کمپین آگاهیرسانی جدیدی در حوزه امنیت سایبری به راه افتاده به نام Take9. ایدهاش این است که مردم—شما، من، همه—فقط ۹ ثانیه مکث کنند و بیشتر در مورد لینکی که میخواهند روی آن کلیک کنند، فایلی که میخواهند دانلود کنند یا چیزی که میخواهند به اشتراک بگذارند فکر کنند.
طبیعتاً یک وبسایت برای این کمپین طراحی شده و یک ویدیوی ترسناک و خوشساخت هم برایش ساخته شده. اما این کمپین تأثیر زیادی در بهبود وضعیت امنیت سایبری نخواهد داشت. توصیهای که ارائه میکند واقعبینانه نیست، نه افراد را و نه کشورها را بهطور محسوس ایمنتر نمیکند و در عوض، توجه را از علل واقعی ناامنیهای فضای سایبری منحرف میکند.
اول: این توصیه واقعگرایانه نیست
مکث ۹ ثانیهای در زمینهای مثل استفادهی روزمره از رایانه یا گوشی همراه، زمان بسیار زیادی است. امتحانش کنید؛ یک تایمر تنظیم کنید. سپس به این فکر کنید که روزانه روی چند لینک کلیک میکنید یا چند مورد را ارجاع یا پاسخ میدهید. آیا باید بعد از هر پیام متنی ۹ ثانیه مکث کنیم؟ بعد از هر اعلان در Slack؟ اگر کسی وسط این مکث پاسخ بدهد، تایمر باید از نو شروع شود؟ در وبگردی باید قبل از کلیک روی هر لینک مکث کرد یا بعد از بارگذاری هر صفحه؟ اجرای این توصیه از نظر عملی بهسرعت غیرممکن میشود. بعید است این ایده اصلاً روی کاربران واقعی آزمایش شده باشد.
دوم: این توصیه تأثیر چندانی ندارد
صنعت امنیت سایبری باید این را بداند، چون یک دهه پیش امتحانش کردیم. کمپین «بایست. فکر کن. وصل شو.» در سال ۲۰۱۶ توسط وزارت امنیت داخلی آمریکا (قبل از تشکیل CISA) و ائتلاف ملی امنیت سایبری راهاندازی شد. پیام آن اساساً همان بود: قبل از هر کار آنلاینی، مکث و فکر کن. آن موقع هم جواب نداد.
سایت Take9 میگوید: «علم میگوید در شرایط پرتنش، ۱۰ ثانیه قبل از پاسخدادن صبر کنید.» مشکل اینجاست که کلیککردن روی یک لینک، شرایط پرتنش نیست. این یک رفتار عادی است که روزانه صدها بار اتفاق میافتد. شاید بشود به کسی یاد داد قبل از زدن مشت در یک بار، تا ۱۰ بشمارد، اما نه قبل از بازکردن یک فایل پیوست.
و هیچ پشتوانهٔ علمیای برای این موضوع وجود ندارد. این یک باور عامیانه است که در سراسر اینترنت دیده میشود، اما هیچ پژوهش واقعیای پشت آن نیست—مثل «قانون پنجثانیهای» که میگوید اگر غذا را تا پنج ثانیه بعد از افتادن از زمین بردارید، هنوز قابل خوردن است. در موقعیتهای احساسی و تنشزا، بیشتر افراد از پیش تحت فشار ذهنی و شناختی قرار دارند و در وضعیتی نیستند که یک توقف منطقی و حسابشده، آنطور که این توصیه ادعا میکند، واقعاً مؤثر واقع شود.
مکث چیزی به آگاهی نمیافزاید
مکثکردن میتواند به شکستن عادتها کمک کند. اگر کلیککردن، اشتراکگذاری، دانلود یا ارتباطگیری رفتاری عادتی باشد، مکث میتواند آن چرخه را بشکند. اما مشکل اصلی فقط عادت نیست. مشکل این است که افراد نمیتوانند بین یک اقدام مشروع و یک حمله سایبری تمایز قائل شوند.
سایت Take9 ادعا میکند که «۹ ثانیه برای گرفتن تصمیم بهتر کافی است»، اما وقتی افراد نمیدانند بعد از مکث باید به چه چیزی فکر کنند، این توصیه بیفایده است. ۹ ثانیه مکث کنید و بعد… چه؟ Take9 هیچ راهنماییای ارائه نمیکند. این کمپین فرض میگیرد که افراد ابزارهای شناختی لازم برای درک انواع حملات احتمالی را دارند و میتوانند از میان هزاران اقدام ممکن در اینترنت، آنهایی که خطرناک هستند را تشخیص دهند. اما اگر کسی دانش پایه را ندارد، حتی یک دقیقه مکث هم چیزی به دانستههایش اضافه نمیکند.
یکی از مدلهایی که میتوان در این زمینه استفاده کرد، مدل سهجزئی شک، شناخت، و خودکاربودن (SCAM) است. مؤلفهی اول، ناآگاهی است—یعنی ندانستن اینکه چه چیز خطرناک است. دوم، عادتها هستند—افراد کاری را انجام میدهند که همیشه انجام دادهاند. و سوم، میانبرهای ذهنی اشتباه است—مثلاً تصور اینکه فایلهای PDF از فایلهای Word امنتر هستند، یا اینکه گوشیهای همراه برای بازکردن ایمیلهای مشکوک امنتر از رایانهها هستند.
این مسیرها همیشه بهصورت جداگانه عمل نمیکنند؛ گاهی با هم یا پشتسرهم فعال میشوند. ممکن است روی یکدیگر تأثیر بگذارند یا همدیگر را خنثی کنند. برای مثال، نداشتن دانش ممکن است باعث شود فرد به میانبرهای ذهنی اشتباه متوسل شود، و همان میانبرها نیز ناآگاهی او را تقویت کنند. به همین دلیل است که تغییر رفتاری معنادار نیاز به چیزی فراتر از یک مکث دارد؛ باید سازههای شناختی و سیستمهایی داشته باشیم که این تعاملات پویای ذهنی را در نظر بگیرند.
آگاهیرسانی مؤثر، فراتر از یک مکث است
یک کمپین آگاهیرسانی موفق باید بیش از آنکه فقط بگوید «مکث کنید»، افراد را در یک فرآیند دو مرحلهای هدایت کند: ابتدا «برانگیختن حس شک» برای تحریک توجه بیشتر، و سپس «هدایت توجه» از طریق آموزش اینکه دقیقاً باید به چه چیزی نگاه کنند و چطور آن را ارزیابی کنند. در این صورت است که احتمال تصمیمگیری درست بیشتر میشود.
این یعنی مکثها باید متناسب با زمینه باشند. مثال: ایمیلکلاینتهایی که پیامهایی مانند «EXTERNAL: این ایمیل از خارج سازمان ارسال شده» یا «قبلاً از این فرستنده ایمیلی دریافت نکردهاید» نمایش میدهند. این نوع هشدارها خاص و مفیدند. حتی میتوان افزونههای هوش مصنوعی را تصور کرد که هشدار میدهند: «این سبک نوشتن شبیه نوشتههای معمول بروس نیست.» اما، مسأله رقابت تسلیحاتی هم وجود دارد؛ مهاجمان هم از همین سیستمها برای دورزدنشان استفاده خواهند کرد.
این کار واقعاً سخت است. نشانههای قدیمی دیگر وجود ندارند. حملات فیشینگ امروزی بسیار پیشرفتهتر از ایمیلهای نیجریهای قدیمی با غلطهای املایی و نگارشی هستند. شناسایی کلاهبرداری از طریق پیامک، تماس صوتی یا ویدئو حتی دشوارتر است. در یک پیامک، اطلاعات کافی برای اینکه سیستم بتواند هشدار بدهد وجود ندارد. در تماس صوتی یا ویدئویی، برانگیختن شک بدون برهم زدن گفتوگو تقریباً غیرممکن است. و همهی هشدارهای اشتباه (مثلاً زمانی که سیستم به اشتباه یک مکالمه واقعی را بهعنوان کلاهبرداری علامتگذاری میکند) باعث میشود حس شهودی افراد تضعیف شود. در نتیجه، مردم کمکم یاد میگیرند که حتی به تردیدهای درونی خودشان هم بیتوجهی کنند، همانطور که بسیاری از کاربران نسبت به هشدارهایی که رایانهشان نمایش میدهد بیتفاوت شدهاند.
حتی اگر همهی این کارها را بهدرستی انجام دهیم، باز هم نمیتوانیم افراد را در برابر مهندسی اجتماعی واکسینه کنیم. اخیراً «کوری دکترو»، فعال فضای مجازی، و «تروی هانت»، پژوهشگر امنیتی—دو نفری که انتظار میرود در شناسایی کلاهبرداریها خبره باشند—هدف فیشینگ قرار گرفتند. در هر دو مورد، پیام دقیقاً در زمان مناسب و بهدرستی ارسال شده بود.
وضعیت برای سازمانهای بزرگ حتی بدتر است. امنیت یک سازمان نه بر اساس توانایی متوسط کارکنان برای تشخیص ایمیلهای مخرب، بلکه بر اساس ناتوانی ضعیفترین فرد در این زمینه سنجیده میشود—یعنی همان «حلقهی ضعیفتر». حتی اگر آگاهی امنیتی سطح متوسط را بالا ببرد، باز هم کافی نیست.
تقصیر را به گردن افراد نیندازید
در نهایت، همهی اینها سیاستگذاری عمومی بدی است. کمپین Take9 به مردم القا میکند که با کمی مکث و تصمیمگیری بهتر میتوانند جلوی حملات سایبری را بگیرند. چیزی که بهصراحت گفته نمیشود، اما کاملاً القا میگردد، این است که اگر کسی آن مکث را نکند و تصمیم درستی نگیرد، مقصر حمله خودش است.
این دیدگاه بهسادگی غلط است، و سرزنش کاربر یکی از بدترین اشتباهات رایج در صنعت امنیت سایبری است. دست از تلاش برای «درست کردن» کاربر بردارید. اگر کسی روی لینکی کلیک کند و سیستمش آلوده شود، تقصیر او نیست. اگر یک فلش USB مشکوک را وصل کند یا هشداری را که نمیفهمد نادیده بگیرد، باز هم تقصیر او نیست. حتی اگر با دیدن یک وبسایت جعلیِ مشابه وبسایت بانک فریب بخورد و پولش را از دست بدهد، باز هم مقصر نیست. مشکل اینجاست که سیستمها آنقدر ناامن طراحی شدهاند که افراد معمولی و غیرمتخصص نتوانند با اطمینان از آنها استفاده کنند. ما از کمپینهای آگاهیبخشی امنیتی استفاده میکنیم تا طراحی ضعیف سیستمها را بپوشانیم. همانطور که پژوهشگر امنیتی «آنجلا سَس» در سال ۱۹۹۹ گفت: «کاربران دشمن ما نیستند.»
چنین چیزی را در بخشهای دیگر زندگی نمیپذیریم. تصور کنید کمپین Take9 در زمینههای دیگر اجرا شود. خدمات غذایی: «قبل از نشستن در رستوران، ۹ ثانیه مکث کنید: نگاهی به آشپزخانه بیندازید، شاید دمای یخچال را بررسی کنید یا ببینید دستهای آشپز تمیز است یا نه.» صنعت هوانوردی: «قبل از سوار شدن به هواپیما، ۹ ثانیه مکث کنید: نگاهی به موتور و کابین بیندازید، دفترچه تعمیرات هواپیما را چک کنید، از خلبان بپرسید آیا استراحت کافی داشتهاند یا نه.» اینها توصیههایی مضحک هستند. افراد معمولی آموزش یا تخصص لازم برای ارزیابی ایمنی رستوران یا هواپیما را ندارند—و ما هم از آنها چنین انتظاری نداریم. در عوض، قانون و مقرراتی وجود دارد که به مردم این امکان را میدهد با خیال راحت غذا بخورند یا سوار هواپیما شوند.
اما—میدانیم—دولت قرار نیست وارد عمل شود و اینترنت را قانونگذاری کند. این سیستمهای ناامن، همان چیزی هستند که فعلاً در اختیار داریم. آموزش آگاهی امنیتی و ذهنیت «تقصیر کاربر است» تمام چیزی است که داریم. بنابراین، اگر واقعاً بهدنبال تغییر رفتاری معنادار هستیم، به چیزی بسیار فراتر از یک «مکث» نیاز داریم. به چارچوبهای شناختی و طراحی سامانههایی نیاز داریم که تمام تعاملات پویایی را که در تصمیم برای کلیک، دانلود یا اشتراکگذاری دخیل هستند، در نظر بگیرند. و این کار واقعی میطلبد—کاری بهمراتب بزرگتر و سختتر از یک کمپین تبلیغاتی یا یک ویدیوی پرزرقوبرق.
منبع : https://www.darkreading.com/cybersecurity-operations/why-take9-will-not-improve-cybersecurity
