كتسبت اختبارات التصيد الاحتيالي للموظفين شعبية كوسيلة للمؤسسات لتقييم مدى ضعف موظفيها أمام هجمات التصيد الاحتيالي وتحسين وعيهم بالأمن السيبراني. ومع ذلك، تساءل البعض عما إذا كان من المناسب استخدام الخوف والخزي والخيانة كأساليب عندما يفشل الموظفون في هذه الاختبارات الوهمية للتصيد الاحتيالي. يجادل البعض بأن استخدام نهج التعزيز الإيجابي قد يؤدي إلى نتائج أكثر فعالية.

اعتقدت آنا كولارد، نائب الرئيس الأول لاستراتيجية المحتوى والمبشرة في KnowBe4 أفريقيا، وهي منظمة للتدريب على الأمن السيبراني، أنها محصنة ضد الخداع باختبار التصيد الاحتيالي - حتى حدث ذلك بالفعل. نقرت على رسالة بريد إلكتروني لأنها كانت مشتتة وبدت الرسالة شرعية تمامًا.

تتذكر كولارد: "كنت في سيارة أوبر، وأتفقد رسائل البريد الإلكتروني أثناء الدردشة مع السائق." رأت رسالة بريد إلكتروني يُفترض أنها من أوبر تطلب منها تحديث تفاصيل حسابها. "لقد كان من قبيل الصدفة المذهلة أنني كنت في سيارة أوبر في ذلك الوقت، لذلك دون تردد، نقرت عليها." في النهاية، كان عليها أن تخضع لبرنامج التدريب على الأمن السيبراني الذي صممته بنفسها.

لماذا ينقر الموظفون على رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي؟

وفقًا لدراسة حديثة، (https://apo-opa.co/43zgZ3M) ينقر ما لا يقل عن 14% من الموظفين بانتظام على رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي. تُظهر تجربة كولارد أن الموظفين مُثقلون أو مشتتون، وهذا يؤدي إلى نجاح هجمات التصيد الاحتيالي، وليس مجرد نقص في التدريب. دراسة أخرى (https://apo-opa.co/4catV2l) أجريت في المملكة المتحدة والولايات المتحدة في عام 2020 كشفت أن 45% من الموظفين ينقرون على رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي بسبب المشتتات. هناك بعض الأساليب أكثر فعالية من غيرها، على سبيل المثال، من المرجح أن يقع الموظفون ضحية لرسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي إذا بدت وكأنها من شخصية رفيعة المستوى في الشركة أو مديرهم المباشر.

تؤكد كولارد: "إن اختبارات التصيد الاحتيالي أمر بالغ الأهمية لأن خطر اختراق البيانات للشركات حقيقي للغاية." "فهي تسمح للمؤسسات برؤية كيف يستجيب موظفوها عند تعرضهم لرسائل بريد إلكتروني واقعية ولكنها مزيفة للتصيد الاحتيالي." تستخدم المؤسسات أيضًا محاكاة التصيد الاحتيالي لتقييم فعالية برامج التدريب الخاصة بهم. "إذا كنت تريد تغيير السلوك البشري، فلا يمكنك الاعتماد على التدريب وحده. هذا هو المكان الذي تلعب فيه اختبارات التصيد الاحتيالي دورًا حاسمًا."

من المهم أيضًا مراعاة تأثير الانتشار - وهي ظاهرة نفسية حيث يقل احتمال أن يكتشف الأشخاص شيئًا (مثل رسالة بريد إلكتروني للتصيد الاحتيالي) عندما يحدث بشكل غير متكرر. بمعنى آخر، حتى الموظفين المدربين تدريبًا جيدًا قد يفوتهم بريد إلكتروني ضار ببساطة لأن التهديدات الحقيقية نادرة، وتصبح أدمغتنا مُهيأة لتوقع رسائل آمنة. وهذا يؤكد على الحاجة إلى الاختبار المستمر والتعزيز لإبقاء اكتشاف التهديدات في صدارة الذهن، مع الاستمرار في التعامل مع المستخدمين بتعاطف وتفهم.

تجنب لعبة الخزي

النهج الذي تتخذه المؤسسات في إجراء اختبارات التصيد الاحتيالي مهم بنفس القدر. تقول كولارد: "يجب ألا يكون الهدف هو إهانة الأفراد الذين يفشلون في الاختبار، لأن هذا قد يكون له عواقب سلبية." "من المهم ألا يشعر الموظفون بالأذى أو الخيانة من قبل أصحاب العمل. منذ البداية، يجب على الشركات إنشاء اتصال واضح مع موظفيها، وشرح أن اختبارات التصيد الاحتيالي جزء لا يتجزأ من تدريبهم الشامل على الأمن السيبراني."

استخدام تكتيكات غير حساسة في اختبارات التصيد الاحتيالي، مثل تقديم مكافآت خلال فترة إعادة الهيكلة، يمكن أن يضر بالثقة بين المؤسسة وموظفيها. تشير الأبحاث إلى أنه بدلاً من اعتبار الأمن السيبراني كإجراء وقائي، قد ينظر المستخدمون بعد ذلك إلى محاكاة التصيد الاحتيالي على أنها ضارة. تقترح كولارد أنه يجب على المؤسسات إعطاء الأولوية لكل من الأمن السيبراني ورفاهية موظفيها من خلال إيجاد توازن بين الاثنين.

ومع ذلك، هناك بعض البيئات ذات المخاطر العالية - مثل المؤسسات المالية أو البنية التحتية الحيوية أو الأدوار الحكومية الحساسة - حيث تكون عواقب هجوم التصيد الاحتيالي الناجح شديدة للغاية بحيث يمكن تبرير سياسات أكثر صرامة. تقول كولارد: "لقد رأيت بيئات تكون فيها متطلبات الأمان صارمة بشكل مفهوم، ويمكن أن يؤدي عدم الامتثال المتكرر للسياسة أو الفشل المستمر في اختبارات التصيد الاحتيالي في النهاية إلى عواقب وخيمة، بما في ذلك فقدان الوظيفة." "أتفهم أنه في السياقات التي تكون فيها المخاطر عالية للغاية، قد يكون هذا المستوى من الإنفاذ ضروريًا لحماية المؤسسة ونظامها الإيكولوجي الأوسع."

خلق ثقافة أمنية إيجابية

تقترح كولارد: "بدلاً من مجرد معاقبة أولئك الذين يفشلون في اختبارات التصيد الاحتيالي، يجب أن يكون أصحاب العمل أكثر تعاطفاً." "هل يشعر موظفوهم بالتوتر والإرهاق؟ هل يمرون بصعوبات مالية؟ معرفة ذلك ستساعد المؤسسات على فهم ما الذي يدفع سلوك الموظفين المحفوف بالمخاطر عبر الإنترنت." هناك نهج آخر وهو استطلاع آراء المستخدمين الذين أظهروا السلوك الصحيح لفهم ما الذي جعلهم يكتشفون ويبلغون عن محاكاة التصيد الاحتيالي.

تعتبر الألعاب والاحتفال بالنجاح أيضًا أدوات قوية لتعزيز ثقافة أمنية إيجابية في العمل. تقترح: "يمكن أن يكون لديك بطل سايبر لشهر للموظف الذي أبلغ عن رسالة بريد إلكتروني منعت هجومًا." "أو يمكن أن يكون لديك مسابقة للفريق الذي يبلغ عن أكبر عدد من اختبارات التصيد الاحتيالي."

عندما يتم ذلك بشكل صحيح، يجب أن تقوم محاكاة التصيد الاحتيالي بتثقيف الموظفين، بدلاً من إذلالهم. تختتم كولارد: "يجب أن تعزز اختبارات التصيد الاحتيالي قدرتهم على اكتشاف رسائل البريد الإلكتروني المزيفة والمحتمل أن تكون مهددة والإبلاغ عنها مباشرة إلى قسم تكنولوجيا المعلومات لديهم." "يجب أن يكون الهدف هو التعزيز الإيجابي ويجب أن تكون المكافأة جوهرية: تهنئة أولئك الذين قاموا بعمل جيد."

في دراسة حديثة (https://apo-opa.co/4j9BfgJ)  أجرتها KnowBe4 عبر أكثر من 32 مليون مستخدم، تُظهر البيانات بشكل قاطع أنه كلما زادت وتيرة إجراء المجموعات لاختبارات التصيد الاحتيالي (مثل أسبوعيًا)، كان أداء المستخدمين أفضل في اكتشاف هذه الاختبارات الوهمية للتصيد الاحتيالي. المجموعات التي قامت بكل من التدريب والمحاكاة للتصيد الاحتيالي كان أداؤها هو الأفضل.