Ақпараттық қауіпсіздік туралы ақпараттандыру - Information security awareness

Ақпараттық қауіпсіздік туралы хабардар болу дамып келе жатқан бөлігі болып табылады ақпараттық қауіпсіздік қарқынды дамып келе жатқан түрлерінің ықтимал тәуекелдері туралы сананы көтеруге бағытталған ақпарат және адамның мінез-құлқына бағытталған ақпаратқа тез дамып келе жатқан қатерлер. Қауіп-қатерлер жетіліп, ақпарат көбейген сайын, шабуылдаушылар өздерінің мүмкіндіктерін арттырып, кеңірек ниеттерге дейін кеңейіп, шабуыл тәсілдері мен әдістемелерін дамытып, әртүрлі мотивтермен әрекет етеді. Ақпараттық қауіпсіздікті басқару мен процестер жетілгендіктен, бақылау мен процестерді айналып өту үшін шабуылдар жетілді. Қаскүнемдер корпоративті желілер мен маңызды инфрақұрылымдық жүйелерді бұзу үшін адамның мінез-құлқын мақсатты түрде пайдаланды және сәтті пайдаланды. Ақпарат пен қауіп-қатер туралы білмейтін мақсатты адамдар қауіпсіздіктің дәстүрлі бақылаулары мен процестерін айналып өтіп, ұйымның бұзылуына жол беруі мүмкін. Бұған жауап ретінде ақпараттық қауіпсіздік туралы түсінік жетілу үстінде. Киберқауіпсіздік бизнестің проблемасы ретінде күн тәртібінде басым болды бас ақпараттық қызметкерлер (CIO), қазіргі кездегі киберқауіптілік ландшафтына қарсы шаралар қолдану қажеттілігін анықтайды.[1] Ақпараттық қауіпсіздік туралы хабарлаудың мақсаты - барлығына өздерінің қазіргі қауіп-қатер жағдайындағы мүмкіндіктер мен сын-қатерлерге сезімтал екенін, адамдардың қауіп-қатер әрекеттерін өзгерту және қауіпсіз ұйымдастырушылық мәдениетті құру немесе арттыру туралы хабарлау.

Фон

Ақпараттық қауіпсіздік туралы ақпарат - ақпараттық қауіпсіздіктің бірнеше негізгі қағидаларының бірі. Ақпараттық қауіпсіздік туралы хабардарлық адамдардың қауіпті мінез-құлықтарын, сенімдері мен ақпараттарға деген көзқарастарын түсінуге және арттыруға, сонымен қатар тез дамып келе жатқан қатерлерге қарсы шара ретінде ұйымдық мәдениетті түсінуге және арттыруға тырысады. Мысалы, ЭЫДҰ Келіңіздер Ақпараттық жүйелер мен желілерді қорғау жөніндегі нұсқаулық[2] жалпы қабылданған тоғыз принципті қамтиды: хабардарлық, жауапкершілік, жауап беру, этика, демократия, тәуекелді бағалау, қауіпсіздікті жобалау және енгізу, қауіпсіздікті басқару және қайта бағалау. Контекстінде ғаламтор, сананың бұл түрі кейде деп аталады киберқауіпсіздік көптеген бастамалардың, оның ішінде АҚШ-тың Ұлттық қауіпсіздік министрлігі Ұлттық киберқауіпсіздік туралы ақпараттандыру айлығы[3] және президент Обаманың 2015 жылы Ақ үйдегі киберқауіпсіздік және тұтынушылардың құқықтарын қорғау жөніндегі саммиті.[4]

Компьютерлік қылмыстар біз үшін жаңалық емес. Бізде вирустар 20 жылдан астам уақыт болды; шпиондық бағдарламалар алғашқы оқиғалардан бастап он жылдан астам уақытты құрады; Фишингтің кең ауқымды қолданылуы кем дегенде 2003 жылдан бастау алады. Бір кезде зерттеушілер ақпараттық жүйеде қарқын дамып, кеңейіп келеді деген пікірге келді қауіпсіздік туралы ақпараттандыру қызметкерлер арасындағы бағдарлама артта қалуда. Алайда, өкінішке орай, онлайн-сервистерді жылдам қабылдау қауіпсіздік мәдениетінің тиісті құшағымен сәйкес келмеген сияқты.[5]

Эволюция

Ақпараттық қауіпсіздік туралы ақпарат кибершабуылдардың дамып келе жатқан сипатына, жеке ақпараттың бағытталғандығының жоғарылауына және ақпараттық қауіпсіздікті бұзудың құны мен масштабына жауап ретінде дамып келеді. Сонымен қатар, көптеген адамдар қауіпсіздікті техникалық бақылау тұрғысынан ойлайды, өйткені олар жеке тұлға ретінде мақсат болатындығын және олардың мінез-құлқы тәуекелдерді көбейтетіндігін немесе қауіп-қатерлер мен қауіп-қатерлерге қарсы шараларды қамтамасыз ететіндігін түсінбейді.

Ақпараттық қауіпсіздік туралы хабардарлықты анықтау және өлшеу дәл көрсеткіштер қажеттілігін көрсетті. Осы қажеттілікке жауап ретінде ақпараттық қауіптіліктің көрсеткіштері адамның қауіп-қатер ландшафтын түсіну және өлшеу, адамның түсінігі мен мінез-құлқын өлшеу және өзгерту, ұйымдастырушылық тәуекелді өлшеу және азайту, қарсы қауіпсіздік шарасы ретінде ақпараттық қауіпсіздік туралы хабардар етудің тиімділігі мен құнын өлшеу мақсатында қарқынды дамып келеді.[6]

Ұйымдардың көпшілігі ақпараттық қауіпсіздікке ақша салғысы келмейді. PricewaterhouseCoopers (2014) жүргізген сауалнама қазіргі жұмысшылар (31%) және бұрынғы қызметкерлер (27%) әлі күнге дейін ақпараттық қауіпсіздік оқиғаларына ықпал ететіндігін анықтады. Сауалнама нәтижелері көрсеткендей, қызметкерлерге қатысты нақты оқиғалар саны 2013 жылғы зерттеуге қарағанда 25% -ға артты.[7]

Қауіпсіздік туралы хабардар ету бағдарламасының қажеттілігі

Қауіпсіздік туралы хабардар ету бағдарламасы ұйымның ішкі қызметкерлер тудыратын қауіпсіздік қатерлерін азайту үшін қабылдауы мүмкін ең жақсы шешім болып табылады. Қауіпсіздік туралы хабардар ету бағдарламасы қызметкерлерге ақпараттық қауіпсіздік жеке адамның міндеті емес екенін түсінуге көмектеседі; бұл әркімнің міндеті. Бағдарламада сондай-ақ қызметкерлер өздерінің жеке басын сәйкестендіру бойынша жүзеге асырылатын барлық іс-шараларға жауапты екендігі туралы нақты айтылған. Сонымен қатар, бағдарлама іскери компьютерлермен жұмыс істеудің стандартты тәсілдерін қолданады.

Ұйымдарда қауіпсіздік туралы хабардар ету бағдарламасын ұсынудың стандартты әдісі қабылданбағанымен, жақсы бағдарламаға мәліметтер, желі, пайдаланушылардың мінез-құлқы, әлеуметтік медиа, мобильді құрылғылар мен WiFi пайдалану, фишингтік хаттар, әлеуметтік инженерия және вирустардың әр түрлі түрлері туралы хабардар болу қажет. зиянды бағдарлама. Қызметкерлердің қауіпсіздігі туралы ақпараттандырудың тиімді бағдарламасы ұйымдағы барлық адамдар АТ қауіпсіздігі үшін жауап беретіндігін анық көрсетуі керек. Аудиторлар бағдарламада қамтылған алты салаға: мәліметтер, желілер, пайдаланушылардың мінез-құлқы, әлеуметтік медиа, мобильді құрылғылар және әлеуметтік инженерияға мұқият назар аударуы керек.[8]

Көптеген ұйымдар өздерінің құпиялылық саясатын өте күрделі етеді, сондықтан әр түрлі қызметкерлер әрдайым осы ережелерді түсінбейді. Құпиялылық саясаты - бұл жұмыскерлер компьютерге кірген сайын ескерту керек. Құпиялылық саясаты түсінікті және құпиялылық тәжірибесін салыстыруға мүмкіндік беру үшін неғұрлым айқын, қысқа және стандартталған болуы керек.[9] Ұйымдар барлық қызметкерлерге әр апта сайын қауіпсіздік пен қатерлер туралы айту үшін интерактивті сессиялар құра алады. Интерактивті сабақтар жаңа қауіп-қатерлер туралы хабардарлықты, озық тәжірибелер мен сұрақтар мен жауаптарды қамтуы мүмкін.

Қауіпсіздік туралы хабардар ету бағдарламасы тиімді болмауы мүмкін, егер ұйым бұзушыларға жаза қолданбаса. Бағдарламаны бұзғаны үшін кінәлі деп танылған қызметкерлерге одан әрі шаралар қолдану үшін жоғары тұрған басшыларға хабарлау керек, әйтпесе бағдарлама тиімді болмайды. Ақпараттық қауіпсіздік органдары бағдарламадағы кемшіліктерді анықтау үшін олқылықтарды талдауы мүмкін.

Ағымдағы күй

2015 жылдың басынан бастап CIO ақпарат қауіпсіздігі туралы мәселелерді стратегиялық басымдық ретінде бағалады. Мысалы, 2015 жылдың ақпанында Wall Street Journal CIO желілік іс-шарасы келесі жылы бизнесті және саясатты жүргізу үшін басымдықты ұсыныстар жиынтығын құру үшін жиналды, киберқауіпсіздік пен өзгерісті бизнестің қалған бөлігімен тиімді байланыс орнату арқылы консенсус қалыптасқандай болды.[10]

Ақпараттық қауіпсіздік туралы хабардар болу және атышулы бұзушылықтар көптеген ұйымдардың күн тәртібінде тұрса да, Ланс Спритцнердің қауіпсіздік туралы 220 офицерге жүргізген соңғы зерттеуі осыған байланысты үш маңызды нәтижені анықтады. Біріншіден, қауіпсіздікті қамтамасыз ету бағдарламасын ойдағыдай орындау үшін атқарушы және қаржылық қолдау қажет. Екіншіден, қауіпсіздікке қарсы дәстүрлі бақылау мен қарсы шаралардың техникалық сипатына байланысты адамның мінез-құлқын түсінуге және өзгертуге қажетті жұмсақ дағдылар жетіспейді, сайып келгенде, жетілу моделі тұрғысынан қауіпсіздік туралы хабардарлық әлі қалыптасу кезеңінде.[11]

Өлшеу проблемасы

Адам тәуекелінің мінез-құлқын тиімді өлшеу қиын, өйткені қауіпті мінез-құлық, сенім мен қабылдау жиі белгісіз. Сияқты шабуылдар фишинг, әлеуметтік инженерия, және ақпараттың ағып кетуі және әлеуметтік медиа сайттарында жарияланған құпия мәліметтер, тіпті бұзушылықтар анықталмай, белгісіз болып қалу сияқты оқиғалар сәтсіздік нүктелерін анықтау мен өлшеуді қиындатады. Көбінесе шабуылдар, инциденттер мен бұзушылықтар шабуылшылар іздерін жауып тастағаннан кейін ымыраға ұшыраған ұйымның сыртында әрекет етеді немесе олар туралы хабарлайды, сондықтан оларды белсенді түрде зерттеуге және өлшеуге болмайды. Бұған қоса, зиянды трафик көбіне байқалмайды, өйткені шабуылдаушылар кіруді анықтау немесе бақылау ескертулеріне кіруге жол бермеу үшін шпиондық етеді және белгілі әрекеттерді имитациялайды.

2016 жылғы зерттеу қауіпсіздік туралы хабардарлықты өлшеу әдісін жасады.[12] Нақтырақ айтқанда, олар «қауіпсіздік протоколдарын айналып өту, жүйелердің жоспарланған функцияларын бұзу немесе құнды ақпарат жинау және ұсталмау туралы түсінікті» өлшеді (38-бет). Зерттеушілер әртүрлі қауіпсіздік сценарийлерін топтарға ұйымдастыра отырып, мамандар мен жаңадан бастағандарды ажырата алатын әдіс жасады. Сарапшылар бұл сценарийлерді орталықтандырылған қауіпсіздік тақырыптары бойынша ұйымдастырады, мұнда жаңадан келгендер сценарийлерді үстірт тақырыптар негізінде ұйымдастырады.

Қайда имитацияланған фишинг науқан үнемі өткізіліп тұрады, олар пайдаланушының сәйкестігін қамтамасыз ете алады.[13]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ «CIO-лар өздерінің 5 стратегиялық басымдықтарын атады. Таңертең жүктеу: қауіпсіздік пен қауіп-қатер дәуіріндегі CIO күн тәртібінде басымдық бар».
  2. ^ «oecd.org» (PDF). Алынған 2015-02-14.
  3. ^ «АҚШ-тың Ұлттық қауіпсіздік департаменті». Алынған 2015-02-14.
  4. ^ «Президент Обама киберқауіпсіздік және тұтынушылардың құқықтарын қорғау мәселелері бойынша Ақ үйдегі саммитте сөйледі».
  5. ^ Фернелл, Стивен (2008). «Соңғы пайдаланушының қауіпсіздік мәдениеті: ешқашан алынбайтын сабақ?». Компьютерлік алаяқтық және қауіпсіздік. 2008 (4): 6–9. дои:10.1016 / S1361-3723 (08) 70064-2.
  6. ^ «https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf» (PDF). scadahacker.com. Алынған 2015-04-25. Сыртқы сілтеме | тақырып = (Көмектесіңдер)
  7. ^ Да Вейга, Аделе; Мартинс, Нико (2015). «Кейс-стади арқылы бейнеленген іс-шараларды бақылау және енгізу арқылы ақпараттық қауіпсіздік мәдениетін арттыру». Компьютерлер және қауіпсіздік. 49: 162–176. дои:10.1016 / j.cose.2014.12.006. hdl:10500/21765.
  8. ^ «Қызметкерлердің қауіпсіздігі туралы хабардар ету бағдарламасын бағалау». iaonline.theiia.org. Алынған 2015-04-25.
  9. ^ «FTC тұтынушыларының құпиялылық жүйесі және келесі қадамдар. - Тегін онлайн кітапхана». www.thefreelibrary.com. Алынған 2015-04-25.
  10. ^ «CIOs өздерінің ең маңызды 5 стратегиялық басымдықтарын атады».
  11. ^ «SANS адам қауіпсіздігі туралы есеп беруді қамтамасыз етеді».
  12. ^ Джибони, Джастин Скотт; Прудфут, Джеффри Гейнер; Гоэль, Санджай; Валачич, Джозеф С (2016). «Қауіпсіздік саласындағы сараптаманы бағалау шарасы (SEAM): хакерлік сараптама шкаласын жасау». Компьютерлер және қауіпсіздік. 60: 37–51. дои:10.1016 / j.cose.2016.04.001.
  13. ^ Р, Кейт. «Фишинг мәселесі». Ұлттық киберқауіпсіздік орталығы. GCHQ. Алынған 12 қыркүйек 2018.

Сыртқы сілтемелер