“一位专家说，企业工作环境中的网络空间安全文化需要改变。”

翻译原文链接

译文

  一位专家说，网络空间安全需要从信息技术部门转到人力资源。

  通过邮件进行钓鱼和社会工程活动，持续成为最频繁的网络犯罪之一。IT技术人员仍然是公司最脆弱的部分，而不是IT技术设施。

  “虽然在过去的两年里，虽然网络安全事件的关注度在持续增加，但是我们仍然看到公司关注和投资的趋势在技术控制领域，而不是人的问题”，Kaon安全公司的Steven Macmillan这样说。

  “网络安全中，人的问题是最脆弱的一环”。

  Kaon积极拥护企业工作环境安全文化的改变，网络空间安全问题需要成为HR关注的焦点，就像健康和安全一样。

  “它应该成为一项在工作环境中的基础训练需求”，他说。

  Macmillan的公司为其他企业提供一个模型的网络钓鱼场景，在场景中，工作人员会遭受不安全的邮件攻击，并且展示攻击是如何发生的。

  董事会和公式会成员正在面临较大的风险，Macmillan说，因为他们有权利获得信息和资金。

  此外，许多身处高级职位的人年纪较大，技术经验较少，这使得他们更容易收到攻击，例如鱼叉式网络钓鱼，该攻击侧重于针对特定目标。

  “它正在从边缘走到顶端”，Macmillan说，“高级工作人员需要领导这种文化变革，因为社会工程不会停止。”

  Macmillan说，一种涉及犯罪的常见类型的攻击，通过访问工作人员的邮件来获取单据。

  之后他们篡改了票据，来更改收款人的银行账号，并将其发送到负责支付的部门。

  罪犯通常会致电给相关部门，让他们知道银行账户的变化，使其看起来更加可信，以避免怀疑。

  对网络安全，新西兰提出了一个特别的挑战，因为我们没有针对企业遭受攻击的强制性披露的法律。

  Macmillan说，考虑到颜面问题，大部分的网络攻击没有被爆料出来，政府没有做足工作以解决这个问题。

  英国和澳大利亚制定了强制性披露法律，不仅对没有执行该法律的企业作出惩罚和罚款，而且披露了对这类攻击发生过程的了解，以帮助其他企业保护自己。

  Kaon最近对工作在各个单位的100人进行匿名调查，调查结果显示有79%在过去的12个月中受到了IT安全问题的影响。

  最常见的攻击是勒索软件和钓鱼，占到所有攻击的67%。

  超过一半的调查对象说，他们在过去的12个月中遭受三次或三次以上的攻击，8%的调查对象说他们被攻击超过7次。

  损失的费用在5000美元到50万美元不等。

  新西兰的大部分网络攻击都不可能通过起诉来解决，因为他们发生在境外，主要来自东欧。

  Macmillan有一些基本提示给Kiwis，Kiwis担心他们可能成为攻击目标：

1.检查语法

  大部分攻击来自境外，检查拼写是否是母语者通常不会犯的错误。

2.不要点击链接

  “你没有赢六合彩”，Macmillan说，“如果你在收件箱中收到一些‘好消息’，它可能是好的，你不应该点击链接”

3.PDF的单据需要多次检查

  如果一个单据发生改变，或者银行账号被警告，给公司打电话进行确认。

4.问你的老板

  如果你收到来自你老板的一封奇怪邮件说需要马上转钱，这可能是你老板的邮箱被攻陷。在处理超出普通的请求之前，联系你的老板，或者检查其他人。

术语

• 网络钓鱼：就像户外活动（钓鱼），网络钓鱼涉及一个基于广泛的攻击，发出“诱饵（如带有恶意代码的PDF）”以捕获某人。

• 社会工程：在这种情况下，通过各种手段（如来自似乎可信来源的虚假电子邮件）来操作目标。

• 鱼叉式钓鱼：类似于网络钓鱼啊，但是专注于特定的目标。鱼叉式钓鱼指的是捕获“大鱼”，如一名首席财务官。