ヒューマンエラーがサイバーセキュリティ違反を引き起こす7つの方法

公開: 2022-04-19

2021年にベライゾンが発表した広範なサイバーセキュリティレポートによると、「データ侵害の85%は人為的ミスが原因です」。 サイバーセキュリティとデータ保護では、ヒューマンエラーは、セキュリティ違反を引き起こす可能性のある従業員の意図しない行動として定義され、ほとんどの場合、データ漏洩につながります。

単一のエラーは企業にとって致命的であり、数百万ドルの費用がかかる可能性があります。 たとえば、Targetは2013年に大規模なデータ侵害を起こし、9千万ドルをもたらしました。 事件後、同社の評判は傷つき、顧客の信頼を取り戻すのに長い時間がかかりました。

会社はセキュリティ違反が発生する可能性があることを予測し、それを防ぐことができますか? 最も一般的なヒューマンエラーとそれらを防ぐ方法について説明しましょう。

目次を表示
  • サイバーセキュリティ違反を引き起こす7つの重大なヒューマンエラー
    • 1.パスワードの衛生
    • 2.不十分なデータアクセス制御
    • 3.スパイウェア
    • 4.サイバーセキュリティに対する認識の欠如
    • 5.フィッシングメール
    • 6.不十分なソフトウェアセキュリティ
    • 7.遅延パッチ
  • ヒューマンエラーのリスクを軽減し、サイバーセキュリティ違反を防ぐ方法
    • 1.パスワード管理を改善する
    • 2.機密データへのアクセスを制御する
    • 3.ウイルス対策およびスパイウェア対策ソフトウェアをインストールします
    • 4.サイバーセキュリティについて従業員を教育する
    • 5.受信メールをフィルタリングする
    • 6.セキュリティポリシーを更新します
    • 7.ソフトウェアを定期的に更新する

サイバーセキュリティ違反を引き起こす7つの重大なヒューマンエラー

ハッカー-匿名-サイバーセキュリティ-犯罪-違法-データ-パスワード-保護

ヒューマンエラーの意図しない性質は、それらが避けられないという意味ではありません。 ただし、企業はセキュリティポリシーの脆弱性を特定し、リスクを軽減するための対策を講じることができます。 セキュリティ違反を引き起こす可能性のある最も一般的な7つのヒューマンエラーは次のとおりです。

あなたにおすすめ: 2022年にオンラインで保護された状態を維持するための17のサイバーセキュリティのヒント。

1.パスワードの衛生

ヒューマンエラー-サイバーセキュリティ-違反-1

NordPassが50か国で実施した2021年の調査によると、「123456」の組み合わせは1億3000万人がログイン目的で使用しています。 2番目と3番目に頻繁に使用されるパスワードは、それぞれ4,600万人と2,230万人が使用する「123456789」と「qwerty」です。 熟練したハッカーは、このような弱いパスワードを1秒以内に解読する可能性があります。

貧弱なパスワードを設定することに加えて、ほとんどの人は、個人および企業の電子メール、ソーシャルメディアアカウント、およびその他のサービスに同じ組み合わせを使用します。 パスワードを何年も変更せず、同僚と共有したり、付箋紙に書き留めてモニターに貼り付けたりする人もいます。 パスワードに対するそのような不注意な態度は、セキュリティ違反の61%を引き起こします、とベライゾンは言います。

2.不十分なデータアクセス制御

ヒューマンエラー-サイバーセキュリティ-違反-2

誰かに不適切なアクセス権を割り当てることは、セキュリティ違反を引き起こす可能性のあるもう1つの人為的エラーです。 一部の組織では、無能な人々が機密データにアクセスする権限を持っています。 ただし、ほとんどの場合、このような幅広いアクセス権は、従業員を制限する特定の要求がない限り、デフォルトで従業員に付与されます。

不適切なアクセス制御によって引き起こされる最も一般的なエラーは次のとおりです。

  • 機密データを誤ってまたは意図的に削除する。
  • データ侵害やデータ漏洩を引き起こす可能性のあるシステム構成を作成する。
  • システムで不正な変更を実行する。
  • 貴重なデータを含むメールを間違った受信者に送信する。

3.スパイウェア

ヒューマンエラー-サイバーセキュリティ-違反-3

従業員が手元のタスクを実行するための情報をオンラインで探している間、許可されていないソースからファイルをダウンロードしたり、不明なリンクをクリックしたり、ランダムなポップアップで「はい」を押したりすることがあります。 このようなアクションは、知らないうちにデバイスにスパイウェアを感染させる可能性があります。 あなたが毎日の仕事をしている間、それはあなたのオンライン活動を記録し、あなたのログイン資格情報と個人情報を取得することさえ疑うことはありません。 次に、この悪意のあるマルウェアは、収集した情報を、ユーザーの同意なしにそれを使用するサードパーティに転送します。

最悪の部分は、スパイウェアが1台のコンピューターから拡散し、企業のネットワーク全体に感染する可能性があることです。 時間通りに検出されない場合、それはビジネスに数百万ドルの損害を引き起こします。

ランサムウェア-マルウェア-セキュリティ-ウイルス-スパイウェア-サイバー犯罪-ハッキング-スパム

4.サイバーセキュリティに対する認識の欠如

ヒューマンエラー-サイバーセキュリティ-違反-4

ほとんどの場合、セキュリティ違反の原因となる人為的エラーは、偶然または知識の欠如が原因で発生します。 残念ながら、一部の組織は結果の取得に集中しているため、サイバーセキュリティについて従業員を教育する必要性を無視しています。 知識不足のために人々が犯す可能性のあるいくつかの一般的な間違いは次のとおりです。

  • 疑わしい許可されたソースからソフトウェアをダウンロードする。
  • VPN暗号化なしでレストランやホテルの公共Wi-Fiに接続します。
  • 出所不明のUSDストレージなどのプラグデバイス。

5.フィッシングメール

ヒューマンエラー-サイバーセキュリティ-違反-5

2020年にベライゾンが実施した調査によると、サイバーセキュリティ違反の20%はフィッシングメールが原因で発生しています。 このような電子メール内の悪意のあるリンクをクリックすることは、最もコストのかかる人的エラーの1つです。 伝えられるところによると、1つの盗まれたレコードの平均コストは133ドルです。 エンドユーザーのコンピューター以外にネットワーク全体が感染した場合、組織にどれほどの損害を与える可能性があるか想像してみてください。

6.不十分なソフトウェアセキュリティ

ヒューマンエラー-サイバーセキュリティ-違反-6

従業員が日常業務を繰り返すと、不注意になり、時間の経過とともにセキュリティ手順を無視します。 彼らは、もし彼らの仕事が昨日シームレスであったなら、今日彼らを脅かすものは何もないと思います。 セキュリティ手順に対するこの不注意な態度は、企業全体のセキュリティシステムを危険にさらす可能性があります。 従業員が無視するセキュリティ手順は次のとおりです。

  • ソフトウェアの更新:ほとんどの従業員は、時間がかかりすぎるか、最も不便な時間に表示されるため、ソフトウェアの更新をスキップします。
  • 従業員は、仕事に支障をきたすためにウイルス対策やセキュリティ機能をオフにできる場合があります。 インターネットを積極的に使用している間、コンピュータを1分も保護せずに放置するのは危険です。

7.遅延パッチ

ヒューマンエラー-サイバーセキュリティ-違反-7

遅延パッチは前のポイントと密接に関連していますが、ソフトウェアの更新に重点を置いています。 サイバー犯罪者は常にソフトウェアセキュリティの脆弱性を探していますが、ソフトウェア開発者もそうしています。 このような脆弱性を発見すると、すぐに修正し、ソフトウェアアップデートとしてよく知られているパッチを送信します。 更新を時間どおりにインストールするものは、セキュリティ違反からデバイスを保護しますが、1分ごとの遅延により、侵害されるリスクが高まります。

Equifax信用調査機関の事例は、ソフトウェアの更新を無視してはならない理由の優れた例です。 2017年、彼らのソフトウェアにはセキュリティの脆弱性がありました。 会社はそれを知っていましたが、パッチ適用プロセスを遅らせました。 その結果、彼らのシステムがハッキングされ、1億4000万人を超えるアメリカ人の顧客と8000人を超えるカナダ人の顧客の個人情報が危険にさらされました。

あなたは好きかもしれません:サイバーセキュリティのためにあなたのビジネスが必要とする文書とプロトコル。

ヒューマンエラーのリスクを軽減し、サイバーセキュリティ違反を防ぐ方法

サイバーセキュリティ-保護-プライバシー-暗号化-安全性-パスワード-ファイアウォール-アクセス

企業がセキュリティポリシーのギャップを特定したら、予防策を講じることができます。 間違いを犯すことは人間です。 そのため、リスクを完全に排除することは不可能ですが、リスクを最小限に抑えることは可能です。 次の7つの対策を確認してください。

1.パスワード管理を改善する

ポイント1

サイバーセキュリティ違反の大部分はパスワードの衛生状態が悪いことが原因であるため、企業はパスワード管理に特に注意を払う必要があります。 組織は、単純なパスワードを使用したり、すべてのアカウントに1つの組み合わせを設定したりしないように明確なポリシーを設定する必要があります。 パスワード生成ツールは、文字、数字、記号で構成される強力で信頼性の高いパスワードを作成するのに役立ちます。

さらに、すべての企業アカウントで2要素認証をアクティブ化することもポリシーの必須部分である必要があります。 それはあなたのアカウントの保護を強化し、ハッカーによってそれらをクラックできないようにします。

2.機密データへのアクセスを制御する

ポイント2

すべての従業員に機密データへの無制限のアクセスを許可することは、企業による大きな間違いです。 デフォルトでは、すべての従業員のアクセスを拒否する必要があります。 次に、マネージャーは、従業員が作業を実行するためにデータへのアクセスを必要とするときはいつでも、外出先でアクセス許可を割り当てる必要があります。 ほとんどのシステムには、役割に応じて異なるユーザー権限レベルがあります。 たとえば、ジュニアスペシャリストはドキュメントを表示できますが、マネージャーはドキュメントを編集または削除する権利があります。 このようなユーザー権利の分割により、機密データが変更されたり、誤って削除されたりするのを防ぎます。

3.ウイルス対策およびスパイウェア対策ソフトウェアをインストールします

ポイント3

ウイルスやスパイウェアは、デバイスやネットワークに破壊的な損害を与える可能性があります。 したがって、その壊滅的な結果と戦うよりも保護する方が賢明です。 ウイルスとスパイウェアに対する最善の保護は、ウイルス対策ソフトウェアとスパイウェア対策ソフトウェアです。 McAfee Total Protection、Norton 360、およびBitdefender Total Securityは、使用する価値のある3つの上位のスパイウェア対策ソリューションです。 このソフトウェアは、暗号化されたインターネット使用のためのVPNと、外部の脅威からデバイスを保護するためのファイアウォールを提供します。

4.サイバーセキュリティについて従業員を教育する

ポイント4

ほとんどの人為的エラーは、サイバーセキュリティに関する知識が不足しているために発生します。 そして、そのようなエラーのリスクを軽減する最善の方法は、情報セキュリティに関する従業員の意識を教育し、高めることです。 企業は頻繁にトレーニングを実施し、サイバー攻撃、その種類、および保護手順について従業員に教える必要があります。 彼らは、フィッシングメールを本物のメールと区別する方法、それらを報告する方法、およびセキュリティ違反を検出した場合の対処方法を知っている必要があります。 会社に特定のセキュリティポリシーがある場合は、従業員がそれを知っていることを確認してください。

サイバーセーフティ-セキュリティ-従業員

5.受信メールをフィルタリングする

ポイント5

フィッシングメールから身を守る1つの方法は、社外から受信したメッセージにフラグを立てることです。 ただし、一部のスパムメールは会社のメールドメインを模倣する可能性があるため、100%のソリューションではありません。 したがって、疑わしい電子メールを検出するセキュリティソフトウェアを使用することも別のオプションです。

フィッシングとの闘いをどのように決定したとしても、ファイルをダウンロードしたり、疑わしい電子メール内のリンクをクリックしたりしないように経験則を作成してください。

6.セキュリティポリシーを更新します

ポイント6

あなたの会社は、サイバーセキュリティ手順に従うことに対する従業員の良心的な態度に頼るべきではありません。 機密データの処理方法、パスワードやその他のセキュリティルールをいつどのように更新するかを説明する、明確に説明された企業のセキュリティポリシーが必要です。 ただし、このガイドは古くなってはいけません。 定期的に更新し、新しいセキュリティ手順に慣れるように従業員に通知してください。

あなたも好きかもしれません:サイバーセキュリティで機械学習はどのように使用されていますか?

7.ソフトウェアを定期的に更新する

ポイント7

ソフトウェア開発者は、脆弱性を発見し、それらから保護されることを望んでいるため、パッチをリリースします。 そのため、ソフトウェアの更新を無視してスキップすると、デバイスが危険にさらされるリスクが高まります。 したがって、パッチが利用可能になったらすぐにインストールすることをお勧めします。