Hepimiz bilgisayarımızı kullanırken bir çok sorun yaşayıp Bilgi Teknolojileri destek uzmanını aramışızdır. BT destek uzmanı sorunu bir şekilde çözer ve bu kayıtlara büyük bir oranda “Kullanıcı Hatası” olarak geçer. Uzman olarak çalıştığım dönemlerde çok kullanıcı desteği verdiğim için biliyorum kullanıcı hata yapıyor 🙂
Yakın zamanda elime bir araştırma raporu ulaştı. Başlığı “Psychology of Human Error” – Türkçeye insan hatasının psikolojisi şeklinde çevirebiliriz. Siber güvenlik çözümleri üreten Tessian firmasının yaptırdığı bir araştırma raporu.
Raporu hazırlayan Jeff Hancock, Stanford üniversitesinde Profesör olarak çalışıyor. Hancock ve ekibi, kullandığımız kelimelerin aldatma ve güven, duygusal dinamikler, samimiyet ve ilişkiler gibi psikolojik ve sosyal dinamikleri nasıl ortaya çıkardığını anlamak için hesaplamalı dilbilim ve deneyleri kullanma konusunda uzmanlaşmıştır.
Rapor insanların bilgisayar kullanırken, siber güvenlik olaylarına neden olabilecek yaptıkları hatalar ile ilgili inceleme ve araştırmaları içeriyor. Raporun linkini kaynaklar kısmına ekledim.
İnsan doğasında hata yapmak var
Evet hepimiz hata yapıyoruz, günümüzde yaptığımız çok basit hatalar bizi yada çalıştığımız kurumu çok zor durumda bırakabiliyor. (Burada aklıma Cem Yılmaz’ın kardeşi Can Yılmaz’ın yanlışlıkla bir mesajı Cem yerine telefonunda kayıtlı başka birisine göndermesi ile ilgili hikayesi geldi 🙂 İzlemediyseniz mutlaka izleyin.)
Kurumsal hayatta çalışan bir çok kişinin başına gelmiştir mail gönderirken adres kısmına yanlışlık başka birisinin e-posta adresini yazıp göndermek. Bu yapılan yanlışlık sonucunda e-posta kurum içinden birisine gitmişse derin bir nefes alırız ancak kurum dışına gittiyse ve e-posta içinde yada ekinde kurumunuzun çok gizli bilgileri yer alıyorsa başımızdan kaynar sular boşalır. (Bir çok kurum bu tip durumlar için DLP benzeri çözümler kullanarak önlem almıştır ancak yine de dikkatli olmak lazım)
En zayıf halka “İnsan”
İngiltere de yapılan yapılan bir araştırmada, günümüzde oluşan veri ihlallerinin %88 i kullanıcı hataları nedeniyle oluştuğu belirtiliyor. Bunun yanında Verizon’un hazırladığı bir raporda ise insan hatası nedeniyle oluşan veri ihlallerinin hızla arttığı yönünde. Bu nedenle, siber güvenlikte en zayıf halka insan olarak belirtiliyor.
Kurumlar en değerli varlığı olan insanları koruyacak ve güven içinde çalışmalarını sağlayacak yöntemler bulmak zorunda. Peki ama nasıl? Nasıl sorusuna doğru cevabı verebilmek için öncelikle problemi net bir şekilde anlamak gerekir. Raporda buna ışık tutmak için hazırlanmış.
Yönetici Özeti
Rapor, İngiltere ve Amerika’da toplam 2000 profesyonel çalışana iş yaşamlarında yaptıkları hatalar hakkında sorulan sorulara verilen cevaplar analiz edilerek hazırlanmış.
Araştırma sonuçları, insanların dikkat dağınıklıklarının, stresin ve aşırı yorgunluğun siber güvenlik konusunda karar almalarını etkilediği gösteriyor. Bunun yanında 2020 yılında yaşanan ve devam eden olaylar sebebi ile kurumların çalışanlarını her zamankinden daha fazla korumaları gerektiği belirtiliyor. Ayrıca siber güvenlikte bir çözümün tüm çalışanlar için uygun olmayabileceğinin de altı çiziliyor.
Önemli Bulgular
Her dört çalışandan birisi oltalama (phishing) mesajlarını açmış!
Çalışanların %58′i yanlış kişilere e-posta göndermiş.
Çalışanların %57’si evden çalışma yönteminde dikkatlerinin daha fazla dağıldığını belirtmişler.
Her beş şirketten birisi yanlış yönlendirilen bir e-posta nedeniyle müşterisini kaybetmiş.
İnsanların %43’ü iş yerinde veri ihlaline neden olan bir hata yaptığını belirtmiş.
Genç çalışanların diğer çalışanlara göre beş kat daha fazla güvenlik ihlaline neden olabilecek hata yapma potansiyeli olduğu tespit edilmiş.
Çalışanların yarısı stres altındayken daha fazla hata yaparken, %43’ü yorgun olduklarında daha fazla hata yaptığını belirtmiş.
Çalışanların %93’ü iş yerinde yorgun ve stresli olduklarını belirtmişler.
Her on çalışandan birisi haftanın her günü yorgun olduğunu belirtmiş.
Çalışanların üçte biri iş yerinde siber güvenlik hakkında hiç yada çok nadir düşündüklerini belirtmiş.
Yanlışlıkla kimlik avcılarının oltasına gelenler
Rapora göre, Teknoloji endüstrisindeki çalışanlar, kimlik avı e-postalarındaki bağlantıları tıklama olasılıkları en yüksek olanlardı ve bu sektördeki katılımcıların yaklaşık yarısı (% 47) bunu yaptığını kabul etti. Siber güvenlik konusunda en bilgili insanların bile hata yapabileceğini gösteriyor. Bunu %45 oran ile Bankacılık ve Finans çalışanları takip ediyor.
İlginç bir şekilde Teknoloji sektöründe çalışanların %85’i ve Finans sektöründe çalışanların %77’si kendilerinden e-postalara çok hızlı cevap vermelerinin beklendiğini belirtmişler! Bir çok bilimsel çalışma zaman baskısının alınan kararlar üzerinde negatif etkisi olduğunu göstermektedir.
Raporda erkeklerin (%34) kadınlara (%17) göre 2 kat fazla kimlik avcıları oltalama mesajlarını açtığı belirtiliyor. Araştırmacılar bunun nedenini tam olarak çözememişler ancak erkeklerin kadınlara göre daha fazla risk alma isteklerinin buna neden olabileceğini belirtmişler.
Yanlış kişilere mail gönderenler
Ankete cevap verenlerin %58’i yanlış kişilere e-posta gönderdiklerini belirtmiş. Bu cevaplar içinde %17’si şirket dışında üçüncü bir partiye yanlışlıkla e-posta gönderdiğini belirtmiş. Yanlışlıkla gönderilen e-posta sonucunda %20 si müşteri kayıpları yaşadıklarını belirtmiş.
Neden hata yapıyoruz
Araştırmaya katılanların çoğunluğu stresli olduklarında daha fazla hata yaptıklarını belirtmişler. Genç (18-30 yaş) çalışanların %62 si stres altında daha fazla hata yaptıklarını belirtirken 51 ve üzeri yaşında çalışanlarda bu oran %45 olarak çıkmış.
Ankete katılanların yarısı, kimlik avı oltalama mesajlarını açmalarının nedeni olarak dikkat dağınıklığını belirtiyorlar. Yarıdan fazlası da evden çalışma ortamında dikkat dağınıklıklarının daha fazla olduğunu belirtmiş.
Araştırmacılar bu durumu pandemi nedeniyle çalışma ortamının çok hızlı değişmesine ve uzaktan çalışma ortamlarının ev, iş, sosyal dengelerinin tamamen birbirine geçmesi ve çalışanlar bu durumu yönetmekte zorlanmalarına bağlıyorlar.
Jeff Hancock bu durumu şöyle açıklıyor; “İş yerindeyken süper kahraman kimliğime bürünüyorum, dikkatliyim ve kendime güvenim tam. Evdeyken daha az dikkatliyim ve patronum gibi davranan bir kimlik avcısından acil kodlu bir e-posta beklemiyorum. Bu nedenle, bu tip durumlara iş yerinde olduğum gibi tepkiler veremiyorum.”
Aldatma ve hile taktikleri
Ankette oltalama mesajlarını açan çalışanların %41’i mesajın yöneticilerinden geldiğini yada bilinen güvenilir bir kurumdan geldiğini düşünerek açtıklarını belirtmişler. Dolayısı ile yöneticinizden acil bir istek içeren mail geldiğini gören çalışanlar hiç düşünmeden bu mesajları açabiliyor.
Herkesin bir bilinen bir de bilinmeyen çevresi mevcut. Bilinen çevrenizde; iş arkadaşlarınız, yöneticileriniz, dostlarınız, aileniz bulunur. Bilinmeyen çevrenizde ise tanımadıklarınız ve hatta kötü niyetli insanlar bulunur. Ancak günümüzde kimin bilinen çevremizden olduğunu anlamak biraz zorlaşmış durumda. Özellikle siber korsanların bilinen çevrenizden birisinin kimlik bilgilerini çalarak o kişi gibi sizinle iletişime geçtiği durumlarda oltaya gelme riskiniz oldukça artıyor.
Yorgunluk ve yoğunluk
Ankete katılan çalışanların %93 ü neredeyse tamamı stres ve yoğun çalışma ortamlarının olduğunu ve bu ortamın hata yapmalarına neden olduğunu belirtmiş. Ayrıca çalışma ortamlarında gereğinden fazla çalışmalarını gerektirecek bir sunum kültürü olduğunu belirtenlerin oranı %61. Ayrıca işyerlerinde tükenmişlik yaşayanların oranı %46!
Kurumlar çalışanlarını stresli ve yoğun bir ortamda siber saldırganların bu durumlarını nasıl kullanacağına dair eğitmeleri gerekiyor. Tabii çalışma ortamlarını daha az stresli bir hale getirmeleri ve yoğunluğu da insani boyutlara indirgemeleri ilk tercih olur.
Yaş faktörü
Genç çalışanların daha fazla hata yapmalarının nedeni olarak, Hancock, genç çalışanların bir hata yaptıklarının daha fazla farkında olmaları ve hatalarını kabul etmeye daha istekli olmaları şeklinde yorumluyor.
Eski nesiller için, işyerinde kendini sunma ve saygının son derece önemli olduğu belirtiliyor. Bir hata yaptıklarını kabul etmekte daha isteksiz olabilirler çünkü teknoloji hakkında önyargılı kavramlardan dolayı utanırlar ve “itibarlarını kaybetmek” istemezler.
Ayrıca genç çalışanlar yaptıkları hataları daha açıklıkla dile getirirken, eski nesil çalışanların yaptıkları tüm hataları BT ekiplerine raporlamadıkları yönde bir tespit yapılmış.
Tessian’ın yaptığı başka bir araştırmada veri ihlali olaylarının BT yöneticilerinin düşündüklerinden 38 kat daha fazla olduğu belirtilmiş.
Bu nedenle kurumların çalışanların yaptığı hataları raporlaması yönünde teşvik etmeleri gerektiğinin altı çiziliyor.
Eğitim
Siber güvenlik konusunda çalışanların farkındalığının artırılması için eğitimler çok önemli olduğunu biliyoruz. Ancak rapor sonuçlarında da görüldüğü gibi cinsiyetin hatta farklı yaş gruplarının farklı davrandığını bilerek bu eğitimleri düzenlemek gerekiyor. Standart bir eğitim içeriği tüm çalışanlar için uygun olamayacaktır. Hatta tüm insanların birbirlerinden karakter olarak farklı olduğunu düşünürsek her bir çalışana özel bir eğitim içeriği oluşturmak gerekir.
İnsanlarda davranış değişikliğinin zorluğunu da unutmamak gerekir. Ben kozmetik eğitimler olarak adlandırırım, bir sınıf yada çevrim içi eğitim vermek, bir poster hazırlamakla maalesef istenen farkındalık oluşmuyor.
Teknoloji
Bu rapora da sponsor olan Tessian şirketinin çözümleri gibi siber güvenlik teknolojilerinin kullanılmasının önemi tartışılmaz. Ancak özellikle belirtmek istediğim her bir kullanıcının davranışlarını raporlamak ve bunu kullanıcıya göstermek ve bunu 365 güne yaymanın oldukça önemli olduğunu düşünüyorum. Yani davranışlarımın siber güvenlik tarafındaki yansımaları ile anında yüzleştiğimizde o davranışımızı değiştirme olasılığımız yükselecektir.
Son olarak hatasız insan olmaz önemli olan aynı hatayı tekrar etmemek olduğunu belirterek yazıyı tamamlamak istiyorum.
Kaynak:
https://www.tessian.com/research/the-psychology-of-human-error/
Yorum yazabilmek için oturum açmalısınız.