En nyere undersøgelse fra den britiske regering, "Cyber resilience captains of industry survey 2021", indeholder nogle interessante oplysninger om bevidstheden om cybersikkerhedsrisici på topchefniveau og bestyrelsesniveau i en organisation.
Undersøgelsen viste, at næsten alle respondenterne mener, at bestyrelsen inddrager overvejelser om cyberrisici i virksomhedens generelle anliggender. I rapporten advares der dog om dette med følgende advarsel:
"Kaptajnerne mener stadig, at der kan gøres mere for at udstyre bestyrelsesmedlemmerne til at håndtere cybertrusler. Kaptajnerne nævnte oftest bevidstgørelse af bestyrelsesmedlemmerne og målrettet uddannelse."
C-Suite og bestyrelsen er specifikke grupper, der kræver skræddersyet træning for at opfylde deres unikke behov. Her er nogle ideer til at skabe et program for sikkerhedsbevidsthed for din C-Suite.
Hvorfor uddanne C-Suite?
De personer, der arbejder i C-Suite, har stor indflydelse i deres virksomhed, og denne indflydelse er afgørende for at hjælpe med at levere en konsekvent og effektiv sikkerhedsbevidsthed på tværs af hele organisationen. Derfor giver det god mening at målrette en sikkerhedsoplysningskampagne mod denne gruppe.
"Tonen i toppen" er et velkendt fænomen inden for sikkerhedsrisikostyring. Denne "tone i toppen" fremhæves i håndbogen fra European Directors' Association (ecoDa), som indeholder flere vigtige anbefalinger til risikobegrænsning i en tid med omfattende cybertrusler. En af anbefalingerne er at sætte tonen for bevidsthed i hele organisationen - i rapporten hedder det bl.a:
"Bestyrelsen og ledelsen bør sætte tonen i toppen og udvikle den rette kultur og øge bevidstheden om at udvikle cyberresiliens. "
Komponenterne i et målrettet program for sikkerhedsoplysning for C-Suite
Det er bemærkelsesværdigt, at den britiske regerings rapport om industriens kaptajn fandt, at sikkerhedsbevidsthed har ramt bestyrelseslokalerne. Men C-Suite og bestyrelsesmedlemmer skal være en del af et generelt og målrettet sikkerhedsbevidsthedsprogram. Opbygning af bevidsthed på dette niveau kan cementere kulturen med en tankegang om sikkerhed først og fremmest.
Her er de kritiske faktorer i en oplysningskampagne, der fokuserer på en C-Suite:
Opbyg spændingen med risiko
C-Suite har mange bolde at jonglere med. Virksomhedens kerneforretning skal altid komme først. Men hvis denne kerneforretning er i fare på grund af cybertrusler, må virksomheden prioritere disse trusler.
Sæt scenen for C-Suite-træningen ved at vise afkastet af investeringen i at levere et program til træning i sikkerhedsbevidsthed. Nogle tal, der kan hjælpe med at definere dette, findes i IBM- og Ponemon-rapporten Cost of a Data Breach: Det Forenede Kongerige er et af de lande, der har de højeste omkostninger ved databrud, med et gennemsnit på 4,67 millioner dollars (3,8 millioner pund) pr. databrud.
Når du først har fået opbakning fra din øverste ledelse, kan du skabe rammerne for et effektivt program til træning i sikkerhedsbevidsthed, der er målrettet de øverste ledere.
Udfør et rollebaseret sikkerhedsbevidsthedsprogram for C-Suite
Cyberkriminelle fokuserer i stigende grad på enkeltpersoner og roller i en organisation. Det giver god mening, for jo mere folk er opmærksomme på sikkerhedsproblemer, jo sværere bliver det at snyde medarbejderne. Hvis en hacker forstår sit mål, kan han imidlertid skabe smarte phishing-e-mails, der er svære at genkende. C-suite-medlemmerne er i cyberkriminelles søgelys, da de er virksomhedens finansielle hjerte og autoritet.
Et C-suite-fokuseret angreb ramte den amerikanske virksomhed Scoular Co, som blev offer for Business Email Compromise (BEC). Virksomheden mistede 17,2 millioner dollars til cyberkriminelle via tre bankoverførsler, efter at svindlerne havde rettet sig mod virksomhedens administrerende direktør ved hjælp af falske e-mails.
Verizon 2021 Data Breach Investigations Report (DBIR) bemærker vigtigheden af at skræddersy Security Awareness Training og konkluderer:
"Der findes ikke en enkelt metode til at minimere de menneskelige risici, der fører til brud på sikkerheden.Hver virksomhed oplever forskellige varianter af de samme typer angreb og skal tilpasse deres adfærdsteknologi og uddannelsesprogrammer om cybersikkerhed i overensstemmelse hermed."
Udform din træning i sikkerhedsbevidsthed omkring virksomhedens roller, og inddrag de øverste leders roller. Fokuser på de typer angreb, der er rettet mod medarbejdere på C-niveau, f.eks. BEC og CEO-efterligning.
Sæt det sociale ind i C-Suite
Cyberkriminelle, der er rettet mod de "store phish-brugere", f.eks. CEO og CFO, vil finde ud af, hvad deres bytte er. Det gør de som en del af social engineering-kæden, der anvender forskellige teknikker til at manipulere adfærd.
En af disse taktikker er at udgive sig for at være leder , også kendt som "whaling" eller "executive impersonation". Et berygtet eksempel på dette var et "deep fake"-angreb fra 2019, hvor firmaets administrerende direktør blev forfalsket for at narre den administrerende direktør i Storbritannien til at sende 243.000 dollars til svindlerens bankkonto.
Denne form for social engineering er på vej frem, med en stigning på 131 % i 2020-2021. Disse former for bedrageri er baseret på opbygning af en profil af målet for at skaffe den intelligens, der skal til for at udføre social engineering.
Sæt bevidsthed om social engineering fast på din uddannelseskalender for sikkerhed, og oplær din øverste ledelse om deres sårbarhed på dette område...
Spyd-Phish den øverste ledelse
C-Suite er udsat for spear-phishing-angreb, som er en målrettet form for phishing. En nyere phishing-e-mailkampagne brugte falske Microsoft Office 365-e-mails til at stjæle legitimationsoplysninger. Kampagnen var rettet mod C-suitechefer og deres assistenter på tværs af mange brancher.
Ved at spearphishing C-Suite går en cyberkriminel direkte til beslutningstageren i en organisation. Spear phishing fungerer, da de falske e-mails er baseret på kendte oplysninger om målet. Spearphisherne vil ofte bruge præcis de apps, som f.eks. Office 365, som en virksomhed regelmæssigt bruger.
Skab en sofistikeret simuleret phishing-kampagne, der specifikt er rettet mod din C-Suite. Brug din viden om rollebaseret phishing til at oprette realistisk udseende spear-phishing-e-mails, der er målrettet din C-Suite. Brug en avanceret simuleret phishing-platform, der anvender "point of need"-indlæring. Dette fanger adfærdsproblemer, når de opstår, og giver brugeren oplysninger om, hvad der gik galt og hvorfor.
Kend din C-Suite gennem målinger af sikkerhedsbevidsthedsuddannelse
Phishing-simuleringsplatforme som f.eks. MetaPhish leverer målinger i form af et dashboard, der viser dataresultater fra phishing-simuleringer. Dette vil give dig feedback om, hvor mange af dine C-Suite-medlemmer der har klikket på et link i en simuleret phishing-e-mail. Rapporterne kan endda vise den enhed, der blev brugt til at få adgang til phishing-e-mailen; dette giver dig mulighed for yderligere at skræddersy og fokusere din indsats på at forbedre ledernes sikkerhedsadfærd.
Sæt tonen for sikkerhed i toppen
Dine ledere, der arbejder i C-Suite, er dine interne indflydelsespersoner. Men de skal være eksempler på fremragende sikkerhedsadfærd for at være et godt eksempel for hele arbejdsstyrken. Ved at sætte tonen for sikkerhed i toppen vil man tilskynde til en sikkerhedstankegang, hvor sikkerheden kommer i første række. Denne sikkerhedsorienterede tankegang er afgørende for at skabe en sikkerhedskultur og mindske virksomhedens cyberrisiko.
