Der er en række grunde til, at regeringer har brug for Security Awareness Training for at reducere risikoen for vellykkede angreb, beskytte følsomme oplysninger og bevare offentlighedens tillid til offentlige institutioner. Regeringer og offentlige institutioner er i cyberkriminelles søgelys. Undersøgelser fra Checkpoint underbygger denne påstand; en undersøgelse fra virksomheden viser, at de statslige og militære sektorer i Storbritannien og Irland i gennemsnit håndterede 352 cyberangreb om ugen i midten af 2021.
Storbritannien som helhed oplevede en stigning på 20 % i cyberangreb i løbet af 2020, med angrebstyper som f.eks. ransomware, der steg med hele 80 % i de sidste tre måneder af 2020. Denne tsunami af cyberangreb følger et typisk mønster med manipulation af den menneskelige faktor, som regel en medarbejder eller leverandør.
For at afhjælpe angrebet af cybertrusler fra phishing, utilsigtet dataeksponering og social engineering skal offentlige myndigheder se på Security Awareness Training.
Hvordan tab af data og cyberangreb i myndighederne sker
Hackerne har fået glæde af succesen med tidligere angreb på offentlige myndigheder.
Det mest berygtede var måske WannaCry-ransomwareangrebet, som blev mærket over hele verden og især i det britiske NHS. Som alle ransomware-angreb var WannaCry ødelæggende, idet det lukkede hospitaler for nye patienter og lagde et enormt pres på et i forvejen presset NHS. Offentlige myndigheder er et mål for cyberkriminelle, fordi det har vist sig at være en succesfuld mulighed, cyberkriminalitetens pendant til lavthængende frugter.
Angreb som f.eks. ransomware begynder ofte med, at en medarbejder manipuleres til at klikke på et ondsindet link i en e-mail eller downloade en inficeret vedhæftet fil.
En anmodning om informationsfrihed (FoI) fra tænketanken Parliament Street viste, at det lykkedes Hendes Majestæts finansministerium at blokere næsten 5 millioner phishing-, malware- og spam-e-mails i løbet af de tre år frem til september 2021. En anden Parliament Street-rapport viste, at Underhuset havde blokeret 126 millioner ondsindede e-mailforsøg.
Men det er ikke kun cyberangreb, der bør bekymre de offentlige sikkerheds- og complianceansvarlige.
En rapport fra forsvarsministeriet, som Parliament Street har analyseret, viser en stigning på 18 % i antallet af datatab. De fleste af disse hændelser skyldtes uautoriseret videregivelse af data, mens resten skyldtes tab af elektronisk udstyr, enheder eller dokumenter fra offentlige bygninger eller usikker bortskaffelse af papirdokumenter.
Cyberkriminelle spiller et langt spil og forbedrer hele tiden deres undvigelsesteknikker. En enkelt ondsindet e-mail, der slipper igennem nettet, kan blive en ny hændelse af WannaCry-niveau. En enkelt tabt bærbar computer i et tog kan ende i mediernes søgelys og blive behandlet som et problem med manglende overholdelse af lovgivningen af Information Commissioners Office (ICO).
Den perfekte cyberstorm bestående af en blanding af cyberkriminalitet og utilsigtede insiderhændelser samler sig som en mørk sky over de britiske ministerier.
Hvordan uddannelse i cybersikkerhedsbevidsthed kan hjælpe en offentlig afdeling med at forblive cybersikker
Det britiske ICO har erklæret, at 90 % af databrud skyldes menneskelige fejl: den rolle, som den menneskelige faktor spiller i forbindelse med datatab og cyberbrud, fremgår klart af undersøgelsen fra Parliament Street. Den menneskelige faktor i sikkerheden giver imidlertid også de offentlige myndigheder mulighed for at reducere risikoen.
Evnen til at uddanne brugerne om cybersikkerhedsspørgsmål og datarisici er en vigtig del af en overordnet sikkerhedspolitik og -strategi. Uddannelse i sikkerhedsbevidsthed er et formelt program til at levere denne uddannelse; de fem grundlæggende elementer i effektiv uddannelse i sikkerhedsbevidsthed er:
Forebyg databrud
Databrud er typisk forbundet med en phishing-kampagne på et tidspunkt i et brud. En medarbejder eller en anden tilknyttet enhed, f.eks. en entreprenør eller leverandør, bliver offer for en phishing-meddelelse, og resultatet kan være infektion med ransomware (eller anden malware) eller tyveri af legitimationsoplysninger.
Træning i sikkerhedsbevidsthed træner medarbejdere og andre i at genkende afslørende tegn på phishing-beskeder og andre social engineering-svindelnumre. Phishing-simulationer kan bruges til at hjælpe med denne uddannelse og til at indsamle data for at vise, hvor effektiv uddannelsen er. I en statslig it-afdeling med et stramt budget kan sikkerhedsuddannelsesprogrammer være meget omkostningseffektive.
Forebyg utilsigtet eksponering af data
Utilsigtet dataeksponering dækker en lang række hændelser, fra fejllevering af e-mails til blot at efterlade følsomme dokumenter på en printer. Undervisning i sikkerhedsbevidsthed uddanner personalet i de hygiejniske elementer i forbindelse med sikkerhed på nettet såvel som de mere teknologiske elementer. Medarbejdere og andre personer uddannes i god praksis, f.eks. i at holde sig til en politik for rene skriveborde og sikre, at de ikke deler adgangskoder.
Fortsat sikkerhed
Cyberkriminelle er altid på udkig efter måder at omgå traditionelle sikkerhedsforanstaltninger på, herunder at ændre taktikken for at narre medarbejdere til at udføre ondsindede aktiviteter på deres vegne. Træning i sikkerhedsbevidsthed er ikke en engangsbegivenhed, men fungerer efter princippet om løbende uddannelse for at sikre, at en statslig institution (og dens medarbejdere) holder sig ajour med ændringer i trusselsbilledet for cybersikkerhed.
Sikkerhed for alle
Hver eneste medarbejder, konsulent og leverandør er et potentielt mål for cyberkriminelle, som de kan drage fordel af. Alle medarbejdere og leverandører fungerer også som en menneskelig faktor i forbindelse med utilsigtet dataeksponering. Derfor er programmer for sikkerhedsbevidsthedsuddannelse mest effektive, når de anvendes i hele organisationen og omfatter leverandører. Med offentlige ministerier, der anvender outsourcede tjenester og personale, er dette aspekt af Security Awareness Training vigtigt for at sikre, at sikkerhedstankegangen er universel.
Den menneskelige firewall og supplering af de tekniske foranstaltninger
Konceptet med en menneskelig firewall er en idé, der bygger på den uddannelse, som et program for sikkerhedsoplysning giver. Hvis det gøres godt, kan sikkerhedsuddannelse styrke alle i en organisation og samtidig sikre, at gruppen som helhed får gavn af denne uddannelse.
Overholdelse af lovgivning, databeskyttelsesstandarder og offentlige myndigheder
En anden ting, der kommer ud af et effektivt program for sikkerhedsbevidsthed, er at opfylde kravene i lovgivningen om informationssikkerhed. Regeringen bør være et godt eksempel for resten af branchen ved at sikre, at de opfylder de forskellige databestemmelser i Det Forenede Kongerige samt de bestemmelser, der kan have indvirkning uden for Det Forenede Kongeriges grænser. Mange databeskyttelsesstandarder og -forordninger, herunder ISO27001 og DPA2018/UK GDPR, kræver nu eller opfordrer kraftigt en organisation til at uddanne sine medarbejdere til at være sikkerhedsbevidste.
Mens traditionelle sikkerhedsforanstaltninger som to-faktor-autentifikation og kryptering kan hjælpe med at mindske databrud, er der intet bedre end at gøre medarbejderne opmærksomme på de risici, som phishing og andre social engineering-angreb udgør for en organisation.
Offentlige myndigheder er lige så udsat for risiko for datatab og cyberangreb som alle andre brancher. Ved at give de ansatte en vigtig sikkerhedsuddannelse kan en offentlig myndighed mindske risikoen for at blive udsat for risiko og være et eksempel og et forbillede for andre brancher at følge.