Undersøgelse efter undersøgelse viser, at mennesket i maskinen øger risikoen for cybersikkerhed. Forskning fra Stanford University og Tessian bekræfter dette og viser, at 88 % af databrud skyldes fejl fra medarbejdere. Men selv uden statistiske beviser har organisationer anekdotiske beviser for, at den menneskelige faktor ligger bag mange databrud og andre sikkerhedshændelser. For at mindske risikoen for databrud skal du mindske risikoen for både ansatte og ikke-ansatte.
Her er en guide til den type risici, som mennesker udgør for en organisation, og nogle idéer til, hvordan man kan reducere menneskelige risici.
At fejle er menneskeligt
Det er vigtigt at definere, hvad "menneskelig fejl" betyder, når man skal finde ud af, hvordan man minimerer risikoen for en menneskeskabt sikkerhedsfejl.
Menneskelige fejl kan groft sagt opdeles i to områder:
Tilsyn
Fejl og fejl sker, og når de sker, øges truslen mod en organisation. Et typisk eksempel på en fejl er en medarbejder, der ved et uheld sender en e-mail med følsomme oplysninger til den forkerte person, også kaldet fejllevering af en e-mail.
Et andet eksempel på en forglemmelse er fejlkonfiguration af en cloud-komponent, f.eks. en database. Et andet eksempel er at tro, at det er i orden at dele en adgangskode med en kollega. Overvågning dækker det generelle område, hvor medarbejderne håndterer følsomme data forkert, hvilket kan føre til manglende overholdelse af reglerne, bøder og tab af kundernes tillid.
Bedrag
Social engineering-svindel øger den menneskelige risiko i en organisation. Social engineering-svindel, f.eks. phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links, kan øge den menneskelige risiko i en organisation.
Et andet eksempel på en medarbejder, der bliver snydt af en ondsindet aktør, er Business Email Compromise (BEC), et svindelnummer, hvor en cyberkriminel snyder medarbejdere til at betale falske fakturaer. Uanset om en medarbejder bliver snydt eller utilsigtet begår en fejl, kan resultatet være katastrofalt. FBI's Internet Crime Unit, IC3, rapport om BEC-kriminalitet fandt f.eks., at tabene som følge af BEC i 2020 beløb sig til 1,8 mia. dollars.
5 menneskelige hacks, der kan hjælpe med at minimere den menneskelige risiko
Menneskerelaterede risikofaktorer kan afbødes ved at anvende fem menneskelige hacks, der reducerer cybersikkerhedsrisikoen:
1) Bryd cyklussen med klik
Brugergrænsefladen (UI) og brugeroplevelsen (UX) er designet til at gøre det så nemt som muligt at bruge en computer. Den gyldne kaliber er "one-click"-oplevelsen, og hvor det er muligt, arbejder UI-designere ihærdigt for at nå dette mål.
Desværre betyder det, at medarbejdere og andre brugere ender med ikke at tænke sig om, før de klikker, fordi deres UI/UX-konditionering sætter ind. MetaCompliance undersøgte for nylig spørgsmålet om automatiseret klikrespons i et andet indlæg "Phishing Attacks: Why Don't We Think Before We Click?", hvor vi anbefaler brugen af kontrollerede phishing-tests for at ændre medarbejdernes klikadfærd.
2) Opbyg en sikkerhedskultur
Cyberrisiko er alles sag. Når du opbygger en cybersikkerhedskultur, bør du fokusere skarpt på områder, der øger risikoen i en virksomhed eller en proces, samtidig med at du er opmærksom på, at der kan være forskellige eller varierende risikoniveauer afhængigt af afdelingen eller endog medarbejderen. Øvelser til opbygning af cybersikkerhedskultur skal afspejle de granulære behov i en virksomhed, og ved at skabe en kultur af cybersikkerhedsbevidsthed kan du bidrage til at mindske risikoen gennem viden.
3) Understøtte bedre beslutninger
Mange menneskelige fejl, der fører til øget cyberrisiko, skyldes simpelthen dårlig dømmekraft. Menneskelige fejl dækker over en lang række problemer, der fører til dataeksponering og andre sikkerhedshændelser. Nogle gange er det blot et tilfælde af, at man ikke har de nødvendige oplysninger til rådighed til at træffe en god beslutning. Og nogle gange handler det om at indføre strukturer, så man ikke kan træffe den forkerte beslutning. Sikkerhedshygiejne er et eksempel herpå.
En undersøgelse fra Yubico viste, at 69 % af medarbejderne deler deres adgangskoder for at gøre det lettere at få adgang til deres konto. Hvis du vil mindske risikoen for den menneskelige faktor på arbejdspladsen, skal du lære medarbejderne vigtigheden af ikke at dele adgangskoder og understøtte dette ved at håndhæve brugen af anden faktor-autentifikation (2FA) i alle apps, der understøtter 2FA.
4) Cyberhygiejne for at mindske risikoen for menneskelige fejl
At undervise medarbejderne i cyberhygiejne giver mere vægt til de ovenfor nævnte spørgsmål om sikkerhedshygiejne. Cyberhygiejne dækker en række områder og omfatter en politik for rene skriveborde, der kan håndhæves. Bedste praksis for cyberhygiejne vil minimere online sikkerhedsrisici og holde it-systemerne sunde. Det vil også hjælpe med at overholde sikkerhedsstandarder som f.eks. ISO27001.
Cyberhygiejne er en praksis, der ikke kun omfatter medarbejdere, men også en generel opmærksomhed på sundhedspleje af it-systemer; dette omfatter brug af passende værktøjer til at overvåge potentielle trusler, sikring af, at digitale certifikater opdateres, at patches hurtigt implementeres osv. God praksis for cyberhygiejne indebærer, at man sikrer, at menneskelige fejl i konfigurationen af systemer eller i forretningsprocesser opfanges, før de udnyttes.
5) Gør mennesker til en del af din lagdelte tilgang til sikkerhed
Medarbejderne er ofte kilden til en stigning i cyberrisikoen, men det er også her, at en organisation kan mindske risikoen for den menneskelige faktor. Ved at sikre, at ansatte og ikke-ansatte er en del af en lagdelt tilgang til cybersikkerhed, kan din virksomhed sikre en holistisk de-risking af "mennesker, processer og teknologi".
Ved at involvere alle medarbejdere i uddannelse, fra den administrerende direktør til de senest ansatte, dækker du alle de huller, hvor data kan lække, eller hvor der kan ske sikkerhedsmæssige uheld.
Reduktion af risikoen ved menneskeskabte børn
Medarbejdere er kun mennesker, og mennesker begår fejl eller kan blive socialt manipuleret af cyberkriminelle. Kyndige og engagerede medarbejdere kan være med til at overvinde den menneskelige risiko i en organisation. En klar sikkerhedsstrategi, der omfatter mennesker, processer og teknologi, vil mindske risikoen for den menneskelige faktor i enhver organisation. Denne strategi bør omfatte sikkerhedsuddannelsesprogrammer for at bidrage til at opbygge en sikkerhedskultur, som gør det muligt for dine medarbejdere at være din første forsvarslinje mod fejl og manipulation.
