Eine unheimlich genaue gefälschte Google-Anmeldeseite. Emma Williams, CC BY-NDEine unheimlich genaue gefälschte Google-Anmeldeseite. Emma Williams, CC BY-ND

Unternehmen werden täglich mit Phishing-Betrug bombardiert. In einer aktuellen Umfrage unter 500 Cyber-Sicherheitsexperten auf der ganzen Welt, 76% berichtet dass ihre Organisation Opfer eines Phishing-Angriffs in 2016 wurde. Das Gespräch

Diese Betrügereien haben die Form von E-Mails, die Mitarbeiter dazu bewegen sollen, schädliche Anhänge herunterzuladen, auf fehlerhafte Links zu klicken oder persönliche Daten oder andere sensible Daten anzugeben. Eine gezielte "Speer" -Phishing-E-Mail-Kampagne wurde für die Anstiftung der jüngsten Cyber-Angriff verantwortlich gemacht, die ein verursacht großer Stromausfall in der Ukraine.

Noch besorgniserregender ist, dass Phishing-Attacken heute die beliebteste Methode sind, Ransomware in das Netzwerk einer Organisation einzubringen. Dies ist eine Art von Software, die normalerweise Dateien verschlüsselt oder Computerbildschirme sperrt, bis ein Lösegeld gezahlt wird. Die geforderten Beträge sind im Allgemeinen ziemlich kleinDas bedeutet, dass viele Organisationen einfach das Lösegeld bezahlen werden, ohne natürlich eine Garantie dafür zu haben, dass ihre Systeme freigeschaltet werden. Angesichts dieser Phishing-Attacken sind die Mitarbeiter zu den Frontlinie der Cyber-Sicherheit. Die Reduzierung ihrer Anfälligkeit für Phishing-E-Mails ist daher zu einer kritischen Herausforderung für Unternehmen geworden.

Disziplinarische Probleme

Während Organisationen sich bemühen, die Bedrohung einzudämmen, ist eine Idee, die an Zugkraft gewinnt, der mögliche Einsatz von Disziplinarverfahren gegen Mitarbeiter, die auf Phishing-Mails klicken. Dies reicht vom Abschluss der Weiterbildung bis hin zu formellen Disziplinarmaßnahmen, insbesondere für sogenannte "Wiederhol-Klicker" (Personen, die mehr als einmal auf Phishing-Mails reagieren). Sie repräsentieren a besonderer Schwachpunkt in der Cyber-Sicherheit.

Innerself-Abonnieren-Grafik

Das ist nicht notwendig - noch ist es eine gute Idee. Zunächst einmal verstehen wir nicht, was Menschen dazu bringt, überhaupt auf Phishing-E-Mails zu reagieren. Die Forschung kratzt nur an der Oberfläche darüber, warum Menschen darauf reagieren können. E-Mail Gewohnheiten, Arbeitsplatz Kultur und Normen, der Grad an Wissen, den ein Individuum hat, ob ein Mitarbeiter abgelenkt ist oder unter hohem Druck steht - da ist es variiertes Verständnis von Online-RisikenDies kann beeinflussen, ob Personen zu einem bestimmten Zeitpunkt eine Phishing-E-Mail identifizieren können.

Leider bedeutet dies, dass es noch mehr Fragen als Antworten gibt. Sind einige Job-Rollen aufgrund der Art von Aufgaben, an denen sie beteiligt sind, anfälliger? Ist Training effektiv in der Aufklärung von Mitarbeitern über die Risiken von Phishing-Angriffen? Sind die Mitarbeiter in der Lage, bei Bedarf Sicherheit gegenüber anderen Anforderungen am Arbeitsplatz zu priorisieren? Unter diesen Unwägbarkeiten erscheint die Konzentration auf einen disziplinären Ansatz verfrüht und birgt die Gefahr, dass andere Bemühungen, die möglicherweise effektiver sind, nicht berücksichtigt werden.

Gezielte Phishing-Attacken werden auch für technische Benutzer immer raffinierter und schwieriger zu erkennen. Letzte Angriffe (auf PayPal und Googlezum Beispiel) demonstrieren dies.

Es ist jetzt unglaublich einfach, eine betrügerische E-Mail zu erstellen, die einer legitimen E-Mail sehr ähnlich, wenn nicht fast identisch ist. Gefälschte E-Mail-Adressen, die Einbindung genauer Logos, korrekter Layouts und E-Mail-Signaturen können es schwierig machen, eine Phishing-E-Mail von einer echten zu unterscheiden.

Bleib ruhig und mach weiter

Phisher sind auch sehr gut darin Szenarien erstellen das maximiert die Wahrscheinlichkeit, dass Leute antworten werden. Sie vermitteln ein Gefühl von Panik und Dringlichkeit durch Dinge, die Autoritätspersonen innerhalb einer Organisation nachahmen ein Gefühl der Krise schaffen. Oder sie konzentrieren sich auf mögliche negative Auswirkungen nicht zu antworten. Wenn wir erkennen, dass das Phisher-Arsenal immer raffinierter wird, wird es schwieriger zu rechtfertigen, dass Mitarbeiter bestraft werden, wenn sie Opfer ihrer Betrügereien werden.

Simulierte Phishing-Angriffe werden häufig als Mittel zur Sensibilisierung der Mitarbeiter eingesetzt. Zwar gab es Vorschläge für verbesserte Klickraten Folgen solcher ProgrammeEine umfassende Bewertung der möglichen Auswirkungen auf die Beschäftigten fehlt. Und einige der Forschung weist auf das Potenzial hin, dass Mitarbeiter den Versuch, mit der Bedrohung fertig zu werden, einfach aufgeben, da dies wie ein verlorener Kampf erscheint.

Eine Kultur der Schuld- und Viktimisierung kann auch dazu führen, dass die Mitarbeiter weniger bereit sind, ihre Fehler zuzugeben. Jedes dieser Ergebnisse wird wahrscheinlich die Beziehung zwischen dem Sicherheitspersonal eines Unternehmens und seinen anderen Mitarbeitern schädigen. Dies wiederum wird sich negativ auf die Sicherheitskultur der Organisation auswirken. Es schlägt eine Rückkehr zu einer autoritären Rolle für die Sicherheit vor, die Forschung zeigt, Es ist ein Rückschritt, wenn wir unsere Mitarbeiter in Sicherheitsinitiativen einbinden wollen.

Die Reduzierung der Phishing-Angriffe einer Organisation stellt eine komplexe und sich entwickelnde Herausforderung dar. Die aktuelle #AskOutLoud Kampagne der australischen Regierung Menschen dazu zu ermutigen, eine zweite Meinung einzuholen, wenn sie eine verdächtige E-Mail erhalten, ist ein gutes Beispiel dafür, wie mit dieser Herausforderung begonnen werden kann. Es fördert Gespräche und Erfahrungen. Mit diesem Ansatz können sich die Mitarbeiter befähigt fühlen, ermächtigt und ermutigt zu werden, Verdächtigungen zu melden, ein wesentliches Element für die Aufrechterhaltung der Cyber-Sicherheit.

Forschung ist klar Diese Cybersicherheit hängt von einem offenen Dialog, der Beteiligung von Mitarbeitern, wenn es um die Entwicklung von Lösungen und Vertrauen zwischen den Sicherheitspersonal eines Unternehmens und anderen Mitarbeitern geht. Wie das alte Klischee lautet: Du bist nur so stark wie dein schwächstes Glied. Es ist daher unerlässlich, dass alle Mitarbeiter unterstützt werden, um eine effektive Front in der Verteidigung ihrer Organisation zu sein.

Über den Autor

Emma Williams, Wissenschaftliche Mitarbeiterin, University of Bath und Debi Ashenden, Professor für Cyber-Sicherheit, University of Portsmouth

Dieser Artikel wurde ursprünglich veröffentlicht am Das Gespräch.. Lies das Original Artikel.

Bücher zum Thema

at InnerSelf Market und Amazon