サイバーセキュリティの「非難の文化」に対するサイバー心理学者の見解

「不注意な人だけがハッキングされます。」これはサイバーセキュリティに対する一般的な信念です。しかし、それは本当ですか？

サイバー心理学の第一人者であるエリック・ハフマン博士は、この問題を何年もかけて研究してきました。彼の研究は、人間の行動がサイバーセキュリティにどのように影響するか、そしてなぜ従来の生存本能がオンラインで私たちを守れないのかを掘り下げています。

彼の発見は？最も準備万端な企業でも攻撃を受けます。

私たちの最新エピソードでは ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャスト、私はハフマン氏に話を聞き、今日の攻撃の現実と、なぜゼロトラストが侵害への備えの最善の答えなのかについて話し合いました。

責任転嫁がサイバーセキュリティを阻む

ハフマンによると、情報漏えいに対する最も有害な反応の1つは、すぐに本能的に個人を責めることです。

「いつ インシデント たまたま、みんな「誰が何を間違えたの？」に飛びつきます。「どうしてこんなことが起こったのか、どうやって防ぐのか？」の代わりに」彼は説明した。

この非難の文化は逆効果であるだけでなく、時代遅れです。現実には、最もリソースが豊富でセキュリティ意識の高い組織でさえ、breaches の被害に遭っています。

「100％のセキュリティは存在しない」と彼は言った。「国民国家が参加したいなら、参加するだろう。」

焦点を非難から分析に移す必要があります。何が起こったのかを理解し、そこから学び、防御策を適応させることです。

ハッカーは愚かさではなくストレスを悪用します

ハフマンは、業界がサイバー啓発に時間をかけすぎていて、サイバー対策に十分な時間を費やしていないと断言しています。

「私たちは何に注意すべきかを人々に伝え続けていますが、ストレス下での対応方法に備えているわけではありません」と彼は言います。

サイバー犯罪者は、警戒心が強く、警戒心が強い人を標的にしません。彼らは傷つきやすいときに攻撃します。レイオフについてストレスを感じているとき、締め切りに間に合うように急いでいるとき、または緊急と思われるリクエストに感情的に関わっているとき。

ハフマン氏は、重要なのは個人の脆弱性を理解することだと言います。「一般的な脅威だけでなく、攻撃者が使用する特定の心理的戦術についても人々を訓練する必要があります。すべての人が独自のトリガーを持っています。」

AI を燃料とする新たな攻撃の波にご期待ください

の台頭 AI 主導型攻撃 この問題をさらに悪化させるだけです。ディープフェイクの音声と動画はすでにサイバー攻撃に使用されており、脅威アクターは役員になりすまして不正取引を許可しています。

「見たり聞いたりしたことを信頼できなくなったらどうなるの？」ハフマンが尋ねた。「私たちは、『検証、検証、検証』が当たり前になる必要がある時代に突入しています。」

セキュリティリーダーは、既知の連絡先からの電話でさえ額面通りに受けられない世界に備えなければなりません。採用 ゼロトラストの原則 そして、組織全体でゼロトラストという考え方を浸透させることは、AIを活用した不正行為に対抗する上で極めて重要です。

ゼロトラストは組織的なシートベルトです

では、どうすれば気づきから備えへと移行できるのでしょうか。

ハフマンは次の重要なステップを提案しています。

• 脅威評価: 個人が抱えている個人的脆弱性とその脆弱性がどのように悪用される可能性があるかを特定する‍
• コーピング評価: 最も脆弱なときに個人がどのように脅威を認識して対応するかについての戦略の開発

備えとは、脅威について抽象的に教えるだけでなく、自分自身を守るための実践的なツールを従業員に提供することです。

「人々を怖がらせるのをやめて、彼らに力を与え始める必要がある」と彼は言った。「今のところ、サイバーセキュリティは、何も悪いことが起こらないことを願って、シートベルトなしで車を運転するようなものです。私たちは人々にサイバーセキュリティシートベルトを提供する必要があります。」

組織レベルでも、ゼロトラストは同じ役割を果たします。

「ゼロトラストはテクノロジーだけではありません。それはメンタリティだ」とハフマンは言った。「それは『信頼するが検証する』ではなく、『検証してからもう一度検証する』ということです。」

サイバー対策トレーニングと並行してゼロトラストを採用している組織は、 抵抗力 人的脆弱性と技術的脆弱性の両方に対して。そして今日の世界では、レジリエンスが勝負の鍵です。

ITからサイバー心理学への道のり

ハフマンのサイバー心理学への道は直線的ではありませんでした。

コンピューターサイエンスの学位を取得した後、ITの分野でキャリアをスタートさせ、ネットワークの修正とセキュリティ問題のトラブルシューティングを行いました。しかし、連続してデータbreaches を直接経験した後、彼の見方は劇的に変わりました。

「私は問題に対してあらゆるセキュリティ対策を講じていましたが、それでもbreaches は起こり続けました」と彼は回想しました。「自問自答しなければならなかった。馬鹿な人だけがハッキングされたら、私は馬鹿なのか？」

答えを見つけようと決心した彼は、調査に目を向け、データbreaches の90％以上が、エラーまたはソーシャルエンジニアリングによる人間の行動に関係していることを発見しました。。 このことに気づいた彼はサイバー心理学にたどり着き、それ以来、2万人以上の参加者を対象に研究を行い、世界中の220を超える組織と協力してサイバーセキュリティと人間の行動の間のギャップを埋めてきました。

現在、受賞歴のある教育者、起業家、講演者、研究者である彼の洞察は、NASA-Goddard、ISACA、TEDx、その他の主要なフォーラムで共有されています。彼は現在 リサーチ・コラボレーター 米国国立標準技術研究所（NIST）で。

試聴、購読、レビュー ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャスト

ハフマン博士との私の話を全部聞きたいですか？今週のエピソードを聞いてください アップル・ポッドキャスト、 Spotify、またはポッドキャストを入手できる場所ならどこでも。また、読むこともできます 全トランスクリプト エピソードの。