Cybersikkerhed på arbejdspladsen er blevet stadig vigtigere, efterhånden som flere virksomheder går over til digitale ressourcer og skyen. Ransomware står øverst på listen over trusler, der kan lamme en organisation, og disse angreb starter ofte med en ondsindet phishing-mail rettet mod bestemte medarbejdere. Det kræver kun én medarbejder at blive offer for et sofistikeret angreb, og din organisation kan blive lammet af blokeret filadgang, stjålne data og avancerede vedvarende trusler, der er skjult på netværket.
Colonial Pipeline, der fører gas og flybrændstof fra Texas til østkysten, blev ramt af et ransomware-angreb. Angrebet stoppede produktionen og tvang energiinfrastrukturen til at lukke ned. Denne type angreb er kun blevet værre, og de starter med at ramme en intern medarbejder, som ikke opdager, at en besked er ondsindet. Det er ofte en fejl i uddannelsen og bevidstheden om cybersikkerhed på arbejdspladsen.
CryptoLocker, et af de første og mest populære ransomware-angreb, startede med en phishing-e-mail. Det påvirkede næsten 500.000 computere og førte til omfattende datatab over hele verden. Malwaren blev udbredt ved at sende massive mængder af e-mails med en vedhæftet ZIP-fil som bilag. Når den blev åbnet, scannede ransomwaren computerne og krypterede filerne, så de var låst og ikke kunne tilgås, medmindre der blev betalt en løsesum. Brugerne skal vide, at enhver e-mail med en vedhæftet ZIP-fil skal behandles som mistænkelig.
CISO: Værdien af en syndeæder
Rollen som Chief Information Security Officer (CISO) minder meget om den mytiske og middelalderlige "syndeæder" i engelsk folklore. En syndeæder spiste et måltid og absorberede de dødes synder. Syndspiseren ville derefter bære rundt på andre menneskers synder for at fritage dem for skyld, skam og konsekvenser i livet efter døden.
En CISO spiller en lignende rolle, hvor de interne medarbejderes synder påvirker CISO's omdømme, jobpræstationer og fremtidsudsigter. Hvis en medarbejder bliver offer for interne cybersikkerhedsskandaler, ødelægger de organisationens omdømme og ødelægger produktionstjenesterne. For at beskytte en bestemt medarbejder mod de negative virkninger og konsekvenser påtager CISO'en sig det uheldige offers synder og står til ansvar for deres fejl.
Selv om der kun er én CISO i organisationen, betyder det ikke, at ansvaret udelukkende ligger hos én person. Det er organisationen som helhed, der påtager sig ansvaret. I tilfældet med Equifax' databrud kunne serveradministratorer og den CISO, der var ansvarlig for overvågning og patching af software, være eneansvarlige for et af de største databrud til dato, men Equifax-organisationen som helhed blev betragtet som uansvarlig og fik skylden for nedbruddet.
Ud over at være ansvarlig for den interne cybersikkerhed har en CISO en stigende arbejdsbyrde i takt med, at flere organisationer flytter over i skyen og bliver digitale i forbindelse med pandemiske nedlukninger i 2020. For at holde sig produktive var organisationer tvunget til at tillade en hjemmearbejdende arbejdsstyrke, efter at COVID spredte sig globalt. Denne ændring i arbejdsmiljøerne førte til et pludseligt skub i retning af cloud computing og digitale arbejdsgange. Resultatet var, at virksomhederne nu var i skyen med meget lidt hensyn til cybersikkerhed. Cybersikkerhed var en eftertanke, og trusselsaktører udnyttede denne forsømmelse fuldt ud. Phishing og ransomware blomstrede op, da flere medarbejdere blev ofre for sofistikerede kampagner rettet mod enkeltpersoner.
De syv dødssynder i forbindelse med cybersikkerhed på arbejdspladsen
Cybersikkerhedsbevidsthed er afgørende for at undgå risici. Hvis dine medarbejdere ikke kender anatomien af et phishing-angreb, kan de ikke forventes at undgå det. Menneskelige fejl er en vigtig faktor i databrud, men her er syv dødssynder og måder at undgå at blive det næste offer på:
- Dårlige adgangskoder. Kodeordets kompleksitet og længde reducerer risikoen for et brute-force-angreb på medarbejdernes legitimationsoplysninger. Administratorer kan opsætte regler for adgangskoder, der kræver en vis længde og kompleksitet, og som forhindrer brugere i at blive genbrugt.
- Risici ved offentlig Wi-Fi. Brugerne bør være opmærksomme på de risici, der er forbundet med offentlig Wi-Fi. Alle kritiske applikationer bør anvendes via et virtuelt privat netværk (VPN), og brugerne bør aldrig overføre data ukrypteret.
- Antivirus installeret og opdateret. Organisationer, der tilbyder en BYOD-politik (bring-your-own-device), bør oplyse brugerne om vigtigheden af antivirus og om at holde det opdateret. Administratorer kan fremtvinge opdateringer på arbejdsstationer, men de er afhængige af, at brugerne holder deres egne enheder sikre med det nyeste antivirusprogram.
- Åbning af vedhæftede filer i e-mails. Administratorer kan blokere mistænkelige e-mails, men falske negative svar giver trusselsaktører mulighed for at narre modtagerne til at åbne ondsindede vedhæftede filer. Brugerne bør vide, at de ikke må åbne vedhæftede filer, især hvis de kommer fra eksterne afsendere.
- Klik på links i e-mail. Ondsindede links åbner websteder kontrolleret af angribere, hvor brugerne kan narres til at afsløre deres netværksoplysninger eller andre følsomme oplysninger. Brugerne bør vide, at de ikke må indtaste legitimationsoplysninger, når de klikker på links. De skal i stedet skrive domænet i deres browser for at kontrollere, at meddelelsen er legitim.
- Deling af legitimationsoplysninger med andre brugere. Brugere bør aldrig dele adgangskoder. Hvis de deler adgangskoder, kan en medarbejder, der ikke længere er ansat i virksomheden, stadig have adgang til kritiske systemer, selv om hans egen konto er blevet deaktiveret.
- Ingen bevidsthed om cybersikkerhed. Uden uddannelse har brugerne ikke ressourcerne til at identificere et angreb. Det er CISO'ens ansvar at skabe et miljø, hvor uddannelse i cybersikkerhed fremmer bedre risikoforebyggelse og færre menneskelige fejl.
Hjælp med at hjælpe medarbejderne med at bekæmpe cyberangreb og blive mere cyberbevidste
Hvis CISO'er ikke tager sig tid til at uddanne medarbejderne, efterlader de en stor sprække i virksomhedens cybersikkerhedsrustning. Cybersikkerhedsbevidsthed er det første forsvar mod sofistikerede angreb, der er rettet mod menneskelige fejl, så det bør altid være obligatorisk uddannelse for nye medarbejdere og nuværende medarbejdere.
Oplysning kan tilbydes på flere måder: eLearning, praktisk uddannelse og politikker. Medarbejderne er ikke hackere, så oplysningerne skal være lette at forstå. De bør forstå konsekvenserne af at blive offer for et angreb, og medarbejderne bør være bevæbnet med oplysninger, der gør det muligt for dem at sætte spørgsmålstegn ved legitimiteten af en e-mail, et telefonopkald, et websted og enhver anden form for cyberangreb. De behøver ikke at have fuldstændig teknisk viden, men medarbejderne skal være bevæbnet med de rigtige oplysninger.
De største trusler mod en organisation er phishing og ransomware, men uddannelse reducerer risikoen for disse trusler. Medarbejdere, der er bevæbnet med den rette viden, vil identificere angrebet, undgå at blive offer, advare de rette personer, og en CISO vil have et langt mere stressfrit job. Uden bevidsthed om cybersikkerhed fortsætter CISO'en med at reagere reaktivt på angreb, som kan ødelægge CISO'en og organisationens omdømme.