İnsanların uyukladığı bir siber güvenlik eğitimi faydadan çok zaman kaybı oluşturur. Eğitime ekleyeceğiniz oyunlar ve hikâyeler, bir tehlike yaklaştığında devreye girecek ‘kalıcı’ alışkanlıkların oluşmasına yardımcı olabilir
Sarah’nın gözleri e-postanın konu satırına takıldı: “ACİL: Ödeme Gerekiyor – Harekete Geçilmesi Gerekiyor”. Bir Cuma günü saat 16:00’ydı ve CEO’sunun adı gönderen alanında parlıyordu. Mesaj açık ve netti:
“Merhaba Sarah, bu ödemeyi bugün mesai bitiminden önce yapmamız gerekiyor, aksi takdirde ekstra yasal maliyete maruz kalacağız. Ekteki ödeme bilgilerine bakın. Bu, Phoenix Projesi ve geçen haftaki toplantıda bahsettiğim birleşme ile ilgili. Hukuk departmanı ve diğerleriyle arka arkaya toplantılar yapıyorum, bu nedenle çok vaktim yok. Lütfen en kısa sürede halledin.”
Sarah’nın midesi endişeyle düğümlendi ve panik içinde nabzı hızlandı. Kısa bir an için benzer bir mesajı daha önce, muhtemelen geçen yılki siber güvenlik farkındalık eğitiminde gördüğünü hissetti. Ancak o eğitim artık cansız PowerPoint slaytları, unutulmaya yüz tutmuş ekran görüntüleri ve anlaşılması güç terim ve kavramlarla dolu ve zihin uyuşturan çoktan seçmeli sorulardan oluşan bir bulanıklıktan ibaretti.
Ayrıca Phoenix Projesi de birleşme gibi gerçekti. Ses tonu, son iç yazışmalardaki sert talimatlardan çok da farklı değildi. Üstüne üstlük, “ben kimim ki CEO’nun talimatlarını sorgulayayım ya da ikinci bir tahminde bulunayım?” diye düşündü. Baskı altında ve otoritenin ipuçlarına karşı savunmasız olan Sarah, tedirginliğini bir kenara bıraktı, kendisine söyleneni yaptı ve itaatkâr bir şekilde parayı havale etti.
Pazartesi günü gerçekler ortaya çıktı: 200.000 ABD doları dolandırıcılar tarafından kontrol edilen bir offshore hesabında kayboldu. E-posta mı? Sahte: Basın bültenlerinden ve LinkedIn gönderilerinden alınan bilgilerden bir araya getirilmiş. Günümüzde ve bu çağda, bu iş herhangi bir dolandırıcı için hiç de zor değildir. Açıkça söylemek gerekirse insan psikolojisi güvenlik politikasının önüne geçti.
Hikâye kurgusal olsa da Ticari E-posta Tehlikesi (BEC) dolandırıcılığı olan yinelenen kabusla yaygın olarak oynanan bir senaryoyu tasvir ediyor. Bu planlar teknik sihirbazlığa dayanmaz; bunun yerine, bizi insan yapan şeylerden bazılarını avlarlar ve sonuçta dolandırıcılara muazzam kâr payı öderler. FBI’ın hesaplamalarına göre, 2013 ile 2023 yılları arasında BEC dünya genelindeki kuruluşlara 55,5 milyar ABD dolarına mal oldu.
Bu rakamlar aklınızda kalsın.
Yara bandını sökmek
Yukarıdaki hikâye önemli bir sorunu gözler önüne seriyor: En gayretli çalışanlar bile siber güvenlik eğitiminde “öğrendiklerini” unutmaya meyillidir. PowerPoint’te hazırlanan sunumlar, zorunlu sınavlar ve uyumluluk kontrol listeleri genellikle unutulabilir ve sıkıcıdır. Bu tür programların çoğu, temel sorun olan davranışa değinmede başarısız olurken bir de vasat sonuçlar verir. Çalışanlar bu eğitimlere bir an önce bitirmek için katlanmakta, çok az şey hatırlamakta ve daha da azını uygulamaya koymaktadır.
Bu endişe vericidir çünkü asıl soru çalışanların bir saldırıyla karşılaşıp karşılaşmayacağı değil, baskı arttığında hazırlıklı olup olmayacaklarıdır. Örneğin, veri ihlallerinin üçte ikisinden fazlasının insan hatası içerdiğini söyleyen Verizon’un son Veri İhlali Araştırmaları Raporu’nun (DBIR) gösterdiği gibi, pek çoğu açıkça böyle bir duruma hazır değil. Birisi mecbur kaldı. Birisi tıkladı. Birisi hata yaptı. Sarah gibi biri.
Çalışanların bir binayı tahliye etmek yerine yanma teorisi üzerine bir ders dinlediği yangın tatbikatlarını hayal edin. Gerçek bir acil durum olduğunda bitirme sertifikalarını ellerinde tutarken yanarak ölebilirler. Öyleyse neden insanları ilgi çekici ve simüle edilmiş deneyimler yerine soyut politikalarla siber saldırılardan kurtulmaları için eğitesiniz? Çalışanlarınızı neden baskı anında başarısız olması muhtemel sıradan bir eğitime tabi tutasınız?
Panzehir
Hayır, sorun beyinlerimizin tembel olması değil; aslında oldukça verimliler. Her gün her birimiz yüzlerce mesajı işliyor, tıklıyor, paylaşıyor ve yanıt veriyoruz. Bilgi selinin ortasında, güvenlik de dahil olmak üzere her şeyden çok hıza öncelik veren anlık kararlar vermeye şartlandık.
Ancak daha yüksek sesle uyarılar göndermek ya da aynı eski sınavları tekrarlamak yerine çözüm, beyinleri “hacklemeyi” gerektiriyor. Daha açık bir ifadeyle karar verme yollarını yeniden düzenlemeye yardımcı olabilecek ve alışılmış tepkilerimizi askıya almamız, hatta bazı davranışlarımıza yeni alışkanlıklar kazandırmamız için bizi eğitebilecek tekniklerin kullanılması gerekiyor. Beyinlerimiz enerjiyi korumak için kuru gerçekleri bir kenara atmaya eğilimlidir ancak duygusal olarak yüklü, katılımcı deneyimlere memnuniyetle tutunacaklardır.
İşte bu noktada gerçekçi simülasyonlar ve iyi düşünülmüş oyunlaştırma, yardımcı olabilir. Aslında video oyunlarından beyni doğal olarak meşgul eden unsurları ödünç alarak ister antrenmanları statü oyunlarına dönüştüren fitness uygulamanız olsun ister onaylanma arzumuzu besleyen sosyal medya uygulamaları olsun, günlük uygulamalarınızın çoğu zaten oyunlaştırmanın temelini oluşturan ilkelerden bazılarını içeriyor. Oyun mekaniği, her yıl sayısız BT profesyonelinin hevesle katıldığı bayrak kapma yarışmalarında da büyük bir başarıyla kullanılmaktadır.
Hikâyeler için kablolu
Kuruluşunuzun güvenliğini bir üst seviyeye taşımanın (kelime oyunu yapmadan) önemli bir yolu hikâye anlatımının gücünden yararlanmaktır. Hikâyeler zaman geçirmenin bir yolundan çok daha fazlasıdır. Her zaman dünyayı anlamlandırmamıza ve hatta hayatta kalma stratejilerini paylaşmamıza yardımcı olmuşlardır. Beynin zevk ve duygu bölgelerini harekete geçirerek tutum ve davranışları değiştirirler.
Dolayısıyla bu hayatta kalma aracının gücünden, özellikle oyunlaştırma yoluyla günümüzün dijital ormanında hayatta kalmak için giderek daha fazla yararlanılması mantıklıdır. Güvenlik zorlukları, tehditleri karakterler, güvenlik önlemlerini araçlar ve çalışanları kahramanlar olarak sunan sürükleyici bir hikâyeye dönüştürüldüğünde hafıza oluşumu ve hatırlama önemli ölçüde artabilir.
Bu arada, gerçekçi kimlik avı simülasyonları uygulamalı öğrenme sağlar ve kas hafızası oluşturmaya yardımcı olur. Sadece öğretmekle kalmazlar, doğru davranışları bağlam içinde ve güvenli bir ortamda test eder ve pekiştirirler. Senaryo tabanlı öğrenme ve gerçekçi simülasyonlar, çalışanları gerçek tehditleri yansıtan ve güvenlik kavramlarına hayat veren durumlara yerleştirerek, eğitim sona erdikten uzun süre sonra da devam eden duygusal hafıza çapaları oluşturmaya yardımcı olur. Deepfake’leri ve diğer yapay zekâ destekli hileleri içeren şemalar aciliyeti daha da artırmaktadır – sadece birkaç hafta önce bu vakayı bir finans uzmanının üst düzey personelin deepfake versiyonlarıyla yaptığı bir video görüşmesinin ardından 25 milyon ABD doları ödediğini düşünün.
Onay kutusundan şah mata
Bu acil e-postayla karşılaşan Sarah’nın paniğe kapılmadığını, bunun yerine durakladığını düşünün. Kırmızı bayrakları tanıyor çünkü güvenlik eğitiminde benzer senaryolarla karşılaştı. Harekete geçmeden önce durmak, düşünmek ve doğrulamak için kas hafızasını geliştirdi. Sonunda, bir siber suçluya para aktarmak yerine, güvenlik ekibini sofistike bir saldırı girişimi konusunda uyardı ve potansiyel olarak utanç verici bir aksiliği (muhtemelen başarılı bir siber olayın medyada olumsuz bir şekilde yer almasının ardından) kendisi ve şirketin geri kalanı için güçlü bir öğrenme anına dönüştürdü.
Nihai hedef sadece uyumluluk değildir. Güvenlik davranışlarının kalıcı olmasını sağlamak ve hatta bunları neredeyse ateşten kaçmak kadar içgüdüsel hâle getirmektir.
Şirketin 30 yılı aşkın siber güvenlik deneyimini kapsamlı bir eğitim çözümüne dönüştüren ve her ölçekteki kuruluş için yenilikçi ve ilgi çekici içerikler sunan ESET’in Siber Güvenlik Farkındalık Eğitimi’ni denemeye ne dersiniz?
Sağlık hizmetleri siber güvenliği önemsiyor mu?
FishMedley Operasyonu
