Месецът на киберсигурността – PR трик или нещо повече?

Месецът за повишаване на осведомеността за киберсигурността се провежда всеки октомври от 2004г. насам. Тази година Месецът  призова обществеността, професионалистите и партньорите от индустрията да „видят себе си в киберпространството“ по следните начини:

  • Обществеността, като предприеме действия, за да остане в безопасност онлайн.
  • Специалистите, като се присъединят към работната сила в областта.
  • Партньорите от киберпромишлеността – като част от решението за киберсигурност.

CISA очерта четири „неща, които можете да направите“, за да останете в безопасност онлайн за хората и семействата, включително актуализиране на софтуера, мислене преди да кликане, използване на силни пароли и активиране на многофакторна автентификация на чувствителни акаунти.

Индустрията отдавна преподава съвети за сигурност на служителите и обществеността. С толкова много повтарящи се изяви по медии и обучения за кибернетична осведоменост, завръщането на фокуса през октомври е скука  на мнозина. Предлагаме ви преглед на реакциите към месеца на киберсигурността и изводите от тазгодишните теми и послания, които трябва да ни подскажат дали в кампанията има нещо повече от място за  връзки с обществеността.

Най-важните новини от тазгодишния Месец за повишаване на осведомеността за киберсигурността

Емоциите за Месеца на осведомеността за киберсигурността през 2022г. варират от внимание до запомняне, като мъдрите съвети и закачките се смесват с остри, умни новини и материали по интереси.

На върха на класацията се намира прегледът на „The dread, sincerity and comedy of Cybersecurity Awareness Month“ от The Washington Post.

Ужасът и смехът  идват предимно от саркастични туитове, без да се признава тазгодишната тема. Кен Уестин от Cybereason написа в Туитър, че месецът на осведомеността е създаден от Hallmark, за да продава повече поздравителни картички.

Имаше и някои задръжки. Журналистът по киберсигурност Шон Лингас написа в Туитър, че Месецът на осведомеността за киберсигурността е пълен с пиар акции, които се възползват от пробиви в сигурността. Ан Кътлър, изпълнителен директор по PR в Keeper Security, отговори: „Грешите. Всъщност той се нарича Месец на киберсигурността. PR екипите няма да бъдат държани настрана  и ще повишат осведомеността, независимо дали ви харесва или не. Сега вече можете да се считате за осведомени“.

The Register погледна отрезвяващо на месеца на осведомеността и присъщите му предизвикателства в „Националната програма за осведоменост по киберсигурност 18 години по-късно: Не кликвайте върху това.“

Той отрази важността на  това да се запази осведомеността за киберсигурността достатъчно техническа, за да бъде полезна, но и достатъчно проста за разбиране. Участниците в сектора трябва да преминат отвъд „Мисли, преди да кликнеш“, без да загубят аудиторията си и всички усилия, които обществеността вече полага, за да избегне фишинга.

The Register изрази необходимостта служителите с малко познания в областта на киберсигурността да се превърнат в пълноценни специалисти по сигурността. Това няма да се случи скоро. Въпреки това, когато историята обобщи идеята на „Вижте себе си в киберсигурността“, ще се види, че въпреки че сигурността е сложна, от отделните хора зависи да я накарат да работи – това е смисълът.

The Register изтъква, че хората са решението, защото хората са проблемът, като над 80 % от нарушенията са свързани с човешкия фактор, включително хора, които се хващат на фишинг атаки.

Според Register, Seeing Yourself in the Cyber Workforce напомня на организациите, наемащи киберперсонал, че финансирането на обучението се увеличава. Те трябва да го използват за новонаети служители и специалисти, които са натрупали опит след миналогодишното обучение.

Forbes разкрива порой от печални тенденции в кибератаките в „За месеца на осведомеността за киберсигурността (и Хелоуин)-няколко страшни статистики за киберзаплахите“.

Месецът за повишаване на осведомеността за киберсигурността не е оказал измерим ефект върху тенденциите за нарушения. Нарушенията са все по-често срещани и тежки. През второто тримесечие на 2022г. фишингът е бил най-зловещият с над 1 милион атаки.

Forbes отбелязва, че атаките на държавни хакери не са само за критичната национална инфраструктура, като 64% от предприятията казват, че държавни хакери са ги хакнали. Все пак системите за индустриален контрол и ОТ са в по-голяма опасност от обикновените ИТ активи.

Съвети от Месеца за повишаване на осведомеността за киберсигурността 2022

Инициативата на CISA „Четири неща, които можете да направите“ за Месеца за повишаване на осведомеността по въпросите на киберсигурността през 2022г., включваща актуализиране на софтуера, мислене преди да кликане, за да се предотврати фишинг, използване на силни пароли и активиране на многофакторно удостоверяване, беше оповестена с цел да се повлияе на поведението на крайните потребители към по-добри практики за сигурност. Но дали подобни директивни съвети действително работят?

The Register пояснява, че успехът или провалът на Месеца на осведомеността за киберсигурността зависи от начина, по който го измервате. Месецът на киберсигурността не е проработил, ако очаквате въпросът с киберсигурността да бъде решен окончателно. Ако сте се надявали, че хората и организациите ще се отнасят по-сериозно към киберсигурността, тогава месецът на осведомеността е успех.

Месецът за повишаване на осведомеността за киберсигурността и „нещата, които можете да направите“ работят достатъчно добре. Най-резултатното нещо, което трябваше да се направи, беше да се намери по-ефективно решение за фишинга, основано на хората, отвъд „мисли, преди да кликнеш“.

Под повърхността на статията в Post гласове в Twitter изясниха, че обучението по фишинг, като например лекции за изтъкване с пръст и изненадващи фишинг тестове, е нежелателно.

CISA иска партньорите от индустрията да се възприемат като част от решението, работейки заедно за изграждането на сигурна и устойчива технологична екосистема. Като разработват продукти, които да са сигурни по проект, те могат колективно да намалят риска и да защитят критичната инфраструктура, на която американците разчитат.

В статията си във Forbes Чък Брукс посочва, че въпреки месеца на осведомеността енергийният сектор и електрическата мрежа са изложени на значителен риск от атаки. Защитата на критичната национална инфраструктура срещу държавни хакери , като тези, които атакуваха Colonial Pipeline, е предизвикателство. То трябва да бъде приоритет на публичния и частния сектор, както е одобрено от CISA.

Как можем да подобрим киберсигурността през 2023г. отвъд усилията за PR?

Излизането извън рамките на Месеца за повишаване на осведомеността за киберсигурността означава, че организациите са отговорни за обучението на своите крайни потребители в областта на киберсигурността, но има и технически решения, които могат да решат проблема с лошото поведение на крайните потребители и все пак да защитят ИТ сигурността на вашите организации. Няколко бързи победи, които трябва да направите в най-скоро време:

1 – Поправете софтуера си
Организациите могат да възприемат актуализациите на софтуера като скъпоструващи и много от тях ги избягват, за да не повредят приложенията, с които работят в момента. Но за да изпълнят целите за киберсигурност през 2023г., организациите трябва да патчват софтуера си веднага след като актуализациите са налични.

2 – Блокирайте използването на нарушени пароли
Чрез сканиране на Active Directory за уязвимости, свързани с пароли, със Specops Password Auditor организациите могат да идентифицират използването на над 900 милиона слаби и нарушени пароли в своята Active Directory. Хакерите използват откраднати идентификационни данни при атаки срещу критичната национална инфраструктура. Одитите на пароли гарантират, че тези нарушени пароли не се използват във вашата организация.

3 – Одит на нивото на сигурност на използваните приложения на трети страни
Неотдавнашен доклад установи, че популярните приложения, свързани с работата, имат някои сериозни пропуски в сигурността, когато става въпрос за пароли и MFA. Направете инвентаризация на уеб приложенията, на които се доверява вашата организация, и се уверете, че MFA или поне 2FA е активирана за вашите крайни потребители.

 

 

 

Източник: The Hacker News

Подобни публикации

31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
25/05/2023

Справяне с недостига на тал...

  Нуждата от квалифициран персонал за...
22/05/2023

Платформата, която поддържа...

Години наред зловредна платформа се използва...
Последно добавени
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
31/05/2023

Как да избегнете прегарянет...

Въпреки че кибератаките се увеличават през...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!