Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Uddannelse af medarbejdere om social engineering

Hvad er social engineering i cybersikkerhed? MetaCompliance

om forfatteren

Del dette indlæg

Cyberkriminelle har i stigende grad anvendt den "menneskelige faktor", også kaldet social engineering, med stor effekt, når de gennemfører et cyberangreb. Flere undersøgelser viser, at dette ikke blot er rygter, og at social engineering er en vellykket cyberangrebsteknik: data fra PurpleSec's sikkerhedsundersøgelser viste f.eks., at 98 % af cyberangreb er baseret på social engineering.

Cyberkriminelle har gjort vores medarbejdere til frontlinjen for cyberangreb: de er målrettet mod dem ved hjælp af ondsindede e-mails, narrer dem med falske telefonopkald og manipulerer generelt deres adfærd.

Ved at uddanne vores medarbejdere om social engineering-taktikker og -teknikker giver en virksomhed dem mulighed for at bekæmpe svindlere. Men visse bedste praksis skal følges for at sikre et vellykket program for social engineering-uddannelse.

Her er MetaCompliance-guiden til uddannelse af medarbejdere om social engineering:

Hvad er social engineering?

Social engineering er i forbindelse med cybersikkerhed en teknik eller en række teknikker, der bruges til at manipulere et menneske til at gøre noget, der er til gavn for en cyberkriminel.

Der er mange tricks til social engineers, og de kan ændre sig med tiden, efterhånden som cyberkriminelle optimerer deres taktik. Resultatet af social engineering er at narre medarbejdere (eller offentligheden) til at udlevere følsomme data, f.eks. loginoplysninger, eller overføre penge til en svindler, eller begå en fejltagelse, f.eks. at klikke på et phishing-link.

Social engineering er typisk en trinvis teknik, der involverer:

  • Overvågning: Informationsindsamling er en vigtig del af et socialt manipuleret cyberangreb. Der indsamles personlige og forretningsmæssige oplysninger om de ansatte, der er målet, og målene er typisk dem, der arbejder inden for områder som f.eks. kreditor- eller it-administration.
  • Forbedring af målet: De oplysninger, der indsamles under overvågningen, bruges til at opbygge relationer til den ansatte, der er målet. Nogle svindlere ringer endda til medarbejderen for at skabe et venskabeligt forhold til ham eller hende, så han eller hun kan blive udnyttet.
  • Udnyttelse af mærket: Dette er en vigtig del af det socialt manipulerede cyberangreb, der bygger på det forhold, der er udviklet ved hjælp af de indsamlede oplysninger. Dette forhold udnyttes til at udføre angrebet, f.eks. ved at modtage et brugernavn og en adgangskode over telefonen eller ved at åbne en inficeret vedhæftet fil i en e-mail.
  • Fuldførelse af hacket: Udnyttelsesfasen lægger grunden til at gennemføre den centrale del af cyberangrebet. En erfaren social engineer vil være i stand til at gå væk fra cyberangrebet vel vidende, at det vil tage noget tid, før medarbejderen eller virksomheden opdager, at de er blevet udnyttet.

Eksempler på social engineering

Social engineering findes i mange former, der omfatter både low-tech, high-tech og ofte hybrider af begge dele. Nogle eksempler viser de forskellige måder, hvorpå vores medarbejdere bliver socialt manipuleret:

Massivt social engineering-angreb mod Google og Facebook

Business Email Compromise (BEC) er et svindelnummer, der bruger social engineering til at narre en medarbejder til at sende en virksomhedsbetaling til svindleren, ofte med store beløb som følge.

I 2019 stjal en massiv BEC-svindel omkring 100 millioner dollars fra virksomheder, herunder Google og Facebook. Svindlerne skabte en falsk virksomhed med et navn, der lignede et legitimt firma, som målvirksomhederne handlede med. Herfra sendte de spear-phishing-e-mails ud til specifikke medarbejdere og agenter i offervirksomhederne.

For at få viden om, hvilke medarbejdere de skal gå efter, bruger svindlere typisk overvågningsteknikker for at forstå, hvordan de bedst kan manipulere medarbejderens adfærd.

Microsoft 365-svindel

Varemærker som Microsoft 365 bruges ofte til at social engineer og snyde medarbejdere.

Et nyligt angreb, der involverede Microsoft 365, blev oprettet for at stjæle medarbejdernes loginoplysninger. I dette cyberangreb brugte svindlerne teknikker til at omgå e-mail-gateways, så phishing-e-mails kunne ende i en målmedarbejders indbakke og ligne en tilsyneladende legitim Microsoft 365-mail. Phishing-e-mailen brugte en emnelinje om en "prisrevision" og indeholdt et Excel-regneark som vedhæftet fil. Tricket var, at "regnearket" i virkeligheden var en skjult .html-fil. Filen omdirigerede alle, der åbnede den, til et websted, hvor de blev bedt om at indtaste deres loginoplysninger til Microsoft 365.

5 bedste metoder til at undervise medarbejdere om social engineering

Når du er klar til at uddanne dine medarbejdere om social engineering, er det værd at bruge disse fem bedste praksis:

Første bedste praksis: Forstå det komplekse net af social engineering

Opbygge en viden om social engineering-taktik og -teknikker. Dette vil danne grundlaget for din uddannelsespakke. Social engineering er baseret på menneskelig psykologi, så det er afgørende at forstå, hvordan svindlere manipulerer menneskelig adfærd, for at forhindre et vellykket cyberangreb baseret på denne metode.

Derfor er det mere komplekst at træne medarbejderne i at genkende et forsøg på social engineering end uddannelse i phishing; phishing-simuleringer bør dog være en del af et bredere social engineering-træningsprogram.

Et omfattende program for uddannelse i social engineering bør også omfatte, hvordan disse svindelnumre fungerer, og hvilke typer adfærd eller situationer de manipulerer, f.eks. tillid, hastesituationer, relationer osv.

Bedste praksis to: Uddannelse i sikkerhedsbevidsthed +SEE

Generelle træningspakker om sikkerhedsbevidsthed bør altid omfatte undervisning i social engineering. Sikkerhedshygiejne og generel phishing-opmærksomhed er alle en del af at afbøde et vellykket forsøg på social engineering. Tilføj uddannelse i social engineering (SEE) til dit generelle program for sikkerhedsoplysning for at gøre social engineering-tricks synlige for alle.

Bedste praksis tre: Smart Learning

Mennesker har tendens til at lære bedst, når de undervises ved hjælp af interaktive teknikker. Forskningen har identificeret visse kriterier for effektiv læring:

  1. Gør lektionerne korte, men informative:Byg videre på disse lektioner, og gentag dem regelmæssigt for at opnå optimal læring.
  2. Ved at skifte mellem idéer, mens du lærer, skabes der naturlige pauser mellem sessionerne, hvilket bidrager til at styrke idéerne. Sørg også for at påpege sammenhænge mellem forskellige områder inden for cybersikkerhed og social engineering-taktikker for at hjælpe medarbejderne med at forstå kompleksiteten af disse typer angreb.
  3. Brug "konkrete eksempler" for at få læringen til at sætte sig fast i medarbejderens bevidsthed.

Bedste praksis fire: Skyl og gentag

Social engineering, ligesom andre cybersikkerhedsangreb, bliver løbende optimeret af cyberkriminelle. Sørg for, at du gennemfører regelmæssige træningssessioner om social engineering som en del af dit bredere uddannelsesprogram for sikkerhedsbevidsthed. Automatiser din sikkerhedsbevidsthedskampagne for at forbedre og optimere træningen.

Bedste praksis fem: Gør din arbejdsplads til en nul-tolerancezone for social engineering

Ved at opbygge din arbejdsstyrkes tillid til at opdage og forhindre et socialt manipuleret cyberangreb vil din organisation opbygge en kultur med sikkerhedsbevidsthed.

Denne kultur vil styrke din arbejdsstyrke mod cyberangreb, selv om social engineering er kompleks og spiller på medarbejdernes frygt, adfærd, hastesituationer og relationer. Denne kultur vil også omfatte deres privatliv, hvilket vil forbedre deres generelle sikkerhed og bidrage til at mindske risikoen for hjemmearbejdsmiljøer.

Ved cyberangreb, der anvender social engineering-teknikker, er mennesket den sårbare sikkerhedsfaktor. Ved at give dine medarbejdere viden om at opdage social engineering-forsøg styrker du din virksomhed og dine medarbejdere.

Risiko for ransomware

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante