ايتنا - راه حل شرکت‌ها در مقابل عادات بد امنیتی کاربران چیست؟

با رو آوردن فزاینده افراد به دستگاه‌های الکترونیکی کاریشان برای دسترسی به حساب‌های آنلاین شخصیشان، لازم است که شرکت‌ها آموزش‌هایی برای افزایش آگاهی از مسائل امنیتی به آنها ارائه کنند. بر پایه یک تحقیق پیمایشی Bitdefender از بیش از 10100 شرکت‌کننده در سطح جهان که در ماه ژوئن انجام شد، از هر 10 کاربر شش نفرشان در یک سال اخیر دستکم یک تهدید امنیتی، از جمله کلاهبرداری تلفنی و فیشینگ، را تجربه کرده بود. این تحقیق شامل کاربران 18 تا 65 ساله بود.

به گزارش ایتنا و به نقل از سیودایو، در حالی که بیشتر پاسخدهندگان به این نظرسنجی از تلفن شخصیشان برای دسترسی به حساب‌های آنلاین شخصیشان استفاده کرده بودند ولی دستکم 37% از لپتاپ، دسکتاپ یا اسمارتفون کاریشان برای این هدف بهره گرفته بودند.

در حالی که به خاطر پاندمی کرونا دورکاری کارکنان به طرز چشمگیری افزایش یافته است، پانزده درصد از شرکت‌کنندگان گفتند که از هیچ محصول یا سرویس امنیتی آنلاینی استفاده نمی‌کنند، و 30% از نرم‌افزار آنتی‌ویروس برای گوشی یا تبلتشان استفاده نمی‌کنند.

بیت‌دیفندر دریافته است که رایجترین روش (52%) افراد برای مدیریت پسورد به حافظه سپردن آن است. یک سوم از پاسخدهندگان از گزینه پر کردن خودکار در دستگاههایشان استفاده می‌کنند، و 28% آن را در یک فرمت فیزیکی می‌نویسند. تنها یک چهارم از پاسخدهندگان از یک ابزار مدیریت پسورد استفاده می‌کنند.

ولی ابزارهای مدیریت پسورد محتملتر است که بر روی دستگاههای کاری استفاده شوند، نه بر روی دستگاههای شخصی.

الکس بالان، مدیر تحقیقت امنیتی بیت‌دیفندر، با تحلیل این شرایط توصیه می‌کند که شرکتها فعالانه به جستجوی «نقاط کور» در زیرساختشان بگردند.

به عنوان مثال سناریوهای پر کردن اعتبارنامه (Credential stuffing) گویای استفاده از پسوردهای دستکاری‌شده‌ای هستند که معمولا در رخداد درز اطلاعاتی دیگری لو رفته‌اند. بالان می‌گوید که «ممکن است کارکنان شما از این پسوردهای لورفته‌شان در شبکه شرکتتان هم استفاده کنند، شاید با اندکی تغییر، مثلا تغییر فقط یک کاراکتر در انتهای آن. در سال 2021 هستیم ولی هنوز فرم‌های احرازهویتی وجود دارند که MFA در آنها الزامی نیست. آیا شما MFA را مطلقا در همه جا الزامی کرده‌اید؟ باید این کار را بکنید».

MFA یک روش امنیتی شرکتی است که کاربران، در صورتی که قصد دسترسی به داده‌های کاری از روی دستگاههای شخصیشان داشته باشند، ملزم به استفاده از آن خواهند بود.
بالان گفت: «هر کاری که منتهی به لمس حتی ذره‌ای از داده‌های شرکتی شود باید توسط تیم امنیتی سازمان مدیریت شود». شرکتها نمی‌توانند رفتارهای امنیتی در محیط آنلاین را به کاربر دیکته کنند ولی می‌توانند با آموزش نکات اساسی بر آنها تاثیر بگذارند.