الصفحات
بحث
تدريب التصيد الاحتيالي: هل هو فعّال حقًا؟
الأمن السيبراني #تدريب_التصيد_الاحتيالي #الأمان_السيبراني

تدريب التصيد الاحتيالي: هل هو فعّال حقًا؟

تاريخ النشر: آخر تحديث: 26 مشاهدة 0 تعليق 7 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
26 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

لقد كنا جميعًا مخطئين: تدريب التصيد الاحتيالي لا يعمل

تعليم الموظفين كيفية اكتشاف الرسائل الإلكترونية الضارة لا يؤثر حقًا. ما الخيارات الأخرى المتاحة للمنظمات؟

صورة نيت نيلسون، كاتب مساهم
نيت نيلسون، كاتب مساهم

1 يوليو 2025

6 دقائق قراءة

تشير دراسة حديثة، على عكس الاعتقاد الشائع، إلى أن معظم مبادرات الوعي بالتصيد الاحتيالي لا تؤثر بشكل ملموس على أمان الموظفين السيبراني.

أحد أكثر المقولات تكرارًا، والتي لم يتم فحصها بشكل كافٍ في صناعة الأمن السيبراني، هو أنه، حتى أكثر من الحلول التقنية، يمكن للمنظمات أن تؤمن نفسها بشكل أفضل عن طريق تعليم الوعي السيبراني بين موظفيها. بناء "جدار ناري بشري" لحماية المنظمة من "أضعف حلقة" لديها.

التشخيص صحيح. تحدث الغالبية العظمى من الهجمات السيبرانية بسبب نوع من الخطأ البشري: رابط تم النقر عليه بشكل غير حكيم، كلمة مرور ضعيفة، وما إلى ذلك. العلاج - الالتزام بتدريب الأمن السيبراني بين الموظفين - غالبًا ما يتم تكراره وقبوله دون تدقيق.

لاختبار مدى نجاحنا في بناء جدراننا النارية البشرية، قام فريق من 10 باحثين من جامعة شيكاغو وجامعة كاليفورنيا سان دييغو (UCSD) وUCSD Health بإجراء دراسة غير مسبوقة في صناعة الأمن السيبراني. على مدى فترة ثمانية أشهر في عام 2023، درسوا تأثير تدريب التصيد الاحتيالي على 19,789 موظفًا في UCSD Health، وهي منظمة رعاية صحية كبيرة. في حدث بلاك هات الولايات المتحدة هذا العام في لاس فيغاس، سيناقش اثنان من الباحثين نتائجهم: في ظروف معينة، يمكن أن يكون لتدريب التصيد الاحتيالي عبر الإنترنت بعض التأثير على قدرة الموظفين على التعرف على الرسائل الإلكترونية الضارة، ولكن غالبًا ما تكون الفروق ضئيلة، وأحيانًا تكون حتى غير مجدية.

ذات صلة:يواجه مسؤولو الأمن السيبراني سوق تأمين أكثر تشددًا في 2026

"الاكتشاف الكبير هو أن هذه التدريبات القياسية، الجاهزة من الصناعة، ليست فعالة في منع المستخدمين من النقر على الرسائل الإلكترونية في المستقبل،" تقول أريانا ميريان، إحدى المؤلفين المشاركين وباحثة أمنية كبيرة في Censys. لكنها تضيف، "هناك الكثير من التفاصيل الدقيقة هناك."

البحث في تدريب التصيد الاحتيالي

كما تشرح ميريان، "كانت فكرة إعطاء الأولوية للوعي قائمة بشكل كبير على الأبحاث نفسها. كانت هناك بعض الدراسات في العقدين 2000 و2010 التي استكشفت هذه الفكرة بأن تعليم الوعي هو الطريق الأمثل لحماية المستخدمين. هناك الكثير من الأبحاث في علم النفس وعلم الإدراك التي تقول نفس الشيء. لذا، كان العديد من محترفي الأمن يجلبونها إلى مجال الأمن ويقولون، 'نحن فقط بحاجة إلى جعل المستخدمين واعين.'"

الإحساس البديهي وراء الفكرة يجعلها أكثر إقناعًا وقد يفسر سبب استمرارها على الرغم من الأدلة الحديثة الصارمة التي تدحضها.

في عام 2021، قام باحثون من قسم علوم الحاسوب في ETH زيورخ بإجراء دراسة على 14,000 موظف في شركة كبيرة. على مدى 15 شهرًا، أرسلوا لهؤلاء الموظفين رسائل تصيد احتيالي محاكاة تحتوي على مواد تعليمية مدمجة. عندما وقع أحدهم في الفخ، تم تقديم نصائح له حول كيفية اكتشاف الرسائل الإلكترونية الضارة.

ذات صلة:هل المتصفح يصبح نقطة النهاية الجديدة؟

في النهاية، لم تحسن النصائح قدرة الموظفين على اكتشاف رسائل التصيد الاحتيالي في الحياة الواقعية. في الواقع، كان لها تأثير جانبي غير متوقع: بعد تعرضهم للتدريب، أفاد الموظفون بأنهم يشعرون بأمان أكبر على الإنترنت، حيث رأوا أن شركتهم تستثمر في الحماية السيبرانية. ومن المثير للسخرية، أنهم انتهوا إلى أن يكونوا أكثر عرضة للوقوع في رسائل إلكترونية سيئة.

اختبرت دراسة زيورخ طريقة واحدة فقط من تدريب التصيد الاحتيالي. في UCSD بعد عامين، وسع الباحثون نطاقهم عن طريق إضافة 6,000 موضوع اختبار آخر وتجربة العديد من الطرق. بالإضافة إلى الدورات السنوية للتصيد، درسوا أربعة أنواع من التدريب المدمج:

  • صفحات ويب ثابتة، تم تطويرها بواسطة Proofpoint، تحتوي على نصائح عامة حول كيفية تجنب هجمات التصيد الاحتيالي

  • صفحات تفاعلية، تحتوي على تمارين أسئلة وأجوبة عامة مستمدة أيضًا من مكتبة Proofpoint

  • صفحات ثابتة مخصصة للبريد الإلكتروني الاحتيالي الذي وقع فيه الموظف مؤخرًا

  • تمارين أسئلة وأجوبة مخصصة

    كانت النتائج مثيرة للقلق.

    بيانات جديدة وغير واعدة حول تدريب الوعي السيبراني للمستخدمين

    كانت المجموعة من المشاركين الذين حققوا أفضل النتائج هم أولئك الذين أكملوا التدريب التفاعلي - وقد تم قياس أنهم أقل احتمالًا بنسبة 19% للنقر على روابط التصيد الاحتيالي بعد ذلك. بعبارة أخرى، يمكن أن تتوقع الشركات التي تعتمد أكثر دورات التدريب فعالية المتاحة أن يتحسن حوالي ربع موظفيها بنسبة 20%.

    ذات صلة:خطط استجابة الحوادث في المدارس K-12 غير كافية

    لم تظهر التدريبات الثابتة أي فائدة على الإطلاق، جزئيًا لأن الموظفين ببساطة لم يكونوا متفاعلين. أكثر من نصف جميع جلسات التدريب التي أجريت كجزء من الدراسة انتهت في غضون 10 ثوانٍ من البدء. فقط 24% من المشاركين أكملوا الدورات التدريبية المخصصة لهم.

    ومن المثير للسخرية، أن الموظفين الذين أكملوا عدة جلسات تدريب ثابتة أصبحوا أكثر احتمالًا بنسبة 18.5% للوقوع في رسالة تصيد احتيالي. اعترف الباحثون بوجود خطر من اختيار ذاتي في هذا الرقم - الموظفون الأقل قدرة يفشلون ويتلقون تدريبًا أكثر تكرارًا - لكنهم لم يلاحظوا نفس النمط في المجموعة التفاعلية.

    تتزايد البيانات المحبطة من هناك. من المفترض أن يجدد التدريب السنوي قدرة الموظفين على محاربة الرسائل السيئة، لكن الدراسة لم تجد أي علاقة من هذا القبيل - كان الموظفون تقريبًا بنفس الاحتمالية للنقر على رابط سيئ بعد شهر من دورتهم كما كانوا بعد أكثر من عام. وخدعت رسائل التصيد المقنعة حتى أكثر الموظفين تدريبًا وأداءً جيدًا أكثر من 15% من الوقت، مما يعني أن رسالة إلكترونية واحدة مصممة بشكل جيد يمكن أن تلغي تمامًا أي فوائد لأي تدريب في أي شركة بها أكثر من عدد قليل من الموظفين.

    بشكل عام، تحسن الموظفون الذين خضعوا لتدريب الوعي بالأمن السيبراني بنسبة 1.7%.

    تعترف ميريان بالفجوة بين الدراسات الحديثة وتلك القديمة التي قد تعطي انطباعًا بأن تدريب الوعي كان الطريق الصحيح. "نشتبه أن جزءًا من الشرح هو أن هذه التجربة تمت في العالم الحقيقي،" تفترض. "لم تكن دراسة مختبر، لم تكن محاكاة. يمكن أن تكون الدراسات المخبرية مفيدة جدًا من بعض النواحي، لكنها أيضًا متحيزة بطرق معينة. ونشتبه أن دراستنا ودراسة [زيورخ] تختلف عن هذه المجموعة الأخرى من الدراسات جزئيًا بسبب كيفية تنفيذها."

    ماذا الآن لجهود مكافحة التصيد؟

    قريباً جداً من فلسفة الوعي أولاً، توجد فكرة أن الموظفين هم المشكلة. إذا حدث خرق، واحترق المنزل، وطرق المحامون الأبواب، فقد لا تقع المسؤولية على عاتق القادة في القمة.

    تقول ميران: "هذا ما أفكر فيه كثيرًا، في حياتي اليومية وأبحاثي. السؤال هو: هل نطلب من المستخدم تحمل المزيد من المسؤولية؟ من خلال التدريب نقول: 'مرحبًا، أنت مسؤول، يجب أن تتعلم.' أم نحاول إيجاد طريقة للنظام - المنظمة - لتحمل تلك المسؤولية؟ ورأيي الشخصي هو أنه، بشكل عام، يجب أن تسعى الأمان دائماً لأخذ المسؤولية من المستخدم."

    تترك دراستها الباب مفتوحًا لاحتمالية أن أنواعًا معينة من التدريب، التي لم تُستكشف بعد، قد تنجح، مثل التدريب الشخصي الفردي الأكثر تكلفة. قد تفكر الشركات أيضًا في كيفية تحفيز الموظفين لجعل الأمن السيبراني جزءًا من وظائفهم - على سبيل المثال، من خلال منحهم حصة مالية في مستقبل الشركة.

    أو، بشكل أبسط، يمكن للمنظمات الاستثمار في الحلول التقنية لحماية نفسها من المواقف الحتمية. "قد تكون هناك طرق أفضل لإنفاق الأموال، مثل التركيز على المصادقة الثنائية عبر الأجهزة (2FA) حتى إذا تعرضت للاختراق، يكون هناك طبقة إضافية من الحماية،" تقول ميران. مهما كانت الحلول لهجمات التصيد، تضيف: "نحن نقول فقط إن الطرق الحالية لا تعمل."

    في نهاية المطاف، يبدو أن العديد من المبادرات التدريبية المتعلقة بالاحتيال الإلكتروني لم تحقق النتائج المرجوة. على الرغم من الجهود المبذولة، لا يزال هناك نقص في الوعي الفعلي بين الأفراد حول كيفية التعرف على محاولات الاحتيال.

    يجب أن نعيد التفكير في استراتيجياتنا ونبحث عن طرق أكثر فعالية لتعزيز الأمان الرقمي. من المهم أن نكون مستعدين للتكيف مع التهديدات المتطورة وأن نبحث عن حلول مبتكرة.

    في الختام، إن تعزيز الوعي والمهارات في مجال الأمن السيبراني يتطلب جهدًا مستمرًا وتعاونًا بين جميع الأطراف المعنية. دعونا نعمل معًا لبناء بيئة رقمية أكثر أمانًا.

    الأمن السيبراني

    أحدث أخبار وتحليلات الأمن السيبراني
    عرض الكل
    ##تدريب_التصيد_الاحتيالي ##الأمان_السيبراني

    التعليقات 0

    سجل دخولك لإضافة تعليق

    لا توجد تعليقات بعد. كن أول من يعلق!