Cyber Security Awareness Month i Europa og USA er en del af en bred indsats for at hjælpe folk med at være sikre på nettet. Initiativet blev lanceret i 2004 i USA og i 2012 i Europa. I år fokuserede den amerikanske begivenhed på "See Yourself in Cyber". I Europa blev der gjort opmærksom på phishing og ransomware.
Vi støtter naturligvis alle bestræbelser på at støtte bevidstheden om cybersikkerhed. Mennesker er det svageste led i en organisations sikkerhedsindsats. Det er vigtigt at lære dem enkle skridt, som de kan tage for at beskytte sig selv online. Det er stadig langt lettere for en modstander at narre nogen til at afsløre en adgangskode eller klikke på et link i en e-mail, end det er at trænge ind i et godt beskyttet netværk. En god bevidsthed om cybersikkerhed kan beskytte organisationer mod økonomiske tab, sanktioner for manglende overholdelse af reglerne og skade på deres omdømme.
Alligevel er udnyttelse af dårlig bevidsthed om cybersikkerhed stadig den primære angrebsvektor i forbindelse med databrud, selv efter at der i årevis er blevet afholdt arrangementer omkring en årlig "Awareness Month".
I Verizon Data Breach Investigation Report 2022 blev det konstateret, at 82 % af bruddene i det foregående år involverede social engineering, og antallet af phishing-klik fortsætter med at stige. Når angriberne først har fået fodfæste, kan de etablere kommando- og kontrolkanaler, bevæge sig lateralt for at identificere måldata, kryptere data til krav om ransomware eller stjæle følsomme oplysninger.
Cyber Security Awareness "Month"?
Så ja, vi støtter Cyber Security Awareness Month. Den skaber den nødvendige opmærksomhed om et problem, som vi har arbejdet på at løse i årevis. Det kan få nogle organisationer til at tage de første skridt til at forbedre sikkerhedsbevidstheden blandt deres medarbejdere eller styrke deres eksisterende programmer. Vi er bare imod at behandle bevidsthed om cybersikkerhed som en årlig begivenhed.
Læring er ikke en engangsbegivenhed. Man lærer ikke at tale et nyt sprog eller spille et musikinstrument ved at fokusere på opgaven en gang om året. Det samme gælder for at genkende og undgå cybersikkerhedstrusler. Det kræver tid og gentagelse at lære at gøre noget af dette.
Når uddannelsesmøder er arrangementer, der afholdes en gang eller to gange om året for at opfylde kravene, bevarer eleverne ikke deres viden. Den berømte Ebbinghaus glemmekurve viser, at eleverne glemmer over 75 % af en lektion alene i løbet af den første uge. Ved udgangen af en måned husker eleverne kun 21 % af lektionen.
Opbygning af medarbejdernes bevidsthed
Undervisning er en proces, ikke en begivenhed. Dette omfatter undervisning i cybersikkerhedsbevidsthed. Undersøgelser viser, at den nedadgående hældning af glemselskurven kan reduceres med regelmæssig styrkelse af undervisningen. Disse forstærkninger behøver ikke nødvendigvis at omfatte alle oplysningerne fra lektionen. Målet er at få den lærende til at tænke over materialet og anvende det i praksis.
Opbygning af en cyberbevidsthedskultur
Cybersikkerhedsbevidsthedens "måned" kan virke som en gimmick. Et effektivt program til bevidstgørelse om cybersikkerhed skal gennemføres 12 måneder om året ved hjælp af en række forskellige værktøjer og teknikker.
eLearning-lektioner er helt sikkert en del af et vellykket program, men teamene bør styrke lektionerne regelmæssigt ved hjælp af påmindelser, phishing-simulationer, mikro-lektioner, screensavers og plakater. Lektionerne bør være tilpasset de forskellige trusler, som en organisation står over for.
Uddannelse for finansteams bør være skræddersyet til de specifikke trusler i afdelingen. It-organisationer skal være opmærksomme på tyveri af privilegerede legitimationsoplysninger. Alle har brug for løbende uddannelse i phishing- og ransomware-angreb.
Et program for bevidsthed om cybersikkerhed er en vigtig del af en samlet risikovurdering. De ansvarlige for bevidsthedsprogrammer skal kunne følge udviklingen gennem rapportering og iværksætte korrigerende foranstaltninger, hvis der fortsat er risiko i organisationen. Hvis enkeltpersoner eller hold scorer dårligt på uddannelse, bør der automatisk planlægges afhjælpende uddannelse.
Det vigtigste er, at organisationer, der er engageret i bevidsthed om cybersikkerhed og online-sikkerhed, erkender behovet for støtte fra ledelsen. Regelmæssige budskaber direkte fra den øverste ledelse om behovet for cybersikkerhedshygiejne - og hvorfor det er en prioritet for virksomheden - er med til at opbygge en langvarig sikkerhedskultur.