Siber güvenlikteki zayıf halkalardan birinin biz insanlar olduğunu kabul ettiğimizde, bir sonraki doğal adım, genellikle eğitim yoluyla bu güvenlik açığını desteklemektir. Ancak bir video izlemek veya bir teste tıklamak, bedenen bir güvenlik tehdidiyle karşı karşıya kaldığınızda ne yapacağınızı bilmenize yardımcı olur mu? Muhtemelen değil. Mantıklı olarak, onlarla nasıl başa çıkacağınızı öğrenmek için fiziksel bir tehditle pratik yapmalısınız – aptal bir tişörtle size gülümseyen bir adam şeklinde gelse bile.
Birleşik Krallık Savunma Bakanlığı (MOD), savaş ve ulusal güvenlik konularıyla ilgilenen çoğu kuruluş gibi, güvenlik konusunda bilgili bir işgücünün öneminin çok iyi farkındadır. Askeriye bağlantılı kuruluşlar ayrıca, uyumluluğu vurgulayan ve çalışanların otoriteyle çelişmesini zorlaştıran güçlü bir yerleşik hiyerarşiye sahiptir. MOD, potansiyel bir sorun gördüklerinde kendilerini kanıtlayabilmek için işgücüne ihtiyaç duyuyordu. Bu amaçla bakanlık, Birleşik Krallık MOD Siber Farkındalık, Davranışlar ve Kültür ekibinin (CyAB&C) dediği fiziksel güvenlik risklerini tanıma ve daha da önemlisi bunlara yanıt verme konusunda insanlara pratik yapma fırsatı veren bir program oluşturmak için dışarıdan uzmanlarla bir araya geldi. bir “kötü niyetli yer gezgini” alıştırması.
Esasen, birisi bir işyerine girer ve etrafta dolaşır, insanlara bir bilgisayar ödünç vermelerine veya bir USB anahtarını taramalarına izin vermek gibi riskli şeyler yaptırmaya çalışır.
Davranış bilimcileri Simon Pavitt ve Stephen Dewsnip, “Sosyal mühendislik uygulamasıyla iç içe sağlam psikolojik teoriye dayalı olarak, insan savunmasızlığını sadece ortaya çıkarmak yerine yönetmenin bir yolu” dedi. Black Hat sunumlarında yazdılar. “Bir meydan okumanın gerekli olduğunu mümkün olduğunca açık hale getirerek, bireyin hissettiği sosyal ipuçlarını ve psikolojik gerilimleri güçlendirir ve onlara meydan okumaktan başka seçenek bırakmaz.”
Egzersiz Sizi Güçlendirir
2020’de, bir İngiliz ordusu gazisi ve MOD’un sivil çalışanı olan Pavitt, müteahhitlerden devlet kurumunda “siber farkındalığı, davranışları ve kültürü geliştirmeye yardımcı olmak” için teklifler istedi. CyAB&C projesi haline gelen sözleşmeyi Atkins adlı bir danışman kazandı.
Projenin kötü niyetli zemin yürüyüşçü egzersizleri, bir ofis sahasında dolaşan bir kişinin, çalışanları onun davranışına ve varlığına meydan okumaya kışkırtmaya çalışmasını içeriyordu. Atkins Dewsnip, “Pek çok insan, riskli bir şey yaparken yakalanmamaya çalıştıkları sızma tipi testleri yaptı – ancak insanların aktif olarak ve tasasız ve esprili bir şekilde yakalanmaya çalıştığı başka bir şey görmedik,” dedi. Black Hat’ta ortak sunum yapan danışman, Dark Reading’e anlatıyor.
Bir masa üstü egzersizden çok, kötü niyetli yer gezgini, diğer insanların güvenli olmayan davranışlarına meydan okuma fikri ve uygulamasıyla insanları daha rahat ettirmeyi amaçlayan yüz yüze bir çabadır. Dewsnip, “Bir sosyal mühendisin tüm tekniklerini ve bir SE’nin insanları manipüle etmek için kullanacağı şeyleri kullanıyoruz, ancak bunu kötülük için değil iyilik için yapıyoruz.”
Dewsnip, “Yaptığımız şey bir test değil – güvenli bir alanda, nadiren uygulama fırsatı bulduğumuz bir dizi davranışı uygulama fırsatı” diyor. Odak noktası, çalışanları yeni eylemler konusunda rahat ettirmek ve mevcut güvenlik bilgilerini değerlendirmek değil, bu alıştırmada kimsenin başarısız olmayacağına dikkat çekiyor. “İnsanları meydan okumaya karşı olumlu bir duyguyla bırakıyoruz. [unsafe behaviors]”
Ve veriler bu iddiayı doğruluyor. Egzersiz sonrası anketlere göre, yer yürüyen kişiyle doğrudan ilişki kuran kişilerin %91’i artık riskli olduğunu düşündükleri şeylere doğrudan meydan okuyacaklarını söyledi.
‘Şimdi Neyin Peşindesin?’
Çalışanları bir savunma ofisinde güvenlik uygulamalarını geliştirmeleri için eğitmek ciddi bir iş olsa da, bu tasasız tatbikat bazı komik etkileşimlere yol açtı. Örneğin, bir egzersizden sonra, Dewsnip, kaldırım ekibi öğle yemeğini yemek için dışarı çıktığında, “birden ikinci hikayeden ‘şu anda ne yapıyorsunuz?’ ve ‘sizi hala görebiliriz!'”
Bazı insanlar, özellikle güvenlik uygulamalarına zaten güvenenler, işleri daha ciddiye aldılar, diye ekliyor. “Yolumuza çıkmamızı engellemek için bize siber politika teklif edildi, güvenlik ofislerine götürüldük ve başkalarının MS Teams aracılığıyla güvenlik ekibiyle gizlice iletişim kurmasını sağlarken, bizi oyalayıp oradan ayrılmamamızı sağladık. “
Dewsnip, komik tepkilerin egzersizin işe yaradığını gösterdiğine dikkat çekiyor. “İnsanlar yer yürüyenlerle etkileşime giriyor” diyor. “Yürüyen kişinin meydan okumak için orada ve güvenli bir alanda olduğunu anlıyorlar ve bunu yaparken, başarılı bir şekilde meydan okumak için gereken zihinsel senaryoyu inşa ediyorlar ve onunla rahat olmaya başlıyorlar, bazı sosyal sorunların üstesinden geliyorlar. işyerinde meydan okuma ile var olan endişeler veya belirsizlikler.”
Her Yerde Öğrenme Dersleri
Bu nedenle, yer gezgini ile uğraşan hemen hemen herkes, bir sonraki tehlikeli ziyaretçiye meydan okuma konusunda daha kendinden emin hissetti. Bu proje başka ne gibi faydalar sağladı? Dewsnip, ziyaret ettikleri sitelerin yöneticilerinin, oradaki personelin “riskli olabilecek şeylerde başkalarına başarılı bir şekilde meydan okuduğunu – yukarıya doğru meydan okuyan insanlar da dahil olmak üzere (yani, onlardan daha kıdemli olanlara meydan okumak, askeri bir ortamda bir büyük anlaşma!).”
Proje, egzersizi eğlenceli hale getirmeyi, insanlara korku ve ceza olmadan pratik yapma şansı vermeyi vurguladı. Kendini “Siber Tehdit” olarak etiketleyen, yukarıdaki resimde görülen sevimli zemin yürüyüşçüsü bu yüzden. Bu güven verici tutum, diğer sektörlerde insanların bir hata yaptıklarında kendilerini yeterince güvende hissettikleri bir kültür yaratmaya yönelik baskıyla örtüşüyor.
Optiv Security CISO’su Brian Wrozek bu yılın başlarında Dark Reading’e verdiği demeçte, “Güvenlik ve BT uzmanları, çalışanların daha iyi bildiğini veya şüpheli davranışları nasıl bildireceklerini veya rapor edeceklerini çok sık olarak varsayıyorlar.” “Kuruluşlar, çalışanların farklı senaryolara yanıt verme konusunda uygulamalı pratik yapmalarını sağlamak için masa başı tatbikatlar yaparak daha sağlıklı bir güvenlik kültürünü kurumsallaştırabilir.”
Böyle bir güvenlik kültürü, tıp ve havacılık gibi ölüm kalım endüstrilerinde ve savunmada özellikle önemlidir.