Γιατί οι εταιρείες διστάζουν να επενδύσουν στην ασφάλεια τους στον κυβερνοχώρο; Γιατί γίνεται όλο και πιο δύσκολο να εντοπίσουμε cyber attacks ή να δώσουμε προσοχή σε προειδοποιητικά μηνύματα;

Πως μπορεί η συμπεριφορική επιστήμη να συμβάλει στη δημιουργία μιας σταθερής γραμμής άμυνας κατά των απατεώνων, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις της τεχνητής νοημοσύνης που διευκολύνουν την πλαστοπροσωπία;

Ενώ η πρόοδος των ψηφιακών εργαλείων μπορεί να κάνει τη ζωή και την εργασία μας ευκολότερη, αποτελεί δίκοπο μαχαίρι. Καθώς οι τεχνολογίες που χρησιμοποιούμε εξελίσσονται, το ίδιο συμβαίνει και με τις τεχνικές των cyber attackers. Ως εκ τούτου, η κυβερνοασφάλεια εξελίσσεται σε σημαντικό μέλημα για τους οργανισμούς όλων των μεγεθών. Ή τουλάχιστον για όσους οργανισμούς κατανοούν, αξιολογούν και καταμετρούν σωστά τον αντίκτυπο των κυβερνοκινδύνων.

Μέχρι στιγμής, στην κυπριακή αγορά επικρατεί το φαινόμενο σύγκρουσης συμφερόντων σε δύο επίπεδα όσον αφορά στη διαχείριση, κατανόηση και ασφάλιση κυβερνοκινδύνων. Πρώτον, η ευθύνη για το στήσιμο και λειτουργία μέτρων κυβερνοασφάλειας πέφτει εξ ολοκλήρου στη διεύθυνση πληροφοριακών συστημάτων (IT). Η ίδια ομάδα καλείται επίσης να αξιολογήσει τα συστήματα που η ίδια επέλεξε. Ως αποτέλεσμα, επικρατεί η άποψη πώς όλα λειτουργούν άπταιστα και δεν υπάρχει λόγος ανησυχίας.

Δεύτερον, ο υπεύθυνος για αποφάσεις που αφορούν εταιρικά έξοδα κι επενδύσεις είναι ο Οικονομικός Διευθυντής (CFO) o οποίος έχει ως κύριο μέλημα να μειώσει αχρείαστα έξοδα ώστε να αυξηθεί η κερδοφορία της εταιρείας. Το θέμα που προκύπτει είναι πώς δεν υπάρχει πλήρης κατανόηση και καταμέτρηση των κυβερνοκινδύνων ώστε να αξιολογηθεί ορθά το Return on Investment. Τι, ή μάλλον πόσα, έχει να χάσει ο οργανισμός από μια πιθανή κυβερνοεπίθεση; Πόσο αξίζει η προστασία των databases, η αξιοπιστία και η ομαλή λειτουργία του οργανισμού;

ΕΙΜΑΣΤΕ ΟΛΟΙ ΕΥΑΛΩΤΟΙ

Επιπλεόν, σε αντίθεση με τη δημοφιλή πεποίθηση, οι ηλικιωμένοι δεν είναι τα κύρια θύματα cyber fraud. Το 2022, άτομα ηλικίας 20-39 ετών αποτέλεσαν το 50% των ατόμων που έπεσαν θύματα απάτης, με τις επαγγελματικές απάτες, την πλαστοπροσωπία αξιωματούχων και τις ερωτικές απάτες να είναι οι πιο συνηθισμένοι τύποι cyber fraud.

Πράγματι, οι απατεώνες δεν εστιάζουν απαραίτητα στην τεχνολογική παιδεία, αλλά στην εκμετάλλευση των ψυχολογικών και γνωστικών μας μοτίβων. Χρησιμοποιούν τα συναισθήματά μας εναντίον μας, επιδιώκοντας να κερδίσουν εμπιστοσύνη και να μας ωθήσουν να τους βοηθήσουμε να μας κλέψουν, απομονώνοντας μας από τους άλλους. Μας κάνουν να νιώθουμε ότι αγαπιόμαστε, ότι δεν έχουμε χρόνο, ότι φοβόμαστε, ότι είμαστε άπληστοι κ.ό.κ. Μας οδηγούν σε “hot state” (υψηλά επίπεδα συναισθημάτων) όπου δυσκολευόμαστε να σκεφτούμε ορθολογικά και, αντ’αυτού, βασιζόμαστε σε mental shortcuts για να λάβουμε αποφάσεις που θα μας κάνουν να νιώσουμε ξανά «ασφαλείς».

Κι ενώ οι τακτικές απάτης εξελίσσονται συνεχώς παράλληλα με την τεχνολογική πρόοδο, η στρατηγική παραμένει η ίδια. Από την εποχή του Nigerian Prince, οι cyber attackers βασίζονται στη χειραγώγηση της διαδικασίας λήψης αποφάσεων των θυμάτων, εκμεταλλευόμενοι τα συναισθήματα που τους δημιουργούν.

Ως εκ τούτου, είναι σημαντικό να συνειδητοποιήσουμε ότι δεν είναι μόνο οι εξωτερικές απειλές από τις οποίες πρέπει να προστατευτούν οι οργανισμοί. Οι εργαζόμενοι αποτελούν επίσης κίνδυνο. Τα μέτρα ασφαλείας, όπως firewalls, antivirus software και cyber insurance, είναι ζωτικής σημασίας, ναι. Αλλά είναι τουλάχιστον εξίσου ζωτικής σημασίας να ανιχνεύεται και να μετριάζεται ο κίνδυνος από εσωτερικούς παράγοντες. Για να παραμείνουν ασφαλείς, οι οργανισμοί πρέπει να καλλιεργήσουν μια κουλτούρα κυβερνοασφάλειας ανάμεσα στους υπαλλήλους τους.

ΤΡΙΑ ΒΗΜΑΤΑ ΓΙΑ ΚΟΥΛΤΟΥΡΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Η Συμπεριφορική Επιστήμη έρχεται να βοηθήσει στην καλύτερη κατανόηση του τρόπου δράσης των απατεώνων και την αποτελεσματικότερη αντιμετώπισή τους με τη δημιουργία μιας κουλτούρας κυβερνοασφάλειας σε οργανισμούς όλων των μεγεθών. Η κουλτούρα κυβερνοασφάλειας αναφέρεται στις στάσεις, τις γνώσεις, τους κανόνες, τα συστήματα και τις αξίες εντός ενός οργανισμού σχετικά με την κυβερνοασφάλεια. Ουσιαστικά, καθορίζει τις αλληλεπιδράσεις των εργαζομένων με τα τεχνολογικά εργαλεία. Περιλαμβάνει τη γνώση σχετικά με τους πιθανούς κινδύνους ασφάλειας και τον τρόπο αποφυγής τους. Χωρίς μια ισχυρή κουλτούρα κυβερνοασφάλειας, το εργατικό δυναμικό μπορεί να μην έχει επίγνωση των κινδύνων και να μην λαμβάνει τα κατάλληλα μέτρα για την πρόληψη κυβερνοεπιθέσεων, αφήνοντας τα περιουσιακά στοιχεία του οργανισμού ευάλωτα σε επιθέσεις.

Τι χρειάζεται λοιπόν να κάνει ένας οργανισμός για να πετύχει το επίπεδο κυβερνοασφάλειας που πραγματικά θέλει;

1. Αποτελεσματικότερη επικοινωνία. Οι προκλήσεις σχετικά με την επικοινωνία είναι πολλές: χρήση υπερβολικά τεχνικής γλώσσας, έλλειψη ευθυγράμμισης με τα νοητικά μοντέλα των εργαζομένων για τα καθήκοντά τους ή την τεχνολογία που χρησιμοποιούν, υπερφόρτωση πληρφοριών, έλλειψη προσοχής. Το αποτέλεσμα; Άγνοια, σύγχυση και μειωμένη (εώς μηδαμινή) κατανόηση των πιθανών κινδύνων.

Η Συμπεριφορική Επιστήμη μπορεί να καθοδηγήσει το σχεδιασμό επικοινωνιακού και εκπαιδευτικού υλικού που δεν επιβαρύνει υπερβολικά και αχρείαστα τους εργαζομένους. Για παράδειγμα, για τη βελτίωση της επικοινωνίας των προειδοποιήσεων ασφαλείας, οι εταιρείες είναι προτιμότερο να χρησιμοποιούν τακτικές όπως πολυμορφία, audited dialogues και default σενάρια “εάν-τότε”. Οι πολυμορφικές προειδοποιήσεις περιλαμβάνουν την παρουσίαση του ίδιου μηνύματος σε διαφορετικές μορφές και στυλ, αλλάζοντας στοιχεία σχεδιασμού, όπως εικονίδια, χρώματα, γραμματοσειρές, ώστε να ενισχυθεί η προσοχή των χρηστών. Τα audited dialogues προτρέπουν τους εργαζόμενους να ασχοληθούν ενεργά με τα προειδοποιητικά μηνύματα, ζητώντας τους να επιβεβαιώσουν αν έχουν κατανοήσει το μήνυμα. Επιπλέον, η ύπαρξη ενός default σεναρίου “εάν-τότε” επιτρέπει στους υπαλλήλους να μην χρειάζεται να λάβουν απόφαση όταν βρίσκονται σε “hot state”. Τα σενάρια “εάν-τότε” λειτουργούν καλύτερα από τα σενάρια “μη”, επειδή, γενικά, δεν βοηθάμε τους ανθρώπους λέγοντάς τους τι να μην κάνουν όταν βρίσκονται σε σύγχυση, αλλά προτείνοντας τι να κάνουν.

2.  Κοινή ευθύνη και λογοδοσία. Οι οργανισμοί μπορούν να ενισχύσουν το αίσθημα ευθύνης και λογοδοσίας εμπλέκοντας τους εργαζόμενους στη δημιουργία πολιτικών ασφαλείας, προωθώντας τη διαφάνεια και την ανοιχτή επικοινωνία και δημιουργώντας έναν ασφαλή χώρο που αφαιρεί το στίγμα κι ενθαρρύνει τους εργαζόμενους να αναφέρουν ύποπτες δραστηριότητες και περιστατικά. Οι εργαζόμενοι θα πρέπει να γνωρίζουν το ρόλο τους στην προστασία από πιθανές απειλές και κινδύνους που αντιμετωπίζει ο οργανισμός. Η επίγνωση της δικής τους συμμετοχής δημιουργεί αίσθημα ιδιοκτησίας και ευθύνης για την ασφάλεια στον κυβερνοχώρο σε ολόκληρο τον οργανισμό.  Ένας τρόπος για να γίνει αυτό είναι ο διορισμός μιας κεντρικής επιτροπής κυβερνοασφάλειας, υπεύθυνης για τις κατευθυντήριες γραμμές κάθε τμήματος σχετικά με την ασφαλή διαχείριση δεδομένων, τη συμπεριφορά και τη λήψη αποφάσεων. Μια τέτοια συνεργατική προσέγγιση καθιερώνει ένα ισχυρό πλαίσιο κυβερνοασφάλειας που μετριάζει τους κινδύνους και προστατεύει από ενδεχόμενες παραβιάσεις.

Στο εξωτερικό εδώ και χρόνια υπάρχει ο τίτλος και ο ρόλος σε κάθε οργανισμό που φέρει τον τίτλο Chief Risk Officer (CRO), δηλαδή Διευθυντής διαχείρισης κινδύνων και είναι μέρος του C-Suite. Ο CRO είναι υπεύθυνος για την αποτελεσματική και αποδοτική διακυβέρνηση των σημαντικών κινδύνων και των σχετικών ευκαιριών για μια επιχείρηση και τα διάφορα τμήματά της. Οι CRO είναι υπόλογοι στην Εκτελεστική Επιτροπή και το Διοικητικό Συμβούλιο για την εξισορρόπηση κινδύνου και ανταμοιβής από την επιχείρηση. Σε πιο σύνθετους οργανισμούς, είναι γενικά υπεύθυνοι για το συντονισμό της προσέγγισης της διαχείρισης επιχειρηματικών κινδύνων του οργανισμού.

3.            Έμφαση στους ανθρώπους ως πρώτη γραμμή άμυνας. Πολλές παραβιάσεις δεδομένων οφείλονται σε ανθρώπινο λάθος, γι’ αυτό ακριβώς οι οργανισμοί θα πρέπει να επενδύσουν στην ενδυνάμωση του εργατικού δυναμικού τους με τις κατάλληλες δεξιότητες, ώστε να σχηματίσουν μια ισχυρή ανθρώπινη γραμμή άμυνας. Πέραν από την ανάρτηση οδηγιών για την αποφυγή κλικ σε συνδέσμους ηλεκτρονικού “ψαρέματος” ή την εκπαίδευση για τη σωστή διαχείριση κωδικών πρόσβασης, η δημιουργία κουλτούρας κυβερνοασφάλειας απαιτεί την ενσωμάτωση πρακτικών ασφαλείας στην οργανωτική δομή και την υπενθύμιση των πρακτικών αυτών στους εργαζομένους. Εκπαιδεύστε τους υπαλλήλους για τον ασφαλή χειρισμό των δεδομένων και τονίστε με συνέπεια τη σημασία της ασφάλειας στον κυβερνοχώρο. Η εξατομίκευση του θέματος μπορεί επίσης να αναδείξει τη σημασία της κυβερνοασφάλειας και να ενισχύσει τη δέσμευση, όπως ο παραλληλισμός με την προστασία των δικών τους οικονομικών ή υγειονομικών δεδομένων. Επιπλεόν, η αφήγηση ιστοριών σχετικών με κινδύνους και παραβιάσεις, μαζί με εφαρμόσιμες μεθόδους πρόληψης, είναι ένας αποτελεσματικός τρόπος συνεχής εκπαίδευσης.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ: Πώς η Τεχνητή Νοημοσύνη αλλάζει τη ζωής μας

ONWARD AND FORWARD

Η σημερινή μορφή πολλών οργανισμών διευκολύνει τη δουλειά των cyber attackers. Σύγκρουση συμφερόντων, biased decision-making, περιορισμός ευθύνης κι υπερφόρτωση πληροφοριών εμποδίζουν τη δημιουργία μιας σταθερής γραμμής άμυνας κατά των κυβερνοεπιθέσεων. Όμως, με την ενσωμάτωση επιστημονικών προσεγγίσεων έπειτα από behavioral audit, κάθε οργανισμός μπορεί να μειώσει κατά πολύ την πιθανότητα επιτυχημένων κυβερνοεπιθέσεων εις βάρος του. Βασικοί πυλώνες της ολιστικής προσέγγισης κυβερνοασφάλειας είναι η αποτελεσματικότερη επικοινωνία, δημιουργία αισθήματος κοινής ευθύνης, και η έμφαση στην ενδυνάμωση του ανθρώπινου δυναμικού σε θέματα κυβερνοασφάλειας. Άλλωστε, η κυβερνοασφάλεια είναι περίπτωση win-win-win.

ΔΡ ΜΕΛΙΝΑ ΜΟΛΕΣΚΗ – BEHAVIORAL ECONOMIST | MANAGERIAL DECISION SCIENTIST,

 ΑΡΗΣ ΛΕΟΝΤΙΟΥ – GENERAL MANAGER, AON CYPRUS,

ΑΝΔΡΕΑΣ ΖΑΡΙΦΗΣ, ACII – HEAD OF CORPORATE CLIENTS, AON CYPRUS

Από το περιοδικό Insider (Τεύχος Ιουλίου)