Месецът за повишаване на осведомеността за киберсигурността се провежда всеки октомври от 2004г. насам. Тази година Месецът призова обществеността, професионалистите и партньорите от индустрията да „видят себе си в киберпространството“ по следните начини:
CISA очерта четири „неща, които можете да направите“, за да останете в безопасност онлайн за хората и семействата, включително актуализиране на софтуера, мислене преди да кликане, използване на силни пароли и активиране на многофакторна автентификация на чувствителни акаунти.
Индустрията отдавна преподава съвети за сигурност на служителите и обществеността. С толкова много повтарящи се изяви по медии и обучения за кибернетична осведоменост, завръщането на фокуса през октомври е скука на мнозина. Предлагаме ви преглед на реакциите към месеца на киберсигурността и изводите от тазгодишните теми и послания, които трябва да ни подскажат дали в кампанията има нещо повече от място за връзки с обществеността.
Емоциите за Месеца на осведомеността за киберсигурността през 2022г. варират от внимание до запомняне, като мъдрите съвети и закачките се смесват с остри, умни новини и материали по интереси.
На върха на класацията се намира прегледът на „The dread, sincerity and comedy of Cybersecurity Awareness Month“ от The Washington Post.
Ужасът и смехът идват предимно от саркастични туитове, без да се признава тазгодишната тема. Кен Уестин от Cybereason написа в Туитър, че месецът на осведомеността е създаден от Hallmark, за да продава повече поздравителни картички.
Имаше и някои задръжки. Журналистът по киберсигурност Шон Лингас написа в Туитър, че Месецът на осведомеността за киберсигурността е пълен с пиар акции, които се възползват от пробиви в сигурността. Ан Кътлър, изпълнителен директор по PR в Keeper Security, отговори: „Грешите. Всъщност той се нарича Месец на киберсигурността. PR екипите няма да бъдат държани настрана и ще повишат осведомеността, независимо дали ви харесва или не. Сега вече можете да се считате за осведомени“.
The Register погледна отрезвяващо на месеца на осведомеността и присъщите му предизвикателства в „Националната програма за осведоменост по киберсигурност 18 години по-късно: Не кликвайте върху това.“
Той отрази важността на това да се запази осведомеността за киберсигурността достатъчно техническа, за да бъде полезна, но и достатъчно проста за разбиране. Участниците в сектора трябва да преминат отвъд „Мисли, преди да кликнеш“, без да загубят аудиторията си и всички усилия, които обществеността вече полага, за да избегне фишинга.
The Register изрази необходимостта служителите с малко познания в областта на киберсигурността да се превърнат в пълноценни специалисти по сигурността. Това няма да се случи скоро. Въпреки това, когато историята обобщи идеята на „Вижте себе си в киберсигурността“, ще се види, че въпреки че сигурността е сложна, от отделните хора зависи да я накарат да работи – това е смисълът.
The Register изтъква, че хората са решението, защото хората са проблемът, като над 80 % от нарушенията са свързани с човешкия фактор, включително хора, които се хващат на фишинг атаки.
Според Register, Seeing Yourself in the Cyber Workforce напомня на организациите, наемащи киберперсонал, че финансирането на обучението се увеличава. Те трябва да го използват за новонаети служители и специалисти, които са натрупали опит след миналогодишното обучение.
Forbes разкрива порой от печални тенденции в кибератаките в „За месеца на осведомеността за киберсигурността (и Хелоуин)-няколко страшни статистики за киберзаплахите“.
Месецът за повишаване на осведомеността за киберсигурността не е оказал измерим ефект върху тенденциите за нарушения. Нарушенията са все по-често срещани и тежки. През второто тримесечие на 2022г. фишингът е бил най-зловещият с над 1 милион атаки.
Forbes отбелязва, че атаките на държавни хакери не са само за критичната национална инфраструктура, като 64% от предприятията казват, че държавни хакери са ги хакнали. Все пак системите за индустриален контрол и ОТ са в по-голяма опасност от обикновените ИТ активи.
Инициативата на CISA „Четири неща, които можете да направите“ за Месеца за повишаване на осведомеността по въпросите на киберсигурността през 2022г., включваща актуализиране на софтуера, мислене преди да кликане, за да се предотврати фишинг, използване на силни пароли и активиране на многофакторно удостоверяване, беше оповестена с цел да се повлияе на поведението на крайните потребители към по-добри практики за сигурност. Но дали подобни директивни съвети действително работят?
The Register пояснява, че успехът или провалът на Месеца на осведомеността за киберсигурността зависи от начина, по който го измервате. Месецът на киберсигурността не е проработил, ако очаквате въпросът с киберсигурността да бъде решен окончателно. Ако сте се надявали, че хората и организациите ще се отнасят по-сериозно към киберсигурността, тогава месецът на осведомеността е успех.
Месецът за повишаване на осведомеността за киберсигурността и „нещата, които можете да направите“ работят достатъчно добре. Най-резултатното нещо, което трябваше да се направи, беше да се намери по-ефективно решение за фишинга, основано на хората, отвъд „мисли, преди да кликнеш“.
Под повърхността на статията в Post гласове в Twitter изясниха, че обучението по фишинг, като например лекции за изтъкване с пръст и изненадващи фишинг тестове, е нежелателно.
CISA иска партньорите от индустрията да се възприемат като част от решението, работейки заедно за изграждането на сигурна и устойчива технологична екосистема. Като разработват продукти, които да са сигурни по проект, те могат колективно да намалят риска и да защитят критичната инфраструктура, на която американците разчитат.
В статията си във Forbes Чък Брукс посочва, че въпреки месеца на осведомеността енергийният сектор и електрическата мрежа са изложени на значителен риск от атаки. Защитата на критичната национална инфраструктура срещу държавни хакери , като тези, които атакуваха Colonial Pipeline, е предизвикателство. То трябва да бъде приоритет на публичния и частния сектор, както е одобрено от CISA.
Излизането извън рамките на Месеца за повишаване на осведомеността за киберсигурността означава, че организациите са отговорни за обучението на своите крайни потребители в областта на киберсигурността, но има и технически решения, които могат да решат проблема с лошото поведение на крайните потребители и все пак да защитят ИТ сигурността на вашите организации. Няколко бързи победи, които трябва да направите в най-скоро време:
1 – Поправете софтуера си
Организациите могат да възприемат актуализациите на софтуера като скъпоструващи и много от тях ги избягват, за да не повредят приложенията, с които работят в момента. Но за да изпълнят целите за киберсигурност през 2023г., организациите трябва да патчват софтуера си веднага след като актуализациите са налични.
2 – Блокирайте използването на нарушени пароли
Чрез сканиране на Active Directory за уязвимости, свързани с пароли, със Specops Password Auditor организациите могат да идентифицират използването на над 900 милиона слаби и нарушени пароли в своята Active Directory. Хакерите използват откраднати идентификационни данни при атаки срещу критичната национална инфраструктура. Одитите на пароли гарантират, че тези нарушени пароли не се използват във вашата организация.
3 – Одит на нивото на сигурност на използваните приложения на трети страни
Неотдавнашен доклад установи, че популярните приложения, свързани с работата, имат някои сериозни пропуски в сигурността, когато става въпрос за пароли и MFA. Направете инвентаризация на уеб приложенията, на които се доверява вашата организация, и се уверете, че MFA или поне 2FA е активирана за вашите крайни потребители.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.