Alustan seda blogi jutukesega:
Sarah vaatas oma pilguga üle e-kirja pealkirja, mis kõlas: „URGENT: Payment Needed – Action Required“. Oli reede kell 16.00 ja saatja väljal seisis peadirektori nimi. Sõnum oli konkreetne ja otsekohene:„Tere Sarah, peame selle makse tegema enne tänase tööpäeva lõppu, muidu kaasnevad meile lisakulud. Vaata makseinfot lisatuna. See puudutab Projekti Phoenix ja eelmisel nädalal tulukõnes mainitud ühinemist. Olen pidevalt koosolekutel advokaatide ja teistega, nii et mul pole aega rohkem selgitada. Palun tegele sellega aga ASAP.“Sarah kõhus keeras ärevusest ja süda hakkas paanikas kiiremini lööma. Hetkeks tundis ta, et oli sarnast sõnumit varem näinud, tõenäoliselt eelmise aasta küberturbe teadlikkuse koolitusel. Kuid praeguseks oli see koolitus muutunud eluta PowerPointi slaidide, unustamatute ekraanipiltide ja igavate valikvastustega küsimuste segaduseks, mis olid täis kummalisi termineid ja mõisteid.Pealegi, Projekt Phoenix oli reaalne, nagu ka ühinemine. Toon ei erinenud liiga palju hiljutiste sisejuhendite karmidest korraldustest. Ja lisaks, „kes ma olen, et kahtluse alla seada või teist korda läbi mõelda peadirektori korraldusi?“, mõtles ta. Surve all ja võimu näpunäidetele vastuvõtlik, Sarah eiras oma kõhklusi, tegi nagu kästi ja tegi korralikult rahaülekande.Esmaspäevaks oli reaalsus käes: umbes 200 000 USA dollarit kadus petturite kontrolli all olevasse offshore kontosse. E-kiri? Võltsitud ja kokku pandud pressiteadetest ja LinkedIni postitustest kogutud teabe põhjal. Tänapäeval pole see kaugeltki võimatu ühelegi petisele, kes oma soola väärt on. Lõppkokkuvõttes ületas inimpsühholoogia turvapoliitika.
Kuigi see hoiatav lugu on väljamõeldis, kujutab see küll stsenaariumi, mis sageli kordub ärimeilipettuste (Business Email Compromise – BEC) õudusunenäos. Need skeemid ei tugine tehnilisele võltsingule; selle asemel rõhuvad nad sellele, mis teeb meist inimesed, tuues lõpuks petturitele tohutut kasumit. FBI andmetel maksis BEC-pettus aastatel 2013–2023 organisatsioonidele kogu maailmas 55,5 miljardit USA dollarit.
Las see arv mõjub.
Haava lahtirebimise aeg
Ülaltoodud lugu paljastab suure probleemi: isegi kõige kohusetundlikumad töötajad kipuvad unustama, mida nad küberturbe koolitusel „õppisid“. Kuivad PowerPoints, kohustuslikud viktoriinid ja vastavusloendid on sageli unustatavad ja tüütud. Paljud sellised teadlikkuse programmid annavad vaid keskpäraseid tulemusi, samal ajal kui nad ei käsitle juurpõhjust: käitumist. Töötajad taluvad koolitust lihtsalt selleks, et sellest üle saada, säilitades vähe ja rakendades praktikas veelgi vähem.
See on murettekitav, sest küsimus pole selles, kas töötajad satuvad rünnaku alla – vaid selles, kas nad on valmis, kui surve kasvab. Ja paljud ilmselt pole, nagu näitab näiteks Verizoni viimane andmetega rikkumiste uurimisraport (DBIR), mis ütleb, et üle kahe kolmandiku andmerikkumistest hõlmab inimlikku viga. Keegi nagu Sarah nõustus ja klõpsas – ja tegi vea.
Kujutage ette tulekahjuõppusi, kus töötajad kuulavad loengut põlemisteooriast, selle asemel et hoonest evakueeruda. Kui tõeline hädaolukord tekib, võivad nad põleda, käes oma osalustunnistused. Miks siis „koolitada“ inimesi küberrünnakutest ellu jääma abstraktsete poliitikatega, selle asemel et kaasata ja simuleerida kogemust? Miks allutada oma töötajaid igavale koolitusele, mis tõenäoliselt ebaõnnestub hetkel, kui surve kasvab?
Vasturohi
Ei, asi pole selles, et meie ajusid laisad on – nad on tegelikult üsna tõhusad. Iga päev töötleb igaüks meist sadu sõnumeid, klõpsates, jagades ja reageerides minimaalse hõõrdumisega. Informatsiooni uputuse keskel oleme tingitud kiiretest otsustest, mis sageli eelistavad kiirust kõigele muule, sealhulgas turvalisusele.
Kuid selle asemel, et saata valjemaid hoiatusi või korrata samu vanu viktoriine, nõuab lahendus ajude „häkkimist“. Täpsemalt, see hõlmab tehnikate kasutamist, mis aitavad ümber programmeerida otsustamisradu ja õpetada meid oma harjumuslikke reaktsioone peatama – või isegi uusi harjumusi mõnesse meie käitumisse sisse ehitama. Meie ajusid kipuvad energiat säästma kuivad faktid, kuid nad haaravad rõõmuga kinni emotsionaalselt laetud, osaluspõhistest kogemustest.
Siin saavad aidata realistlikud simulatsioonid ja hästi läbimõeldud gamification, laenates elemente videomängudest, mis loomulikult ajusid kaasavad. Tegelikult, olgu selleks teie spordirakendus, mis muudab treeningud staatuse mängudeks, või sotsiaalmeedia rakendused, mis rahuldavad meie kinnituse vajadust toetustega, paljud teie igapäevased rakendused sisaldavad juba mõningaid gamificationi aluspõhimõtteid. Mängumehaanikat kasutatakse ka suure eduga capture the flag võistlustel, millega lugematud IT-spetsialistid igal aastal innukalt liituvad.
Loodud lugude jaoks
Üks peamisi viise oma organisatsiooni turvalisuse parandamiseks (ilma igasuguse viiteta mängule) hõlmab jutustamise jõu kasutamist. Lood on palju enamat kui lihtsalt aja surnuks löömise viis – nad on alati aidanud meil maailma mõista ja isegi ellujäämisstrateegiaid jagada. Nad ergutavad aju naudinguid ja emotsionaalseid piirkondi, muutes lõpuks hoiakuid ja käitumist.
Nii et on loogiline, et selle ellujäämisvahendi jõudu kasutatakse üha enam ellujäämiseks tänapäeva digitaalses džunglis, eriti gamificationi kaudu. Kui turbe väljakutsed on põimitud haaravaks looüleseks, mis esitab ohte tegelastena, turvameetmeid tööriistadena ja töötajaid kangelastena, võivad mälu moodustumine ja meeldetuletus märkimisväärselt suureneda.
Samal ajal pakuvad realistlikud phishing simulatsioonid praktilist õpet ja aitavad lihasmälu luua. Nad mitte ainult ei õpeta – nad testivad ja tugevdavad õigeid käitumisviise kontekstis ja ohutus keskkonnas. Stsenaariumi-põhine õpe ja realistlikud simulatsioonid asetavad töötajad olukordadesse, mis peegeldavad tegelikke ohte ja äratavad turbe kontseptsioonid ellu, aidates luua emotsionaalseid mäluanchreid, mis püsivad kaua pärast koolituse lõppu. Skeemide levik, mis hõlmavad deepfake’e ja muid tehisintellektiga abistatud trikke, suurendab veelgi kiireloomulisust – mõelge vaid sellele juhtumile kõigest paar nädalat tagasi, kus finantsekspert maksis 25 miljonit USA dollarit pärast videokõnet vanemate töötajate deepfake versioonidega.
Tšekist šahhimatini
Nii et kujutage ette, et Sarah, seistes silmitsi selle kiire e-kirjaga, ei paanitse; selle asemel ta peatub. Ta tunnistab punaseid lippe, sest ta on oma kaasahaaraval turbekoolitusel sarnaste stsenaariumitega kokku puutunud. Ta on lihasmälu üles ehitanud, et peatuda, mõelda ja tegutseda enne tegutsemist. Lõpuks, selle asemel, et kanda raha üle küberkurjategijale, teavitab ta turvameeskonda keerukast rünnakukatsest, muutes potentsiaalselt piinliku apsaka (millele järgneb ebasoodne meediakajastus edukast küberintsidendist) võimsaks õppimishetkeks temale ja kogu ettevõttele.
Lõppeesmärk pole mitte ainult vastavus – vaid see, et turbehuvid jääksid püsima ja muutuksid peaaegu sama instinktiivseks kui tule eest eemaletõmbumine.
Miks mitte proovida ESETi küberturbe teadlikkuse koolitust, mis paneb ettevõtte üle 30-aastase küberturbe kogemuse põhjalise koolituslahendusena ning pakub uuenduslikku ja kaasahaaravat sisu igas suuruses organisatsioonidele?
