علی فلاح^۱ – به رغم تمام پیش‌رفت‌های روزافزونی که از نظر زیرساختی، تجهیزاتی و فناورانه برای بهبود امنیت اطلاعات در عصر دیجیتال ظهور می‌کنند، همچنان انواع تهدیدات و خطرات داده‌ها و اطلاعات حساس افراد، سازمان‌ها و حکومت‌ها را تهدید می‌کنند و روزانه شاهد انواع آسیب‌ها در این حوزه هستیم. این واقعیت تلخ حاصل این نکته است که اغلب کلاهبرداری‌ها و خرابکاری‌ها از مسیر مهندسی اجتماعی و اثرگذاری روانشناختی بر کارکنان و متکی به خطاهای انسانی رخ می‌دهند. بنابراین نقش سرمایه‌های انسانی در حفظ و تقویت امنیت سایبری بسیار حساس و مهم است و تقویت فرهنگ امنیت سایبری، آموزش مستمر کارکنان و نهادینه کردن رفتارهای امن، یک ضرورت استراتژیک برای هر دستگاه و سازمانی محسوب می‌شود.

اهمیت فرهنگ امنیت سایبری در شرکت‌های فناورانه

امروزه با گسترش سریع فناوری‌های متنوع در اکوسیستم بانکداری و همه‌گیری سرویس‌های ابری، امنیت سایبری دیگر محدود به افزایش تجهیزات امنیت فناوری از جمله نصب فایروال‌ها یا استفاده از سیستم‌های ضد نفوذ نیست. اهمیت کسب آمادگی پیش‌دستانه زیرساختی برای ایجاد بستر دورکاری که با هدف ایجاد امکان تداوم کسب‌وکار در شرایط بحرانی صورت می‌پذیرد نیز تایید دیگری بر همین نکته است. امروزه حتی سازمان‌هایی با زیرساخت‌های پیشرفته و ابزارهای امنیتی قدرتمند، همچنان در برابر بزرگ‌ترین تهدید، یعنی ضعف انسانی و کمبود آگاهی کاربران داخلی، آسیب‌پذیرند.

در واقع، هرچقدر هم که فناوری پیشرفته باشد، اگر کارکنان با اصول اولیه امنیت سایبری آشنا نباشند، مهاجمین می‌توانند با استفاده از روش‌های مهندسی اجتماعی به اطلاعات حساس دسترسی پیدا کنند. اما راهکار آگاه‌سازی سرمایه‌های انسانی نسبت به این اصول و البته خطرات و تهدیدات موجود و حساس‌ کردن و مسئولیت‌پذیرکردن آنها نسبت به رعایت این اصول چیست؟ مقاله اخیر پاسخی برای همین سوال است.

 این مقاله بر اساس آخرین تحقیقات علمی و مقالات بین‌رشته‌ای در حوزه روانشناسی، امنیت سایبری، مهندسی اجتماعی و هوش مصنوعی تدوین شده است تا بتواند تصویری جامع از نقاط ضعف انسانی و راهکارهای مقابله با تهدیدات پیچیده در یک سازمان را ارائه دهد.

به عنوان مثال، شرکتی که به عنوان ارائه‌دهنده خدمات پرداخت (PSP) فعالیت می‌کند، مسئول مدیریت تراکنش‌های مالی کاربران و اتصال به درگاه‌های بانکی است. حتی اگر این شرکت تحت نظارت و تدابیر شدید امنیت سایبری شاپرک باشد و از سیستم‌های پیشرفته تشخیص نفوذ و احراز هویت چندعاملی بهره ببرد، یک ایمیل فیشینگ ساده یا یک درخواست جعلی می‌تواند کافی باشد تا در اثر خطای انسانی کارکنان، مهاجم به اطلاعات حساس دسترسی پیدا کند.

نکته‌ی اصلی ماجرا اینجا است که حملات مهندسی اجتماعی معمولاً از نقاط ضعف روان‌شناختی ما استفاده می‌کنند: اعتماد بیش از حد، ترس، طمع، کنجکاوی و حتی ویژگی‌های مثبت مانند مهربانی و حس هم‌نوع دوستی. مهاجمین حرفه‌ای، با تحلیل داده‌های موجود آنلاین، ایمیل‌ها و رفتار کاربران، حملاتی طراحی می‌کنند که بسیار شخصی‌سازی شده و دقیق هستند و در برابر دفاع‌های سنتی تقریباً غیرقابل شناسایی‌اند.

مهندسی اجتماعی و ضعف حلقه انسانی در امنیت سایبری

مهندسی اجتماعی، هنر یا علم فریب دادن افراد برای کسب اطلاعات حساس یا انجام اقدامات غیرمجاز است. برخلاف تصور رایج، هدف مهاجمان تنها سیستم‌ها نیستند؛ آن‌ها مستقیماً به ذهن و رفتار کاربران حمله می‌کنند. تحقیقات نشان می‌دهد که حدود ۹۵٪ از نقص‌های امنیتی و راه‌های نفوذ به واسطه‌ی خطای انسانی صورت می‌پذیرد و مهندسی اجتماعی در رأس این تهدیدها قرار دارد.

معمولا یک هکر برای دسترسی به اطلاعات از طریق مهندسی اجتماعی از روش‌های متنوعی بهره می برد:

• فیشینگ: مهاجمان با استفاده از ایمیل‌ها و پیام‌های جعلی، کاربران را به ارائه اطلاعات حساس ترغیب می‌کنند. تصور کنید ایمیلی به مدیر پروژه یکی از سرویس‌های بانکی ارسال می‌شود که ظاهراً از طرف ادمین‌ واحد امنیت است و می‌گوید: «بلافاصله وارد لینک زیر شود و رمز عبور خود را تغییر دهد». لینک به صفحه‌ای جعلی می‌رود و دسترسی مهاجم به سیستم‌ را ممکن می‌کند.
• استفاده از اطلاعات دیجیتال: جمع‌آوری ردپای آنلاین کاربران در شبکه‌های اجتماعی و اینترنت به مهاجمان امکان می‌دهد حملاتی بسیار شخصی‌سازی شده را طراحی کنند.
• ترکیب اصول روان‌شناسی: تحقیقات روان‌شناسی نشان داده مهاجمان از شش اصل متقاعدسازی رابرت چالدینی (Robert Cialdini )، شامل اقتدار، کمیابی، تایید اجتماعی، علاقه و شباهت، تعهد به ثبات قدم و جبران محبت استفاده می‌کنند تا کاربران را فریب دهند:
  • اقتدار: پیامی که ظاهرا از سوی یک مدیر ارشد ارسال شده است.
  • کمیابی (فوریت): ایجاد حس نگرانی و ترس از دست دادن فرصت در کاربر: مثلا تا پایان وقت اداری امروز فرصت دارید رمزعبور خود را تغییر دهید.
  • تایید اجتماعی: در موقعیت‌های نامطمئن، افراد تمایل دارند از رفتار دیگران پیروی کنند؛ برای مثال، اگر همه کارکنان یک واحد، فرم جدید امنیتی را تکمیل کرده باشند و تنها شما مانده باشید، احتمال دارد تحت تأثیر این رفتار جمعی قرار بگیرید و اقدام مشابه انجام دهید.
  • علاقه و شباهت: مهاجم ممکن است خود را فردی با سمت یا تجربه‌ای مشابه شما در یک سازمان دیگر معرفی کند و با ایجاد حس دوستی و اشتراک علایق، تلاش کند اطلاعات سازمانی شما را به دست آورد.
  • تعهد به ثبات قدم: مهاجم با درخواست‌های کوچک و کم‌ریسک، اعتماد کاربر را جلب کرده و به تدریج اطلاعات حیاتی را به دست می‌آورد.
  • عمل متقابل (جبران محبت): وقتی کسی به ما لطفی می‌کند یا کمکی ارائه می‌دهد، ناخودآگاه احساس می‌کنیم باید در مقابل جبران کنیم.

هزینه‌های تحمیلی ناشی از حملات مهندسی اجتماعی بسیار بالا است. پژوهش‌ها نشان می‌دهد مع خسارات مستقیم و غیرمستقیم ناشی از این حملات می‌تواند تریلیون‌ها دلار (سالانه) در سطح جهانی باشد. مثال‌های واقعی در منابع شامل حملات هدفمند به سیستم‌های PSP و بانک‌های دیجیتال در نقاط مختلف جهان است که حتی با وجود زیرساخت‌های امنیتی پیشرفته، موفق به دسترسی به داده‌های حساس شده‌اند.

هوش مصنوعی؛ در خدمت مهندسی اجتماعی

با پیشرفت‌های اخیر در زمینه هوش مصنوعی  و یادگیری ماشینی، چشم‌انداز تهدیدات سایبری نیز دستخوش تحولات عمیقی شده است. در حالی که هوش مصنوعی می‌تواند به عنوان یک ابزار قدرتمند برای تقویت سیستم دفاعی سایبری مورد استفاده قرار گیرد، متأسفانه مهاجمان نیز به سرعت در حال بهره‌برداری از قابلیت‌های آن برای افزایش پیچیدگی و اثربخشی حملات خود هستند. این امر به ویژه در حوزه مهندسی اجتماعی کارکرد ویژه‌ای یافته است، جایی که هوش مصنوعی می‌تواند ظرفیت مهاجمان را برای فریب دادن افراد به طرز چشمگیری افزایش دهد.

هوش مصنوعی به مهاجمان این امکان را می‌دهد که حملات مهندسی اجتماعی را در مقیاس وسیع‌تر و با درجه شخصی‌سازی بی‌سابقه‌ای انجام دهند. این فناوری می‌تواند به آن‌ها کمک کند تا اهداف را با دقت بیشتری انتخاب کنند، محتوای فریبنده‌تری تولید کرده و حتی هویت افراد را به طور متقاعدکننده‌ای جعل کنند. این تکامل تهدیدات، نیاز به یک رویکرد دفاعی مبتنی بر فرهنگ را بیش از پیش ضروری می‌سازد، زیرا تشخیص این حملات پیشرفته توسط کاربران آموزش‌ندیده، به مراتب دشوارتر خواهد شد چرا که این فناوری می‌تواند محتوای صوتی/ویدیویی جعلی بسیار واقعی از مدیران تولید کرده و با تحلیل رفتارها و ردپاهای دیجیتال کاربران، نقاط ضعف مناسب برای حمله را شناسایی کند.

فراتر از فناوری: استراتژی‌ جامع برای افزایش ضریب تاب‌آوری سایبری

با توجه به پیچیدگی فزاینده تهدیدات سایبری و نقش محوری عنصر انسانی، تنها اتکا به راه‌حل‌های فناورانه برای امنیت دیگر کافی نیست. سازمان‌ها باید یک استراتژی جامع برای تاب‌آوری سایبری اتخاذ کنند که در آن فرهنگ، آموزش و فناوری به طور هم‌افزا با یکدیگر عمل کنند.

تاب‌آوری سایبری به معنای توانایی یک سازمان برای مقاومت در برابر حملات، تشخیص سریع آن‌ها، بازیابی از آسیب‌ها و یادگیری از تجربیات برای بهبود مستمر است. در این مسیر، عامل انسانی از یک عنصر آسیب‌پذیر به یک دارایی قدرتمند برای دفاع تبدیل می‌شود، به شرط آنکه به‌درستی آموزش دیده و آگاه و توانمند شود. سرمایه‌گذاری بر روی افراد، در کنار سرمایه‌گذاری در فناوری، یک استراتژی بلندمدت و پایدار برای مقابله با چشم‌انداز تهدیدات متغیر امروز است. در پیاده‌سازی این استراتژی این موارد باید مورد توجه قرارگیرد:

رهبری و الگوبرداری از بالا

تعهد و حمایت رهبر سازمان در ایجاد فرهنگ امنیتی بسیار حیاتی است. زمانی که مدیران ارشد خود به اصول امنیتی پایبند باشند و آن را به عنوان یک اولویت نشان دهند، این پیام به تمام سطوح سازمان منتقل می‌شود. رهبران باید علاوه بر کلام، با عمل خود، اهمیت امنیت را به نمایش بگذارند، از سیاست‌های امنیتی پیروی کنند، در آموزش‌ها شرکت نمایند و منابع لازم را برای تقویت فرهنگ امنیتی اختصاص دهند. این الگوبرداری از بالا، تأثیر قابل توجهی بر پذیرش و نهادینه شدن رفتارهای امنیتی در میان کارکنان خواهد داشت.

آموزش و آگاهی‌بخشی مستمر

یکی از ارکان اصلی ایجاد فرهنگ امنیتی، آموزش و آگاهی‌بخشی مستمر است. این آموزش‌ها نباید فقط به جلسات سالانه محدود شوند، بلکه باید به صورت مداوم و با استفاده از روش‌های متنوع (مانند شبیه‌سازی حملات فیشینگ، برگزاری کارگاه‌های تعاملی، ارائه محتوای آموزشی جذاب نظیر ویدیوی کوتاه، اینفوگرافیک، پوستر و …) انجام شوند. هدف این است که کارکنان با جدیدترین تهدیدات آشنا شوند، علائم هشداردهنده مهندسی اجتماعی را بشناسند و بدانند در صورت مواجهه با یک موقعیت مشکوک، چه اقدامی باید انجام دهند.

نهادینه‌سازی گزارش‌دهی

یک فرهنگ امنیتی سالم، کارکنان را تشویق می‌کند تا بدون ترس از سرزنش، هرگونه فعالیت مشکوک یا حادثه امنیتی را گزارش دهند. بسیاری از کارکنان ممکن است از ترس عواقب منفی، اشتباهات یا موارد مشکوک را پنهان کنند، که این امر می‌تواند منجر به گسترش نفوذ و آسیب‌های جدی‌تر شود. ایجاد یک کانال گزارش‌دهی آسان و محرمانه، همراه با اطمینان‌بخشی از عدم مجازات برای اشتباهات ناخواسته، می‌تواند به شناسایی سریع‌تر و مهار مؤثرتر تهدیدات کمک کند.

سیاست‌گذاری‌های هوشمندانه

به نظر می‌رسد پیاده‌سازی موثر سیستم مدیریت امنیت اطلاعات بر پایه استاندارد ISO 27001 با یک چالش جدی مواجه است و آن اجرای مستمر سیاست‌های تدوین شده به دلیل تفاوت سطوح آگاهی، انگیزه و رفتار کاربران در مواجهه با الزامات امنیتی است. سیاست‌های امنیتی باید فراتر از دستورالعمل‌های خشک و بی‌روح باشند؛ آن‌ها باید عملی، قابل درک و قابل اجرا برای تمام کارکنان باشند. سیاست‌ها باید به وضوح انتظارات را مشخص کنند، اما در عین حال انعطاف‌پذیری لازم را برای سازگاری با محیط‌های کاری مختلف فراهم آورند. مشارکت کارکنان در تدوین این سیاست‌ها می‌تواند به پذیرش بهتر و اجرای مؤثرتر آن‌ها کمک کند. همچنین، سیاست‌ها باید به طور منظم بازبینی و به‌روزرسانی شوند تا با تهدیدات جدید و تغییرات فناوری همگام بوده و در عین حال مانعی در جهت دستیابی به اهداف کسب و کاری سازمان نباشد.

شبیه‌سازی حملات و ترمیم نقاط ضعف

برگزاری منظم شبیه‌سازی حملات فیشینگ و سایر اشکال مهندسی اجتماعی می‌تواند به کارکنان کمک کند تا مهارت‌های شناسایی و هوشیاری خود را در یک محیط کنترل‌شده تقویت کنند. این تمرینات نباید با هدف سرزنش، بلکه با هدف آموزش و ارزیابی آمادگی انجام شوند.

نتیجه‌گیری

تلاش برای ارتقای امنیت سایبری یک ماموریت بی‌پایان است که نیازمند رویکردی چندلایه و جامع است. در حالی که فناوری‌های پیشرفته امنیتی نقش حیاتی در حفاظت از زیرساخت‌ها و داده‌ها ایفا می‌کنند، این مقاله به وضوح نشان می‌دهد که بدون توجه به عنصر انسانی، این استحکامات می‌توانند به راحتی دور زده شوند. مهندسی اجتماعی، به عنوان ستون فقرات بسیاری از حملات موفق، ضعف اصلی در هر سیستم امنیتی را نمایان می‌سازد.

بنابراین، سرمایه‌گذاری در ایجاد و تقویت فرهنگ امنیت سایبری، آموزش مستمر کارکنان و نهادینه کردن رفتارهای امن، یک ضرورت استراتژیک است. در مواجهه با تهدیدات روزافزون و پیچیده، به ویژه با ظهور هوش مصنوعی در دستان مهاجمان، سازمان‌ها باید دیدگاه خود را تغییر دهند: امنیت سایبری از فایروال‌ها آغاز نمی‌شود، بلکه از ذهن و رفتار هر یک از کارکنان نشأت می‌گیرد.

منابع :

1. A Review on Cybersecurity in HR Systems: Protecting Employee Data in the Age of Digital Transformation
   بررسی امنیت سایبری سیستم‌های منابع انسانی و حفاظت از داده‌های کارکنان در عصر تحول دیجیتال.
2. Social Engineering in Cybersecurity: A Domain Ontology and Knowledge Graph Application Examples
   بررسی مهندسی اجتماعی در امنیت سایبری با استفاده از کاربردهای دانش‌گراف و هستی‌شناسی حوزه.
3. A Survey on the Principles of Persuasion as a Social Engineering Strategy in Phishing – Kalam Khadka et al., 2024.
   بررسی اصول متقاعدسازی به‌عنوان یک استراتژی مهندسی اجتماعی در حملات فیشینگ 

---

1. سرپرست معاونت فناوری اطلاعات هلدینگ فناوری و نوآوری صاد ↩︎