Nul
“Mensen zijn een zeer belangrijk onderdeel van onze cyber verdediging,” zegt Lynwen Connick, chief information security officer (CISO) van het ANZ Banking Group.
“Ik hou echt van om te denken dat we kunnen werken met mensen, en mensen helpen met een van de sterkste schakels in onze cybersecurity arsenaal.”
Connick sprak bij SWIFT ‘s Sibos wereldwijde financiële diensten conferentie in Sydney op dinsdag, in een paneldiscussie met de titel’ Kunnen we ooit tegen de zwakste schakel in de cyber-security — De mensen?”. Ze was niet de enige van de panelleden noemen de positieve, op zijn minst gedeeltelijk.
“Ik geloof nog steeds in veel opzichten is dat een mens kan uw beste voordeel, maar op hetzelfde moment dat ze duidelijk de zwakste schakel,” zei John Hibbs, business information security officer bij Bank of America Merrill Lynch.
“Zie je deze ongelooflijk staat natie-staat, acteurs, ze kunnen bijna alles, en ze zijn allemaal het verzenden van phishing e-mails. Dus waarom zouden ze dat doen? Ze weten dat iemand gaat op, toch?”
Zelfs met de beste phishing awareness programma ‘ s, als je het kan verminderen de click-through rate tot drie procent je doet het goed, zei hij.
“Maar de economie van het verzenden van een phishing e-mail zijn, zoals, nul, toch? Dus ik stuur een honderd, duizend, een miljoen, tien miljoen, het maakt niet uit. Ik zal het gewoon blijven doen omdat iemand op.”
Hibbs zei dat als hij zou kunnen nemen van de mensen uit de lus dan het risico zou dalen tot nul, maar het is duidelijk dat het onverenigbaar is met de realiteit van de menselijke communicatie binnen en tussen organisaties gemaakt, je weet wel, de mens.
“Ik denk dat we altijd in die toestand. Terwijl we dat doen moeten ze meer vitale leden van het team moeten we het veranderen van de cultuur, die is zeer kritisch te verminderen, maar er zal altijd een risico.”
Maar gericht op phishing bewustzijn, opleiding en dergelijke “te veel van een tactisch antwoord”, aldus Valerie Abend, die heads-up van Accenture global cyber regulerende diensten.
“Om vooruit te komen, die meer dan gewoon concentreren op die phishing aspect en geen verdere risico’ s, de slechte jongens zijn net gaan houden graag slimmer willen zijn dan ons. We hebben een beetje strategisch op waar we de nadruk verhogen van het niveau van de aandacht en het bewustzijn,” Abend zei.
Bewustmaking en anti-phishing campagnes zijn belangrijk, zei ze, maar organisaties moeten het verhogen van het niveau van raad van bestuur en het senior management betrokkenheid in het beheer van het risico.
“Ik noem het de ‘uitbreiding van onze cyber tent’, zei ze.
“Terwijl ik diep van technische vaardigheden, wat we missen zijn de mensen die het begrip en de context van hoe het risico te nemen en daadwerkelijk te vertalen voor het senior management en de raad. En om ons in staat om daadwerkelijk te krijgen op dat punt zijn we juist te verruimen onze cyber tent.”
Wat Abend betekent een toename van de diversiteit van het talent basis om een diversiteit van denken.
Er zijn manieren dat techniek kan helpen bij het verminderen van de menselijke risicofactoren. Het gaat over de versterking van het gehele ecosysteem, volgens Nandkumar Saravade, chief executive officer ReBIT, de IT-dochter van de Reserve Bank van India.
“Ik wil niet somber, maar ik denk dat het probleem van phishing is niet van plan om weg te gaan met welk bedrag van de training gedaan wordt, want als er een spearphishing aanval die is gemaakt om die persoon van belang is, dan is de kans dat het lukt,” Saravade zei.
Probleem hardware tokens voor alle medewerkers en de phishing succes geworden “onbeduidend”, zei hij, en Indiase consumenten zijn nu wennen aan het gebruik van one-time wachtwoorden voor e-commerce transacties.
Saravade ook aanbevolen de implementatie van DMARC te verifiëren e-mails, die “elimineert het probleem van vervalste e-mails”. De britse National Cyber Security Centrum (NCSC) heeft al gebruik gemaakt van deze aanpak met succes over de BRITSE regering domeinen.
Al deze panelleden hebben gelijk, natuurlijk. Phishing zal blijven omdat het werkt. Mensen zijn zowel een zwakte en een sterkte, en die menselijke eigenschap domineert neer op de organisatorische cultuur, evenals hun niveau van bewustzijn en training.
Wat de panelleden gemist, echter, werd het belang van een organisatorische gier dat geeft medewerkers de tijd om na te denken over de e-mails die ze ontvangen en toestemming te vragen het bericht.
Veel corporate security awareness programma ‘ s mislukken omdat er geen echte motivatie voor werknemers om zelfs de zorg.
“Als je een lage betrokkenheid op het niveau van uw medewerkers, u bent effectief te zeggen, ‘ik wil dat je om te veranderen van je gedrag, en ik weet dat je don’ t give a shit over het bedrijf, maar doen het toch.’ Je vraagt medewerkers om zich volledig belangeloos voor een bedrijf dat ze zich geen verbinding met,” zei James Turner, oprichter van CISO Lens, eerder dit jaar.
Als de Universiteit van Otago gerapporteerd drie jaar geleden, toen werknemers viel voor een phish, meestal werden ze uit de buurt van hun bureau, met behulp van mobiele apparaten die niet per se display de e-mail. Het gebeurde meestal buiten kantooruren, te, ofwel laat op de avond, toen ze moe werden, of in het eerste ding in de ochtend toen ze bezig waren aan het begin van hun huishouden de dagelijkse routine.
En als Australië ‘ s Defence Science and Technology Group (DST) heeft ontdekt, mensen uit landen geassocieerd met hogere niveaus van het individualisme waren beter in het spotten van kwaadaardige e-mails, vermoedelijk omdat ze meer comfortabel met het ondervragen van hun schijnbare autoriteit.
Mensen zijn de sterkste schakel. Als Alastair MacGibbon, nu het hoofd van de Australische Cyber Security Centrum (ACSC), heeft eerder gezegd, kunnen ze de grote menselijke firewall. Maar ze moeten een reden hebben om de give a damn.
Verwante Dekking
Deze nieuwe phishing-aanval maakt gebruik van een oude truc om te stelen van wachtwoorden en credit kaart details
De belastingdienst is niet biedt u een volledige terugbetaling via e-mail, sorry.
Phishing waarschuwing: Een op de honderd e-mails is nu een hack poging,
En slechts één fout in gevaar kunnen brengen een hele organisatie.
Cyber security: een Natie-staat cyberaanvallen bedreigen iedereen, waarschuwt ex-baas GCHQ
Het citeren van de russische cyber-aanvallen en WannaCry, ex-GCHQ directeur Robert Hannigan zegt natie-staat campagnes zijn geworden “een probleem voor iedereen”
Noord-Korea is de meest vernietigende dreiging cyber nu: FireEye
DVK hackers zijn cybering elke manier die ze kunnen, en volgens FireEye hun vernielzucht en onvoorspelbaarheid maakt ze gevaarlijk.
Hier is wat er gebeurt tijdens een ‘social engineering’ cyber-aanval (TechRepublic)
BioCatch s VP Frances Zelazny, legt elke stap van ‘social engineering’ hacks, low-tech cyberaanvallen die een grote impact hebben op het bedrijfsleven.
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters
0