос за пароли и MFA. Направете инвентаризация на уеб приложенията, на които се доверява вашата организация, и се уверете, че MFA или поне 2FA е активирана за вашите крайни потребители.

 

 

 

Източник: The Hacker News

Подобни публикации

6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
Бъдете социални
Още по темата
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
01/12/2022

За дигиталните активи на по...

Напоследък много наши потребители ни питат...
Последно добавени
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
04/12/2022

Google с нова актуализация ...

  В петък гигантът в областта...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!