Træning i sikkerhedsbevidsthed er en metode til forebyggelse af cybertrusler, som finansielle servicevirksomheder kan drage fordel af. Her er en gennemgang af de vigtigste grunde til at bruge denne form for træning, hvis du er en finansiel serviceorganisation.
De finansielle tjenesteydelser har som sektor oplevet en massiv digital transformation i de seneste år. Sektoren tager nye teknologier til sig for at sikre bedre kundeoplevelser og optimere driften.
Den digitale transformation har imidlertid betydet, at sektoren også er blevet et mål for cyberkriminelle: En undersøgelse af cybersikkerhed i 2020 blandt CISO'er og CIO'er i sektoren for finansielle tjenesteydelser viste, at 65 % af de store finansielle organisationer havde været udsat for et cyberangreb i de foregående 12 måneder. En anden rapport, denne gang fra Boston Consulting, viste, at den finansielle sektor har været udsat for op til 300 gange så mange cyberangreb som andre sektorer.
Uddannelse i sikkerhedsbevidsthed for finansielle tjenesteydelser
Hackeren bor ikke længere i sine forældres kælder med en hættetrøje på. I stedet gør sofistikerede, finansielt motiverede og undertiden statsstøttede hackergrupper cyberkriminalitet tilgængelig for alle.
Forretningsmodeller, der tilbyder hackerværktøjer som en tjeneste, er let og billigt tilgængelige på det mørke net. Disse værktøjer har sammen med de cyberkriminelles stadig bedre færdigheder inden for social engineering ført til en tsunami af cyberangreb. Læg dertil fjern- eller hjemmearbejde, og man kan se, at cybertruslenes planeter står på linje med hinanden.
Covid-19 har været en øjenåbner for organisationer over hele verden, da svindelnumre, der udnyttede frygten omkring pandemien, blev udbredt. Svindelnumre, der fokuserede på medarbejdere, brugte phishing-tricks baseret på Covid-19-temaer til at stjæle loginoplysninger eller personlige data eller til at få en medarbejder til at installere skadelig software (herunder ransomware). I takt med at arbejdslandskabet ændrer sig, er phishingtaktik og social engineering fortsat et vigtigt valg for cyberkriminelle, der er ude på at gøre skade.
Resultaterne af social engineering og phishing er dyre. En rapport fra Sophos fra 2021 viste, at mellemstore finansielle servicevirksomheder bruger omkring 2 millioner dollars på at komme sig efter et ransomware-angreb, hvilket er mere end det globale gennemsnit på 1,85 millioner dollars. Rapporten fremhæver også, at 34 % af de finansielle serviceorganisationer blev udsat for et ransomware-angreb i 2020.
Træning i sikkerhedsbevidsthed er et effektivt svar på den social engineering, som hackere bruger.
Fordele ved træning i sikkerhedsbevidsthed for finansielle tjenesteydelser
For at forhindre, at cyberkriminelle udnytter medarbejdere ved hjælp af social engineering-teknikker og phishing, kan virksomheder benytte sig af træning i sikkerhedsbevidsthed. Inden for finansielle tjenesteydelser er der fem vigtige fordele ved at deltage i et bevidsthedsprogram:
Ændre sikkerhedsadfærd fra negativ til positiv adfærd
Svindlere, cyberkriminelle, svindlere, uanset hvilket navn der bruges til at beskrive disse skadelige aktiviteter, fokuserer de alle på menneskelig adfærd. Sikkerhedsbevidsthed bruges til at ændre dårlig sikkerhedsadfærd for at skabe en positiv tilgang til virksomhedens sikkerhed.
Ved at opbygge en positiv sikkerhedsadfærd uddanner du personalet i farerne ved social engineering. Undervisning i bevidstgørelse udforsker også de fejl, der kan føre til dataeksponering: Dette er vigtigt, når man tænker på, at resultaterne fra EC-Council viser, at 64 % af datatabshændelserne tilskrives insidere, der "mente det godt".
Undervisning i sikkerhedsbevidsthed lærer medarbejderne i hele organisationen om vigtigheden af sikkerhed. En effektiv uddannelsespakke vil uddanne medarbejderne ved hjælp af interaktivt og engagerende indhold om sikkerhedstricks og svindel samt give dem øvelser i phishing-simulering, der lærer medarbejderne at opdage phishing-beskeder. Løbende, effektiv træning i sikkerhedsbevidsthed skaber et positivt feedbackloop, der opmuntrer medarbejderne til at håndtere sikkerhedsangreb.
Stopper BEC-svindlere i deres spor
Ransomware er måske nok i de store overskrifter, men Business Email Compromise (BEC) påvirker flere virksomheder. FBI's Internet Crime Complaint Center (IC3) fra 2020 viser, at BEC rammer 4 gange så mange virksomheder som ransomware. Finansvirksomheder er lige så udsat for BEC-svindel som alle andre organisationer.
I en afsløring fra BankInfoSecurity fra 2020 blev der redegjort for flere BEC-svindelkonti, herunder en, der involverede en amerikansk baseret bank. I denne bank modtog en medarbejder en e-mail fra svindlere, der udgav sig for at være bankens administrerende direktør. I e-mailen blev medarbejderen bedt om hurtigt at sende en tidligere planlagt overførsel på 1 million USD. Beskeden indeholdt en ændring af kontooplysningerne med angivelse af, at dette var "på grund af udbruddet af coronavirus og karantæneprocesser og -forsigtighedsforanstaltninger".
BEC-svindel involverer ofte kompleks overvågning af medarbejdere. Svindlere går endda så langt som til at opbygge relationer med helpdesk-operatører og andre i relevante afdelinger for at finde oplysninger om virksomhedens processer. Undervisning i sikkerhedsbevidsthed lærer medarbejderne om tegn på BEC-svindel og de typer af social engineering-tricks, som svindlerne bruger.
Hjælper med at sikre overholdelse af lovgivningen
Medarbejderne er en integreret del af opretholdelsen af databeskyttelse og privatlivets fred. Deres handlinger kan let føre en organisation for finansielle tjenesteydelser ind i et område med manglende overholdelse af reglerne. Noget så simpelt som en forkert e-mail kan resultere i en bøde. En nylig undersøgelse viste, at 58 % af medarbejderne indrømmede, at de havde sendt en e-mail til den forkerte person.
Træning i sikkerhedsbevidsthed hjælper med at forhindre, at medarbejderne begår fejl. At have et effektivt program på plads, der tilbyder målinger og automatiseret træning, viser også virksomhedens engagement i sikkerhed. Det er enten obligatorisk eller stærkt tilskyndet af en række standarder og regler, herunder ISO27001 og PCI-DSS, som indeholder følgende under krav 12:
"Implementer et formelt program for sikkerhedsbevidsthed for at gøre alt personale opmærksom på politikken og procedurerne for sikkerhed af kortholderdata."
Opbyg en menneskelig firewall
Sikkerhedsforanstaltninger som f.eks. robust adgangskontrol, firewalls, beskyttelse af slutpunkter og kryptering er vigtige, men social engineering er designet til at omgå traditionelle sikkerhedsløsninger. Kyndige og sikkerhedsbevidste medarbejdere er en vigtig del af cybersikkerhedsforanstaltningerne i en finansiel virksomhed.
Ved at bruge Security Awareness Training kan en virksomhed opbygge en "menneskelig firewall". Hvert medlem af et team på tværs af organisationen handler derefter for at støtte de andre medlemmer af dette team. Ved at gennemføre regelmæssig sikkerhedsuddannelse bliver den menneskelige firewall stærkere og mere effektiv til at opdage social engineering-tricks.
Styrk medarbejdernes moral
En rapport fra Carbonite viser, hvordan et cyberangreb påvirker enkeltpersoner, idet 24 % af de ansatte oplever et fald i moralen efter et angreb. Tillid styrker medarbejdernes moral. Træning i sikkerhedsbevidsthed er en personcentreret tilgang til sikring af en organisations aktiver. Ved at give medarbejderne redskaberne til at hjælpe med at bekæmpe cyberkriminalitet giver en organisation sine medarbejdere mulighed for at forebygge et cyberangreb. Uddannelse i sikkerhedsbevidsthed bidrager ikke blot til at sikre organisationen, men også til at forbedre personalets moral.
Finansielle serviceorganisationer i hele verden er et førsteklasses mål for cyberkriminelle og svindlere. At have et veluddannet personale er en del af et bredere 360-graders syn på at sikre en virksomhed mod disse ondsindede og uhyggelige angreb.
