En af de vigtigste måder at kontrollere den menneskelige side af cybersikkerhedsbrud på er at bruge skræddersyet træning i sikkerhedsbevidsthed for medarbejdere.
Fra tabet af kundernes tillid til rædsel for bøder for manglende overholdelse er databrud nu en daglig bekymring i virksomheder i alle sektorer. Det er en udfordring at holde styr på sikkerhedsrisici.
Det ville være fantastisk, hvis it-sikkerhed blot handlede om at bruge et stykke teknologi til at lukke døren for cyberkriminelle; men som en undersøgelse fra IBM, der undersøger omkostningerne ved databrud, viser, har de fleste cybertrusler tendens til at have en medarbejder som hovedårsag; det være sig simple menneskelige fejl, ondsindede insidere, phishing eller kompromitterede legitimationsoplysninger.
Vigtigheden af uddannelse af medarbejdere i sikkerhedsbevidsthed
Som vi alle ved, er uddannelse vigtig i livet. Denne uddannelse omfatter også adfærd og sikkerhed. Hvis en person forstår, hvorfor han/hun handler på en bestemt måde, kan han/hun lettere ændre en eventuel negativ adfærd.
Ved at gøre medarbejdere og ikke-ansatte opmærksomme på, hvordan cybersikkerhed fungerer, kan de blive en del af et veluddannet team, der spiller en positiv rolle i forbindelse med at hjælpe med at afbøde cyberangreb på en organisation.
Mennesker handler på bestemte måder på grund af adfærdsnormer og forudsætninger for at kunne bruge computere lettere. Denne adfærd bruges til at manipulere medarbejdere til at udføre handlinger, der er til gavn for svindlere.
Dette bekræftes af undersøgelser, der viser, at manipulation af menneskelig adfærd er det foretrukne værktøj i forbindelse med cyberkriminalitet. Det kan være malware, der udfører arbejdet med at udfiltrere data, men mennesker åbner døren til cybertrusler via menneskelige fejl, social engineering og phishing. Her er tre hovedårsager til, hvorfor det er vigtigt at give medarbejdere træning i sikkerhedsbevidsthed:
Uddannelse i sikkerhedsbevidsthed fokuserer på mennesket i trusselskæden
Ifølge ENISA kræver over 95 % af phishing-e-mails menneskelig indgriben for at starte en malware-infektion.
Uddannelse i sikkerhedsbevidsthed reducerer omkostningerne
Den tidligere nævnte IBM-undersøgelse viste, at kurser for medarbejdere var en af de bedste måder at reducere de gennemsnitlige omkostninger ved et databrud på.
Træning i sikkerhedsbevidsthed tager politikker og gør dem til handlinger
En anden ENISA-undersøgelse om cybersikkerhedskultur understreger vigtigheden af at håndhæve sikkerhedspolitikker. Rapporten viste, at slutbrugerne opfatter sikkerhedspolitikker som "retningslinjer, men ikke regler". Rapporten fremhæver vigtigheden af at ændre medarbejdernes tankegang om sikkerhed for at justere risikoopfattelsen ved hjælp af en koordineret organisatorisk sikkerhedskultur i modsætning til at tvinge dem til sikker adfærd.
Vigtige emner til uddannelse af medarbejdere i sikkerhedsoplysning
Træningsprogrammer for sikkerhedsbevidsthed indeholder flere emneområder, som er et must for effektiv træning. Seks af de vigtigste er:
Phishing
Phishing-angreb er fortsat en af de mest udbredte metoder, der fører til brud på datasikkerheden. Sammen med manglende uddannelse og dårlig passwordhygiejne erphishing-angreb blandt de tre vigtigste måder at inficere ransomware på. Træning af medarbejdernes sikkerhedsbevidsthed skal omfatte en forståelse af, hvordan phishing fungerer, og hvilke typer phishing der findes, f.eks. e-mail phishing, voice phishing (Vishing), tekst phishing (SMShing) og spear phishing. Simuleret phishing er ofte en del af en bevidsthedspakke. Simulerede phishing-øvelser er skræddersyet til at sende test-e-mails om phishing for at træne brugerne i de typiske tricks, som svindlere bruger. Mange uddannelsesprogrammer for sikkerhedsbevidsthed tilbyder også interaktive videoer til at hjælpe med at opdage de mange forskellige typer svindel, der anvender phishing.
Sikkerhed på nettet
I 2020 registrerede Google mere end 2 millioner phishingwebsteder. Ondsindede URL'er kan forårsage tyveri af legitimationsoplysninger og malware-infektion, selv uden brugerinteraktion. Det er vigtigt at uddanne slutbrugerne i, hvordan de kan opdage websteder/svindelnumre, der har til formål at inficere netværk. Dette bliver vanskeligere, da phishingwebsteder ofte er "sikre websteder"; Anti-Phishing Working Group (APWG) viser, at 83 % af phishingwebstederne bruger HTTPS.
Hygiejne af adgangskoder
Nogle statistikker fra LastPass opsummerer de problemer med adgangskoder, som organisationer står over for:
- 66 % af brugerne genbruger deres adgangskoder
- 53 % har ikke ændret deres adgangskoder i over 12 måneder
- 41 % mener, at deres konti ikke er værdifulde nok til at tiltrække en hacker
Træning i sikkerhedsbevidsthed bør dække grundene til, at passwordhygiejne er vigtig, og hvordan man opretter robuste passwords.
Mobile enheder
Nu hvor mange medarbejdere arbejder hjemmefra eller på afstand, i det mindste en del af tiden, er mobilsikkerhed vigtigere end nogensinde før. Omkring 70 % af onlinesvindel sker på den mobile kanal. Undervisning i sikkerhedsbevidsthed bør fokusere på sikker brug af mobile enheder, herunder sikker Wi-Fi, app-hygiejne og phishing.
Hvad er social engineering i cybersikkerhed? MetaCompliance
Social engineering bruges til at narre brugere til at give svindlere værdifulde data, f.eks. loginoplysninger og personlige oplysninger. Social engineering spiller også en stor rolle i komplekse svindelnumre som f.eks. Business Email Compromise (BEC), hvor medarbejdere narres til at sende penge til en svindlers bankkonto.
Håndtering af følsomme data
Regler og standarder kræver, at processer overholdes ved håndtering af følsomme data. Træning af medarbejdernes sikkerhedsbevidsthed bør også indeholde et element, der dækker deres rolle i forbindelse med at opretholde en overensstemmende håndtering af følsomme og personlige oplysninger.
Gør træning i sikkerhedsbevidsthed interessant for medarbejderne
Cybersikkerhed opfattes typisk som et kedeligt emne. Træning i sikkerhedsbevidsthed er dog kommet langt siden starten. Moderne programmer for sikkerhedsbevidsthed er designet til at blive hængende, og det betyder, at de kan være interessante og endda sjove! Nogle måder at gøre dit program for sikkerhedsbevidsthed for medarbejdere sjovt og interessant på er:
Spil: Læring gennem leg er noget, som mennesker er gode til. Når man har det sjovt med noget, har man en tendens til at huske det. Skræddersy dine cybersikkerhedsundervisningstimer, så de bruger spil til at få undervisningen til at sidde fast i dine medarbejderes bevidsthed.
Interager: Interaktive træningssessioner engagerer medarbejderne og hjælper dem med at lære. Nogle sikkerhedstræningsprogrammer tilbyder interaktive videoer, der viser medarbejderne typiske svindelprocesser for at hjælpe dem med at forstå, hvordan de kan blive snydt af svindlere. Disse interaktive sessioner giver typisk feedback til medarbejderne i løbet af en træningssession.
Relateret: Folk lærer også godt af spil eller interaktive træningssessioner, der er relaterbare. Du bør forsøge at skræddersy dit træningsprogram for sikkerhedsbevidsthed, så det afspejler de reelle trusler, som din erhvervssektor står over for. I studiet af voksenlæring, kendt som "andragogik", står der følgende om undervisning af voksne:
"Da voksne søger praktisk læring, bør indholdet fokusere på emner, der vedrører deres arbejde eller personlige liv."
Ressourcer til uddannelse i sikkerhedsbevidsthed for medarbejdere
Her er et par ressourcer, der kan hjælpe med idéer til, hvordan du kan skræddersy cybersikkerhedsbevidsthed til medarbejderne:
Måned for sikkerhedsbevidsthed: Hele oktober måned er dedikeret til en række forskellige emner vedrørende sikkerhedsbevidsthed, hvor der tilbydes råd og aktiviteter til uddannelse af medarbejdere i sikkerhedstrusler.
Det nationale center for cybersikkerhed: Dette nationale organ har masser af ressourcer, der kan hjælpe med at skræddersy kurser om bevidsthed.
Google phishing-quiz: En automatiseret hurtig og sjov test, der gennemgår nogle almindelige phishing-tricks
MetaCompliance værktøj til simulering af phishing: MetaPhish er skræddersyet til dine medarbejdere og giver et indblik i, hvor effektiv din sikkerhedsuddannelse har været.
Plakater til oplysning omcybersikkerhed: Gratis plakater, som du kan udskrive eller sende for at minde medarbejderne om forskellige vigtige cybersikkerhedsaspekter.
