Laman masuk Google palsu yang sangat unik. Emma Williams, CC BY-NDLaman masuk Google palsu yang sangat unik. Emma Williams, CC BY-ND

Perusahaan dibombardir dengan penipuan phishing setiap hari. Dalam sebuah survei terbaru terhadap lebih dari profesional keamanan cyber 500 di seluruh dunia, 76% melaporkan bahwa organisasi mereka menjadi korban serangan phishing di 2016. Percakapan

Penipuan ini berupa email yang mencoba membujuk staf untuk mendownload lampiran berbahaya, klik tautan cerdik, atau berikan data pribadi atau data sensitif lainnya. Kampanye email phishing yang ditargetkan "tombak" disalahkan karena menghasut serangan cyber baru-baru ini yang menyebabkan a pemadaman listrik utama di Ukraina.

Yang lebih mengkhawatirkan lagi, serangan phishing sekarang merupakan cara paling populer untuk mengirimkan uang tebusan ke jaringan organisasi. Ini adalah jenis perangkat lunak yang biasanya mengenkripsi file atau mengunci layar komputer sampai uang tebusan dibayar. Jumlah yang diminta adalah umumnya cukup kecil, artinya banyak organisasi hanya akan membayar uang tebusan tanpa, tentu saja, jaminan bahwa sistem mereka akan dibuka. Dalam menghadapi serangan phishing ini, karyawan telah menjadi garis depan keamanan cyber. Mengurangi kerentanan mereka terhadap email phishing oleh karena itu menjadi tantangan penting bagi perusahaan.

Masalah disiplin

Seiring organisasi berjuang untuk mengatasi ancaman tersebut, satu gagasan yang mendapatkan daya tarik adalah potensi penggunaan prosedur disipliner terhadap staf yang mengklik email phishing. Ini berkisar dari selesainya pelatihan lebih lanjut untuk tindakan disiplin formal, terutama untuk apa yang disebut "clickers berulang" (orang-orang yang merespons email phishing lebih dari satu kali). Mereka mewakili a titik lemah tertentu dalam keamanan maya

grafis berlangganan batin

Ini tidak perlu - atau memang ide bagus. Sebagai permulaan, kami masih belum mengerti apa yang menyebabkan orang merespons email phishing. Penelitian hanya menggaruk permukaan mengapa orang meresponsnya. Kebiasaan email, tempat kerja budaya dan norma, tingkat pengetahuan yang dimiliki seseorang, apakah seorang karyawan terganggu atau berada di bawah tekanan tinggi - ada Beragam pemahaman akan risiko online, yang semuanya dapat mempengaruhi apakah orang dapat mengidentifikasi email phishing pada titik waktu tertentu.

Sayangnya, ini berarti masih banyak pertanyaan daripada jawaban. Apakah beberapa peran pekerjaan lebih rentan karena jenis tugas yang mereka ikuti? Apakah pelatihan efektif dalam mendidik staf tentang risiko serangan phishing? Apakah karyawan dapat memprioritaskan keamanan atas tuntutan pekerjaan lain bila diperlukan? Di antara hal-hal yang tidak diketahui ini, dengan fokus pada pendekatan disipliner tampak terlalu dini dan berisiko mengesampingkan upaya lain yang mungkin lebih efektif.

Serangan phishing yang ditargetkan juga menjadi semakin canggih dan sulit dikenali, bahkan untuk pengguna teknis. Serangan baru-baru ini (di PayPal dan Google, misalnya) menunjukkan ini.

Sekarang sangat mudah untuk membuat email palsu yang terlihat sangat mirip, jika tidak hampir identik, dengan yang sah. Alamat email palsu, penggabungan logo yang akurat, layout yang benar dan tanda tangan email, semuanya dapat mempersulit untuk membedakan email phishing dari yang asli.

Tetap tenang dan berjalan

Phisher juga sangat baik membuat skenario yang memaksimalkan kemungkinan orang merespons. Mereka menanamkan rasa panik dan urgensi oleh hal-hal seperti menirukan tokoh-tokoh otoritas dalam sebuah organisasi menciptakan rasa krisis. Atau mereka fokus pada potensi dampak negatifnya gagal merespons. Ketika kita mengakui kecanggihan yang meningkat yang ditunjukkan pada arsenal phisher, menjadi lebih sulit untuk membenarkan menghukum karyawan karena menjadi korban penipuan mereka.

Simulasi serangan phishing sering digunakan sebagai cara untuk meningkatkan kesadaran di kalangan karyawan. Meskipun ada saran peningkatan rasio klik mengikuti program semacam itu, evaluasi menyeluruh terhadap berbagai dampak potensial terhadap karyawan kurang. Dan beberapa penelitian menunjukkan potensi bahwa karyawan hanya menyerah mencoba menghadapi ancaman karena tampaknya kalah dalam pertempuran.

Budaya menyalahkan dan mengimitasi mungkin juga membuat karyawan kurang mau mengakui kesalahan mereka. Salah satu hasil ini kemungkinan akan merusak hubungan antara personil keamanan organisasi dan karyawan lainnya. Pada gilirannya hal ini akan berdampak negatif terhadap budaya keamanan organisasi. Ini menunjukkan kembalinya ke peran otoriter untuk keamanan, yang penelitian menunjukkan adalah langkah mundur jika kita ingin melibatkan karyawan secara penuh dalam inisiatif keamanan.

Mengurangi paparan organisasi terhadap serangan phishing merupakan tantangan yang kompleks dan terus berkembang. #AskOutLoud baru-baru ini kampanye oleh pemerintah Australia untuk mendorong orang untuk meminta pendapat kedua saat mereka menerima email yang mencurigakan memberikan contoh bagus bagaimana tantangan ini dapat mulai ditangani. Ini mendorong percakapan dan berbagi pengalaman. Dengan menggunakan pendekatan ini dapat memastikan karyawan merasa diberdayakan dan didorong untuk melaporkan kecurigaan, elemen penting dalam menjaga keamanan maya.

Penelitian ini jelas keamanan cyber bergantung pada dialog terbuka, partisipasi dari karyawan ketika harus mengembangkan solusi dan kepercayaan antara petugas keamanan organisasi dan staf lainnya. Seperti klise lama: Anda hanya sekuat link terlemah Anda. Oleh karena itu, penting agar semua karyawan didukung agar menjadi garis depan yang efektif dalam pertahanan organisasi mereka.

Tentang Penulis

Emma Williams, Research Fellow, University of Bath dan Debi Ashenden, Profesor Keamanan Cyber, University of Portsmouth

Artikel ini awalnya diterbitkan pada Percakapan. Membaca Artikel asli.

Buku terkait

at Pasar InnerSelf dan Amazon