7 วิธีที่ข้อผิดพลาดของมนุษย์ทำให้เกิดการละเมิดความปลอดภัยทางไซเบอร์

เผยแพร่แล้ว: 2022-04-19

ตามรายงานความปลอดภัยทางไซเบอร์ที่เผยแพร่โดย Verizon ในปี 2021 “85% ของการละเมิดข้อมูลเกิดจากความผิดพลาดของมนุษย์” ในการรักษาความปลอดภัยทางไซเบอร์และการปกป้องข้อมูล ข้อผิดพลาดของมนุษย์หมายถึงการกระทำโดยไม่ได้ตั้งใจของพนักงาน ซึ่งอาจทำให้เกิดการละเมิดความปลอดภัยซึ่งมักนำไปสู่การรั่วไหลของข้อมูล

ข้อผิดพลาดเพียงครั้งเดียวอาจถึงแก่ชีวิตสำหรับบริษัทต่างๆ และมีค่าใช้จ่ายหลายล้านดอลลาร์ ตัวอย่างเช่น Target มีการละเมิดข้อมูลครั้งใหญ่ในปี 2556 ซึ่งทำให้บริษัทเสียหายถึง 90 ล้านดอลลาร์ หลังจากเหตุการณ์ดังกล่าวทำให้ชื่อเสียงของบริษัทเสียหายและต้องใช้เวลาอีกนานในการเรียกความไว้วางใจจากลูกค้ากลับคืนมา

บริษัทสามารถคาดการณ์ล่วงหน้าได้ว่าการละเมิดความปลอดภัยอาจเกิดขึ้นและป้องกันได้หรือไม่? เรามาพูดถึงข้อผิดพลาดของมนุษย์ที่พบบ่อยที่สุดและวิธีป้องกัน

แสดง สารบัญ
  • 7 ข้อผิดพลาดที่สำคัญของมนุษย์ที่ทำให้เกิดการละเมิดความปลอดภัยทางไซเบอร์
    • 1. สุขอนามัยของรหัสผ่าน
    • 2. การควบคุมการเข้าถึงข้อมูลไม่เพียงพอ
    • 3. สปายแวร์
    • 4. ขาดความตระหนักในเรื่องความปลอดภัยทางไซเบอร์
    • 5. อีเมลฟิชชิ่ง
    • 6. ความปลอดภัยของซอฟต์แวร์ไม่เพียงพอ
    • 7. การแก้ไขล่าช้า
  • วิธีลดความเสี่ยงจากความผิดพลาดของมนุษย์และป้องกันการละเมิดความปลอดภัยทางไซเบอร์
    • 1. ปรับปรุงการจัดการรหัสผ่าน
    • 2. ควบคุมการเข้าถึงข้อมูลที่ละเอียดอ่อน
    • 3. ติดตั้งซอฟต์แวร์ป้องกันไวรัสและป้องกันสปายแวร์
    • 4. ให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์
    • 5. กรองอีเมลขาเข้า
    • 6. อัปเดตนโยบายความปลอดภัยของคุณ
    • 7. อัปเดตซอฟต์แวร์เป็นประจำ

7 ข้อผิดพลาดที่สำคัญของมนุษย์ที่ทำให้เกิดการละเมิดความปลอดภัยทางไซเบอร์

แฮ็กเกอร์-นิรนาม-ความปลอดภัยทางไซเบอร์-อาชญากร-ผิดกฎหมาย-ข้อมูล-รหัสผ่าน-การป้องกัน

ข้อผิดพลาดที่เกิดจากมนุษย์โดยไม่ได้ตั้งใจไม่ได้หมายความว่าจะหลีกเลี่ยงไม่ได้ อย่างไรก็ตาม บริษัทต่างๆ สามารถระบุช่องโหว่ในนโยบายความปลอดภัยและใช้มาตรการเพื่อลดความเสี่ยงได้ ต่อไปนี้คือข้อผิดพลาดของมนุษย์ที่พบบ่อยที่สุด 7 ประการที่อาจทำให้เกิดการละเมิดความปลอดภัย

แนะนำสำหรับคุณ: 17 เคล็ดลับความปลอดภัยทางไซเบอร์ที่ดีที่สุดเพื่อให้ได้รับการปกป้องทางออนไลน์ในปี 2565

1. สุขอนามัยของรหัสผ่าน

ข้อผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-1

การวิจัยในปี 2021 ที่จัดทำโดย NordPass ใน 50 ประเทศพบว่าชุดค่าผสม “123456” ถูกใช้เพื่อการเข้าสู่ระบบโดยผู้คน 130 ล้านคน รหัสผ่านที่ใช้บ่อยเป็นอันดับสองและสามคือ “123456789” และ “qwerty” ที่ใช้โดย 46 ล้านคนและ 22.3 ล้านคนตามลำดับ แฮ็กเกอร์ที่เชี่ยวชาญสามารถถอดรหัสรหัสผ่านที่ไม่รัดกุมได้ภายในเวลาไม่ถึงวินาที

นอกจากการตั้งรหัสผ่านที่ไม่ดีแล้ว คนส่วนใหญ่ยังใช้ชุดค่าผสมเดียวกันนี้กับอีเมลส่วนตัวและอีเมลของบริษัท บัญชีโซเชียลมีเดีย และบริการอื่นๆ บางคนไม่เปลี่ยนรหัสผ่านเป็นเวลาหลายปี และแม้แต่แชร์รหัสผ่านกับเพื่อนร่วมงานหรือจดบันทึกลงในกระดาษโน้ตและแปะไว้บนจอภาพ Verizon กล่าวว่าทัศนคติที่ไม่ระมัดระวังต่อรหัสผ่านดังกล่าวทำให้เกิดการละเมิดความปลอดภัยถึง 61%

2. การควบคุมการเข้าถึงข้อมูลไม่เพียงพอ

ข้อผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-2

การกำหนดสิทธิ์การเข้าถึงที่ไม่เพียงพอเป็นข้อผิดพลาดของมนุษย์อีกประการหนึ่งที่อาจทำให้เกิดการละเมิดความปลอดภัย ในบางองค์กร ผู้ไร้ความสามารถมีสิทธิ์ในการเข้าถึงข้อมูลที่ละเอียดอ่อน อย่างไรก็ตาม ในกรณีส่วนใหญ่ สิทธิ์การเข้าถึงแบบกว้างดังกล่าวจะมอบให้กับพนักงานโดยค่าเริ่มต้น เว้นแต่จะมีคำขอเฉพาะเพื่อจำกัดสิทธิ์เหล่านั้น

ต่อไปนี้คือข้อผิดพลาดทั่วไปที่เกิดจากการควบคุมการเข้าถึงที่ไม่เพียงพอ:

  • การลบข้อมูลที่ละเอียดอ่อนโดยไม่ตั้งใจหรือตั้งใจ
  • การกำหนดค่าระบบที่อาจทำให้เกิดการละเมิดข้อมูลและการรั่วไหลของข้อมูล
  • ทำการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตในระบบ
  • การส่งอีเมลที่มีข้อมูลอันมีค่าไปยังผู้รับที่ไม่ถูกต้อง

3. สปายแวร์

ความผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-3

ในขณะที่พนักงานกำลังออนไลน์เพื่อหาข้อมูลสำหรับการทำงานในมือ พวกเขาอาจดาวน์โหลดไฟล์จากแหล่งที่ไม่ได้รับอนุญาต คลิกลิงก์ที่ไม่รู้จัก หรือกด "ใช่" บนป๊อปอัปแบบสุ่ม การกระทำดังกล่าวสามารถติดสปายแวร์บนอุปกรณ์ของคุณโดยที่คุณไม่รู้ตัว คุณจะไม่สงสัยด้วยซ้ำว่าในขณะที่คุณทำงานประจำวัน ระบบจะบันทึกกิจกรรมออนไลน์ของคุณและรับข้อมูลรับรองการเข้าสู่ระบบและข้อมูลส่วนตัวของคุณ จากนั้นมัลแวร์ที่เป็นอันตรายนี้จะถ่ายโอนข้อมูลที่รวบรวมไปยังบุคคลที่สามที่ใช้ข้อมูลนั้นโดยไม่ได้รับความยินยอมจากคุณ

ส่วนที่แย่ที่สุดคือสปายแวร์สามารถแพร่กระจายจากคอมพิวเตอร์เครื่องหนึ่งและทำให้เครือข่ายทั้งหมดของบริษัทติดไวรัสได้ หากตรวจไม่พบทันเวลาจะทำให้ธุรกิจเสียหายหลายล้านดอลลาร์

แรนซัมแวร์-มัลแวร์-ความปลอดภัย-ไวรัส-สปายแวร์-อาชญากรรมไซเบอร์-แฮ็ค-สแปม

4. ขาดความตระหนักในเรื่องความปลอดภัยทางไซเบอร์

ข้อผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-4

ในกรณีส่วนใหญ่ ข้อผิดพลาดของมนุษย์ที่ทำให้เกิดการละเมิดความปลอดภัยเกิดขึ้นโดยไม่ได้ตั้งใจหรือเกิดจากการขาดความรู้ น่าเสียดายที่บางองค์กรมุ่งเน้นที่การได้รับผลลัพธ์จนละเลยความจำเป็นในการให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยในโลกไซเบอร์ ต่อไปนี้คือข้อผิดพลาดทั่วไปหลายประการที่ผู้คนอาจทำได้เนื่องจากขาดความรู้:

  • การดาวน์โหลดซอฟต์แวร์จากแหล่งที่น่าสงสัยและได้รับอนุญาต
  • เชื่อมต่อกับ Wi-Fi สาธารณะที่ร้านอาหารหรือโรงแรมโดยไม่ต้องเข้ารหัส VPN
  • การเสียบปลั๊กอุปกรณ์ เช่น ที่เก็บข้อมูล USD ที่ไม่ทราบที่มา

5. อีเมลฟิชชิ่ง

ข้อผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-5

จากการสืบสวนที่ดำเนินการโดย Verizon ในปี 2020 การละเมิดความปลอดภัยในโลกไซเบอร์ 20% เกิดขึ้นเนื่องจากอีเมลฟิชชิง การคลิกลิงก์ที่เป็นอันตรายในอีเมลดังกล่าวถือเป็นข้อผิดพลาดที่เกิดจากมนุษย์ซึ่งมีค่าใช้จ่ายสูง ตามรายงาน ค่าใช้จ่ายเฉลี่ยของบันทึกที่ถูกขโมยเพียงครั้งเดียวคือ 133 ดอลลาร์ ลองนึกดูว่ามันจะสร้างความเสียหายให้กับองค์กรขนาดไหนหากเครือข่ายทั้งหมดติดไวรัสนอกเหนือจากคอมพิวเตอร์ของผู้ใช้ปลายทาง!

6. ความปลอดภัยของซอฟต์แวร์ไม่เพียงพอ

ความผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-6

เมื่อพนักงานทำงานซ้ำๆ ทุกวัน พวกเขาจะกลายเป็นคนประมาทและเพิกเฉยต่อขั้นตอนการรักษาความปลอดภัยเมื่อเวลาผ่านไป พวกเขาคิดว่าหากงานของพวกเขาราบรื่นเมื่อวานนี้ วันนี้ก็ไม่มีอะไรมาคุกคามพวกเขาได้ ทัศนคติที่ไม่ระมัดระวังต่อขั้นตอนการรักษาความปลอดภัยนี้อาจทำให้ระบบความปลอดภัยของทั้งบริษัทเสียหายได้ นี่คือขั้นตอนการรักษาความปลอดภัยที่พนักงานเพิกเฉย:

  • การอัปเดตซอฟต์แวร์: พนักงานส่วนใหญ่ข้ามการอัปเดตซอฟต์แวร์เพราะใช้เวลานานเกินไปหรือปรากฏในเวลาที่ไม่สะดวกที่สุด
  • บางครั้งพนักงานสามารถปิดโปรแกรมป้องกันไวรัสหรือคุณลักษณะด้านความปลอดภัยได้เนื่องจากรบกวนการทำงานของตน การปล่อยคอมพิวเตอร์ไว้โดยไม่มีการป้องกันแม้แต่นาทีเดียวเป็นสิ่งที่อันตรายหากใช้งานอินเทอร์เน็ตอยู่

7. การแก้ไขล่าช้า

ข้อผิดพลาดของมนุษย์-ความปลอดภัยทางไซเบอร์-การละเมิด-7

การแพตช์ที่ล่าช้านั้นเชื่อมโยงกับจุดก่อนหน้าอย่างใกล้ชิด แต่เน้นที่การอัปเดตซอฟต์แวร์มากกว่า อาชญากรไซเบอร์มองหาช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์อยู่ตลอดเวลา แต่นักพัฒนาซอฟต์แวร์ก็ทำเช่นนั้นเช่นกัน เมื่อพวกเขาพบช่องโหว่ดังกล่าวแล้ว พวกเขาก็จะแก้ไขทันทีและส่งแพตช์ที่เรียกว่าการอัปเดตซอฟต์แวร์ให้ ผู้ที่ติดตั้งการอัปเดตตรงเวลาจะปกป้องอุปกรณ์ของตนจากการละเมิดความปลอดภัย ในขณะที่การหน่วงเวลาทุกนาทีจะเพิ่มความเสี่ยงที่จะถูกบุกรุก

กรณีของหน่วยงานรายงานเครดิต Equifax เป็นตัวอย่างที่ดีเยี่ยมว่าเหตุใดจึงไม่ควรเพิกเฉยต่อการอัปเดตซอฟต์แวร์ ในปี 2560 ซอฟต์แวร์ของพวกเขามีช่องโหว่ด้านความปลอดภัย บริษัททราบเรื่องนี้แต่ทำให้กระบวนการแพตช์ล่าช้า เป็นผลให้ระบบของพวกเขาถูกแฮ็ก และข้อมูลส่วนบุคคลของลูกค้าชาวอเมริกันกว่า 140 ล้านรายและลูกค้าชาวแคนาดา 8,000 รายถูกบุกรุก

คุณอาจชอบ: เอกสารและโปรโตคอลที่ธุรกิจของคุณต้องการสำหรับความปลอดภัยทางไซเบอร์

วิธีลดความเสี่ยงจากความผิดพลาดของมนุษย์และป้องกันการละเมิดความปลอดภัยทางไซเบอร์

ความปลอดภัยทางไซเบอร์การป้องกันความเป็นส่วนตัวการเข้ารหัสความปลอดภัยรหัสผ่านไฟร์วอลล์การเข้าถึง

เมื่อบริษัทระบุช่องว่างในนโยบายความปลอดภัยแล้ว พวกเขาสามารถใช้มาตรการป้องกันได้ การทำผิดพลาดคือมนุษย์ นั่นเป็นเหตุผลว่าทำไมจึงเป็นไปไม่ได้ที่จะกำจัดความเสี่ยงทั้งหมด แต่สามารถลดความเสี่ยงได้ ตรวจสอบเจ็ดมาตรการต่อไปนี้

1. ปรับปรุงการจัดการรหัสผ่าน

จุดที่ 1

เนื่องจากส่วนใหญ่ของการละเมิดความปลอดภัยทางไซเบอร์เกิดจากการสุขอนามัยของรหัสผ่านที่ไม่ดี บริษัทต่างๆ จึงควรให้ความสนใจเป็นพิเศษกับการจัดการรหัสผ่าน องค์กรควรกำหนดนโยบายที่ชัดเจนไม่ให้ใช้รหัสผ่านง่ายๆ หรือตั้งค่าชุดค่าผสมเดียวสำหรับบัญชีทั้งหมดของตน เครื่องมือสร้างรหัสผ่านสามารถช่วยสร้างรหัสผ่านที่รัดกุมและเชื่อถือได้ซึ่งประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์

นอกจากนี้ ควรเป็นส่วนบังคับของนโยบายเพื่อเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยในบัญชีบริษัททั้งหมด มันจะเพิ่มการป้องกันบัญชีของคุณและทำให้แฮ็กเกอร์ไม่สามารถถอดรหัสได้

2. ควบคุมการเข้าถึงข้อมูลที่ละเอียดอ่อน

จุดที่ 2

การอนุญาตให้พนักงานทุกคนเข้าถึงข้อมูลที่ละเอียดอ่อนได้อย่างไม่จำกัดนั้นเป็นความผิดพลาดครั้งใหญ่ของบริษัทต่างๆ ตามค่าเริ่มต้น พนักงานทุกคนควรปฏิเสธการเข้าถึง จากนั้น ผู้จัดการควรกำหนดสิทธิ์ในขณะเดินทาง เมื่อใดก็ตามที่พนักงานต้องการเข้าถึงข้อมูลสำหรับการปฏิบัติงาน ระบบส่วนใหญ่มีระดับสิทธิ์ของผู้ใช้ที่แตกต่างกันโดยขึ้นอยู่กับบทบาท ตัวอย่างเช่น ผู้เชี่ยวชาญรุ่นเยาว์สามารถดูเอกสารได้ในขณะที่ผู้จัดการมีสิทธิ์แก้ไขหรือลบเท่านั้น การแบ่งสิทธิ์ของผู้ใช้ดังกล่าวจะปกป้องข้อมูลที่ละเอียดอ่อนจากการถูกแก้ไขหรือลบโดยไม่ตั้งใจ

3. ติดตั้งซอฟต์แวร์ป้องกันไวรัสและป้องกันสปายแวร์

จุดที่ 3

ไวรัสและสปายแวร์อาจทำให้อุปกรณ์และเครือข่ายของคุณเสียหายได้ ดังนั้น การป้องกันจึงฉลาดกว่าการต่อสู้กับผลลัพธ์ที่ตามมา การป้องกันไวรัสและสปายแวร์ที่ดีที่สุดคือซอฟต์แวร์ป้องกันไวรัสและป้องกันสปายแวร์ McAfee Total Protection, Norton 360 และ Bitdefender Total Security เป็นสามโซลูชั่นป้องกันสปายแวร์อันดับต้น ๆ ที่ควรใช้ ซอฟต์แวร์นี้มี VPN สำหรับการใช้งานอินเทอร์เน็ตแบบเข้ารหัสและไฟร์วอลล์เพื่อป้องกันอุปกรณ์จากภัยคุกคามภายนอก

4. ให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์

จุดที่ 4

ข้อผิดพลาดที่เกิดจากมนุษย์ส่วนใหญ่เกิดจากการขาดความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ และวิธีที่ดีที่สุดในการลดความเสี่ยงของข้อผิดพลาดดังกล่าวคือการให้ความรู้และเพิ่มความตระหนักของพนักงานของคุณเกี่ยวกับความปลอดภัยของข้อมูล บริษัทต่างๆ ควรจัดการฝึกอบรมเป็นประจำและสอนพนักงานเกี่ยวกับการโจมตีทางไซเบอร์ ประเภทและขั้นตอนการป้องกัน พวกเขาควรรู้วิธีแยกอีเมลฟิชชิ่งออกจากอีเมลจริง วิธีรายงานอีเมลเหล่านั้น และสิ่งที่ต้องทำในกรณีที่ตรวจพบการละเมิดความปลอดภัย หากบริษัทของคุณมีนโยบายความปลอดภัยเฉพาะ ตรวจสอบให้แน่ใจว่าพนักงานของคุณทราบเกี่ยวกับนโยบายดังกล่าว

พนักงานรักษาความปลอดภัยในโลกไซเบอร์

5. กรองอีเมลขาเข้า

จุดที่ 5

วิธีหนึ่งในการป้องกันตัวเองจากอีเมลฟิชชิงคือการทำเครื่องหมายข้อความที่ได้รับจากภายนอกบริษัทของคุณ แต่ก็ไม่ใช่วิธีแก้ปัญหา 100% เนื่องจากอีเมลขยะบางฉบับสามารถเลียนแบบโดเมนอีเมลของบริษัทคุณได้ ดังนั้น การใช้ซอฟต์แวร์รักษาความปลอดภัยที่ตรวจจับอีเมลที่น่าสงสัยจึงเป็นอีกทางเลือกหนึ่ง

ไม่ว่าคุณจะตัดสินใจต่อสู้กับฟิชชิงอย่างไร ให้ตั้งหลักว่าจะไม่ดาวน์โหลดไฟล์หรือคลิกลิงก์ภายในอีเมลที่น่าสงสัย

6. อัปเดตนโยบายความปลอดภัยของคุณ

จุดที่ 6

บริษัทของคุณไม่ควรพึ่งพาทัศนคติที่ดีของพนักงานในการปฏิบัติตามขั้นตอนความปลอดภัยทางไซเบอร์ คุณควรมีนโยบายความปลอดภัยขององค์กรที่อธิบายไว้อย่างชัดเจน ซึ่งอธิบายวิธีจัดการกับข้อมูลที่ละเอียดอ่อน วิธีและเวลาที่ควรอัปเดตรหัสผ่านและกฎความปลอดภัยอื่นๆ อย่างไรก็ตาม คู่มือนี้ไม่ควรล้าสมัย อย่าลืมอัปเดตเป็นประจำและแจ้งให้พนักงานของคุณทำความคุ้นเคยกับขั้นตอนการรักษาความปลอดภัยใหม่

คุณอาจชอบ: การเรียนรู้ของเครื่องใช้ในความปลอดภัยทางไซเบอร์อย่างไร

7. อัปเดตซอฟต์แวร์เป็นประจำ

จุดที่ 7

นักพัฒนาซอฟต์แวร์ออกแพตช์เนื่องจากพวกเขาได้ค้นพบช่องโหว่และต้องการช่วยให้คุณได้รับการปกป้องจากช่องโหว่เหล่านี้ ดังนั้น การเพิกเฉยและข้ามการอัปเดตซอฟต์แวร์จะเพิ่มความเสี่ยงที่อุปกรณ์ของคุณจะถูกบุกรุก ดังนั้น ขอแนะนำให้ติดตั้งแพตช์ทันทีหลังจากที่พร้อมใช้งาน