Şubat 2021’de Devlet, Fransız kuruluşlarını etkileyen siber saldırıların sayısındaki artışa yanıt vermek için milyar avroluk bir siber tehdit planı açıkladı. Siber güvenliğe ayrılan artan bütçelere rağmen, KOBİ’lerin %52’si 2021’de en az bir siber saldırının kurbanı oldu.
Teknolojik nitelikteki saldırılar koruma çözümleriyle önlenebilirse, sosyal mühendislik saldırılarını önlemek çok daha zordur ve artışları endişe vericidir. Çalışanlar, bilgisayar korsanları tarafından ustaca manipüle edilir ve vakaların %90’ından fazlasında siber saldırıların başarısının nedenidir.
Yine de bu gerçeğe rağmen, çoğu kuruluş yalnızca teknolojiye güvenir ve kuruluşların temel kusuru olan insan faktörünü arka plana iter. Siber saldırıların üstel eğrisini durdurma şansına sahip olmak için, siber güvenliğe nihayet sinirbilimsel bir açıdan yaklaşmak için bir paradigma değişikliği yapılmalıdır.
Üç bilişsel faktör, esas olarak bilgisayar korsanları tarafından istismar edilir
Sosyal mühendislik siber saldırıları, bir kişiyi (kurbanı) aynı anda kötü niyetli ve etkili bir senaryoya göre hareket etmeye ikna etmeye çalışarak psikolojik ve insani kusurlardan ve zayıflıklardan yararlanan bilgisayar saldırılarıdır. Bu bilgisayar saldırıları, insan etkileşimlerindeki ve davranışsal ve kültürel yapılardaki zayıflıklardan yararlanır.
Sosyal ağlarda “phishing”, “CEO dolandırıcılığı” veya “çorap kuklaları” gibi birçok biçimde ortaya çıkarlar. Çalışanların savunmasızlığını etkileyen üç faktör tanımlanmıştır: stres, azaltılmış uyanıklık ve aşırı iş yükü.
Bu faktörler, çalışanı “dikkat tüneli” etkisine götürür: dikkat, ekranda sunulan bazı öğelere görsel olarak odaklanır ve çalışan, ‘yazım’ gibi kendisini uyarabilecek diğer öğelere karşı daha az dikkatli olacaktır. Bu saldırılar genellikle işbirlikçinin çıkarlarına ve dijital geçmişine göre kişiselleştirilir.
Etkili bir şekilde eğitmek için her çalışanın bilişsel önyargılarını belirleyin
“Siber-kötü niyetliliğe” bilişsel yaklaşım üzerine çok az araştırma yapılmıştır. Ancak, bizi siber saldırıların tuzağına düşüren nörolojik ve psikolojik mekanizmaların anlaşılmasını hızlandırmayı mümkün kılacaktır. Bireylerin profillerini ve kişilik özelliklerini analiz etme ve değerlendirmeyle ilgili bilişsel önyargıların araştırılmasına bütün bir alan açılır.
Bu profiller (“psikotipler”) belirlendikten sonra, daha etkili olmak için çalışan farkındalığı ve eğitimi bireyselleştirilebilir. Her bireyin nörobilişsel kusurlarından yararlanarak, genellikle internette bulunan kişisel verilerle oluşturulan ultra kişiselleştirilmiş e-posta saldırı simülasyonları şeklinde gerçekleşecekler. Bir kez tuzağa düştüğünde, ortak çalışan öğrenmeye çok daha açık olacaktır. Özellikle saldırıyı engellemeyi başaramadığı “psikolojik” nedenleri kendisine açıklayarak saldırının unsurlarını ele alacak yoğun ve bağlamsal bir eğitim izleyebilecektir.
1974’te Kahneman & Tversky’nin psikoloji ve ekonomi alanındaki araştırmaları Davranışsal İktisat’ı doğurdu. 2004 yılında, sinirbilimciler McClure ve Read Montague’in çalışmaları, nöropazarlamayı keşfederek geleneksel pazarlamada devrim yarattı, ardından nöro-iletişim, nöro-reklam, nöro-finans vb. alanlarda düşüş yaşadı.
2022’de, siber güvenlik alanında yeni bir disiplinin ortaya çıktığı büyük bir paradigma değişimine tanık oluyoruz: bilişsel siber güvenlik. Tıpkı ekonomi, pazarlama ve finans alanlarında olduğu gibi, sinirbilim de çalışanları daha iyi korumak ve kuruluşları daha az savunmasız ve daha dayanıklı kılmak için siber güvenlik sektörünü geliştirebilecek en iyi bilimsel disiplindir.