Cybersikkerhed er alles ansvar. Som mennesker er vi naturligt samarbejdsvillige og trives med samarbejde og fælles succes. Denne følelse af sammenhold styrker ikke kun vores samfund, men er også afgørende for at opbygge robuste og effektive organisationer i lyset af de stigende cybertrusler.
I denne artikel vil vi undersøge, hvordan medarbejderne spiller en afgørende rolle i effektive sikkerhedsstrategier og bidrager til den menneskelige risikostyring. Vi vil diskutere vigtigheden af at fremme en virksomhedskultur, hvor cybersikkerhed ses som et kollektivt ansvar, og hvordan det at trække i samme retning kan være med til at skabe en cybersikker organisation. Det kræver dog gennemtænkt planlægning og forberedelse for at sikre, at alle forstår deres rolle i den moderne kontrol af cybersikkerhedstrusler.
Cybersikkerhed handler om mere end teknologi
Cyber-kriminelle søger den nemme vej ind i en organisation; hvorfor skulle man trods alt gøre livet svært for sig selv? Den ’nemme vej ind’ kommer i form af cybersikkerhedsangrebsscenarier, hvor et menneske, som regel en medarbejder eller forretningsforbindelse, bruges til at ’åbne døren’ til organisationens netværk.
Typisk bruger cyber-kriminelle social-engineering-teknikker og phishing til at komme ind i netværket, og når de først er inde, kan de stjæle data, installere ransomware og forårsage generel ødelæggelse.
Forskere fra Stanford University fandt ud af, at 88 % af sikkerhedsbruddene havde et element af menneskelige fejl, og at medarbejderne ofte er uvillige til at indrømme fejl. Rapporten identificerede også phishing-e-mails som årsag til 25 % af bruddene, idet phishing-svindelnumre fanger medarbejdere ved hjælp af social engineering og psykologiske tricks til at manipulere adfærd.
For at gøre det menneskelige element i cyberangreb endnu mere effektivt har det vist sig, at traditionelle sikkerhedsværktøjer som antivirussoftware kun er 50 % effektive til at opdage trusler. Dette dobbelte problem med social engineering kombineret med mindre end 100 % effektive sikkerhedsteknologier har ført til, at IT-teams forstår, at de har brug for en mere holistisk tilgang til at beskytte ressourcer.
I stedet ved sikkerhedsfolk, at de for at bekæmpe cyberangreb skal indarbejde en blanding af Security Awareness Training og teknologiske foranstaltninger, der ledes af en robust håndhævelse af politikker.
I sidste ende har alle i en organisation en vigtig rolle, der medvirker til at skabe et beskyttende værn mod cyberangreb. Brugen af de følgende fem kerneværdier er med til at cementere det ansvar, som alle i en organisation har.
Skab en ansvarlig tankegang om cybersikkerhed gennem fem kerneværdier
Ved at anerkende, at cybersikkerhed er alles ansvar, og at medarbejderne er en afgørende del af en effektiv cybersikkerhedsstrategi, opstår begrebet den menneskelige firewall. Det er en idé, der er baseret på at sætte medarbejderne i stand til at fungere som et skjold mod menneskeligt fokuserede cybertrusler.
Medarbejdere er et mål for cyber-kriminelle, der søger efter nemme veje ind i en organisation. Et effektivt og handlingsorienteret ansvar kræver værktøjer til at beskytte mod angreb, der fokuserer på medarbejderne; en medarbejder, der har mulighed for at spotte mistænkelig adfærd, mindsker sandsynligheden for et vellykket angreb.
At skabe en robust menneskelig firewall kræver en ændring i tankegangen. Denne ændring i tankegangen skaber en kultur for cybersikkerhed, der bygger på god sikkerhedsuddannelse og værktøjer og foranstaltninger, som giver medarbejdere og andre ikke-ansatte mulighed for at hjælpe med at opdage og håndtere phishing og andre svindelnumre som f.eks. Business E-mail Compromise (BEC).
Denne tankegang om sikkerhed frem for alt er anerkendt af National Institute of Standards and Technology (NIST). En NIST-publikation fra 2018 "Security is everybody's job" opstiller fem kerneværdier, der bruges til at skabe en cybersikkerhedskultur, som NIST anser for at være afgørende for en vellykket cybersikkerhedsindstilling:
1/ Mindset
NIST siger, at en cybersikkerhedskultur er grundlæggende for at give hele organisationen en sikkerhedstankegang. Denne grundsten i organisationens sikkerhed danner rammen for bedre sikkerhed gennem opmærksomhed på de tricks og svindelnumre, der fører til eksponering af data, ransomware og andre sikkerhedsbrud.
2/ Leadership
Budskaberne om sikkerhedsansvaret skal komme fra toppen for at opfordre til og håndhæve den sikkerhedstankegang, der er nødvendig for at afværge cyberangreb.
Dette top-down-lederskab inden for sikkerhed er ved at blive formaliseret, da Gartner Inc. forudsiger, at "i 2025 vil 40 % af bestyrelserne have et dedikeret cybersikkerhedsudvalg, der overvåges af et kvalificeret bestyrelsesmedlem". Ledere bør gå foran med et godt eksempel og handle for at påvirke og modellere gode sikkerhedsvaner.
3/ Uddannelse og bevidsthed
NIST anerkender, at en grundlæggende byggesten i en sikker organisation er at implementere Security Awareness Training. Ved at uddanne medarbejderne i social engineering-tricks og træne dem i at spotte phishing-mails kan medarbejderne "smække døren til cybertruslen" i ansigtet på de cyberkriminelle.
4/ Performance Management
Organisationens mål skal være i overensstemmelse med de individuelle præstationsmål. NIST foreslår, at man bruger incitamenter og negative incitamenter til at ændre dårlig cybersikkerhedsadfærd.
5/ Teknisk og politisk forstærkning
Tekniske foranstaltninger som f.eks. multi-faktor-autentifikation (MFA) og adgangskodepolitikker bør anvendes til at supplere og håndhæve god sikkerhedshygiejne.
Cybersikkerhed er alles ansvar
Cybersikkerhed er alles ansvar. Men når man gør nogen ansvarlige for noget, skal man give dem redskaberne til at leve op til dette ansvar.
For at starte processen med at blive en cyberansvarlig organisation skal en organisation skabe en kultur, hvor sikkerhed er en naturlig del af dagligdagen. Mennesker er naturligt samarbejdsvillige, og ansvarsfølelse kan opdyrkes ved at implementere de fem kerneværdier fra NIST, som vist ovenfor.
Med disse værdier kan du understrege og håndhæve en følelse af ansvarlighed for cybersikkerhed og give medarbejderne midlerne til at leve op til dette ansvar og fungere som et samlet beskyttende værn mod social- engineering-angreb.