Mennesket er en naturligt samarbejdsvillig art. Vi føler os hjemme ved at samarbejde med andre og arbejde på vellykkede projekter sammen. Dette samarbejde, denne følelse af samhørighed, er med til at opbygge mere robuste og velfungerende samfund.
At arbejde sammen om at nå et fælles mål og gå i samme retning er også noget, der kan bidrage til at opbygge en cybersikker organisation. Men at få alle til at forstå, at dette fælles ansvar er altafgørende i forbindelse med moderne cybersikkerheds-trusler, er en anden sag.
For at nå til et sted, hvor vi kan tackle det stigende antal angreb fra cyberangreb, skal en organisation indgyde en følelse af, at cybersikkerhed er alles ansvar. Men hvordan man gør det til en realitet, kræver en del overvejelser og forberedelse.
Cybersikkerhed handler om mere end teknologi
Cyber-kriminelle søger den nemme vej ind i en organisation; hvorfor skulle man trods alt gøre livet svært for sig selv? Den ’nemme vej ind’ kommer i form af cybersikkerhedsangrebsscenarier, hvor et menneske, som regel en medarbejder eller forretningsforbindelse, bruges til at ’åbne døren’ til organisationens netværk.
Typisk bruger cyber-kriminelle social-engineering-teknikker og phishing til at komme ind i netværket, og når de først er inde, kan de stjæle data, installere ransomware og forårsage generel ødelæggelse.
Forskere fra Stanford University fandt ud af, at 88 % af sikkerhedsbruddene havde et element af menneskelige fejl, og at medarbejderne ofte er uvillige til at indrømme fejl. Rapporten identificerede også phishing-e-mails som årsag til 25 % af bruddene, idet phishing-svindelnumre fanger medarbejdere ved hjælp af social engineering og psykologiske tricks til at manipulere adfærd.
Det er blevet påvist, at traditionelle sikkerhedsværktøjer som f.eks. antivirusprogrammer kun er 50 % effektive til at opdage trusler, hvilket understreger, hvor stor en rolle det menneskelige element i cyberangreb har. Denne dobbelte konsekvens af social-engineering kombineret med sikkerhedsteknologier, der ikke er 100% effektive har ført til, at it-teams har forstået, at de har brug for en mere holistisk tilgang til at beskytte ressourcerne.
I stedet ved sikkerhedseksperter, at de for at imødegå cyberangreb skal indarbejde en blanding af cybersikkerheds-awareness-træning og teknologiske foranstaltninger, der ledes af en robust håndhævelse af politikker.
I sidste ende har alle i en organisation en vigtig rolle, der medvirker til at skabe et beskyttende værn mod cyberangreb. Brugen af de følgende fem kerneværdier er med til at cementere det ansvar, som alle i en organisation har.
Skab en ansvarlig tankegang om cybersikkerhed gennem fem kerneværdier
Ved at anerkende, at cybersikkerhed er alles ansvar, og at medarbejderne er en afgørende del af en effektiv cybersikkerhedsstrategi, opstår begrebet den menneskelige firewall. Det er en idé, der er baseret på at sætte medarbejderne i stand til at fungere som et skjold mod menneskeligt fokuserede cybertrusler.
Medarbejdere er et mål for cyber-kriminelle, der søger efter nemme veje ind i en organisation. Et effektivt og handlingsorienteret ansvar kræver værktøjer til at beskytte mod angreb, der fokuserer på medarbejderne; en medarbejder, der har mulighed for at spotte mistænkelig adfærd, mindsker sandsynligheden for et vellykket angreb.
At skabe en robust menneskelig firewall kræver en ændring i tankegangen. Denne ændring i tankegangen skaber en kultur for cybersikkerhed, der bygger på god sikkerhedsuddannelse og værktøjer og foranstaltninger, som giver medarbejdere og andre ikke-ansatte mulighed for at hjælpe med at opdage og håndtere phishing og andre svindelnumre som f.eks. Business E-mail Compromise (BEC).
Denne tankegang om sikkerhed frem for alt er anerkendt af National Institute of Standards and Technology (NIST). En NIST-publikation fra 2018 "Security is everybody's job" opstiller fem kerneværdier, der bruges til at skabe en cybersikkerhedskultur, som NIST anser for at være afgørende for en vellykket cybersikkerhedsindstilling:
Kerneværdi et – tankegang
NIST siger, at en cybersikkerhedskultur er grundlæggende for at give hele organisationen en sikkerhedstankegang. Denne grundsten i organisationens sikkerhed danner rammen for bedre sikkerhed gennem opmærksomhed på de tricks og svindelnumre, der fører til eksponering af data, ransomware og andre sikkerhedsbrud.
Kerneværdi to – lederskab
Budskaberne om sikkerhedsansvaret skal komme fra toppen for at opfordre til og håndhæve den sikkerhedstankegang, der er nødvendig for at afværge cyberangreb.
Dette top-down-lederskab inden for sikkerhed er ved at blive formaliseret, da Gartner Inc. forudsiger, at "i 2025 vil 40 % af bestyrelserne have et dedikeret cybersikkerhedsudvalg, der overvåges af et kvalificeret bestyrelsesmedlem". Ledere bør gå foran med et godt eksempel og handle for at påvirke og modellere gode sikkerhedsvaner.
Tredje kerneværdi – uddannelse og awareness
NIST erkender, at en grundlæggende byggesten i en sikker organisation er at gennemføre cybersikkerheds-awareness-træning. Ved at uddanne medarbejderne i at gennemskue social-engineering-tricks og træne dem i at opdage phishing-e-mails kan medarbejderne "smække døren i hovedet” overfor de cyberkriminelle, der forsøger at komme ind.
Fjerde kerneværdi – præstationsstyring
Organisationens mål skal være i overensstemmelse med de individuelle præstationsmål. NIST foreslår, at man bruger incitamenter og negative incitamenter til at ændre dårlig cybersikkerhedsadfærd.
Kerneværdi fem – teknisk og politisk styrkelse
Tekniske foranstaltninger som f.eks. multi-faktor-autentifikation (MFA) og adgangskodepolitikker bør anvendes til at supplere og håndhæve god sikkerhedshygiejne.
Cyber-sikkerhed gennem cyber-ansvar
Cybersikkerhed er alles ansvar. Men når man gør nogen ansvarlige for noget, skal man give dem redskaberne til at leve op til dette ansvar.
For at starte processen med at blive en cyberansvarlig organisation skal en organisation skabe en kultur, hvor sikkerhed er en naturlig del af dagligdagen. Mennesker er naturligt samarbejdsvillige, og ansvarsfølelse kan opdyrkes ved at implementere de fem kerneværdier fra NIST, som vist ovenfor.
Med disse værdier kan du understrege og håndhæve en følelse af ansvarlighed for cybersikkerhed og give medarbejderne midlerne til at leve op til dette ansvar og fungere som et samlet beskyttende værn mod social- engineering-angreb.
