διαχείριση ανθρώπινου ρίσκου

Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια

Γράφει o Τάσος Αραμπατζής

Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.

Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.

Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις

Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.

Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.

Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.

Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.

Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής

Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.

Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.

Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.

Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου

Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.

Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.

Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.

Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.

Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.

Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.

Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων

Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.

Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.

Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.

Κλείνοντας: μια πρόσκληση για σκέψη και δράση

Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.

Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.

by Homo Digitalis