Es gibt eine Reihe von Gründen, warum Regierungen Sicherheitsschulungen benötigen, um das Risiko erfolgreicher Angriffe zu verringern, sensible Informationen zu schützen und das Vertrauen der Öffentlichkeit in staatliche Einrichtungen zu erhalten. Regierungen und öffentliche Einrichtungen stehen im Visier von Cyberkriminellen. Untersuchungen von Checkpoint bestätigen diese Behauptung; eine Umfrage des Unternehmens zeigt, dass der Regierungs- und Militärsektor im Vereinigten Königreich und Irland Mitte 2021 durchschnittlich 352 Cyberangriffe pro Woche zu verzeichnen hatte.
Das Vereinigte Königreich insgesamt verzeichnete im Jahr 2020 einen Anstieg der Cyberangriffe um 20 %, wobei Angriffsarten wie Ransomware in den letzten drei Monaten des Jahres 2020 um satte 80 % zun ahmen. Dieser Tsunami von Cyberangriffen folgt einem typischen Muster der Manipulation des menschlichen Faktors, in der Regel eines Mitarbeiters oder Lieferanten.
Um den Ansturm von Cyber-Bedrohungen durch Phishing, versehentliche Datenpreisgabe und Social Engineering zu mindern, müssen Behörden auf Sicherheitsschulungen setzen.
Wie es zu Datenverlusten und Cyberangriffen in Behörden kommt
Die Hacker profitieren vom Erfolg früherer Angriffe auf staatliche Einrichtungen.
Der vielleicht berüchtigtste Angriff war der WannaCry-Ransomware-Angriff, der weltweit zu spüren war und den britischen NHS besonders hart traf. Wie alle Ransomware-Angriffe war auch WannaCry verheerend, schloss Krankenhäuser für neue Patienten und übte enormen Druck auf den ohnehin schon überlasteten NHS aus. Die Regierung ist ein Ziel für Cyberkriminelle, weil sie sich als erfolgreiche Option erwiesen hat - das Äquivalent der Cyberkriminalität zu den niedrig hängenden Früchten.
Angriffe wie Ransomware beginnen oft damit, dass ein Mitarbeiter dazu verleitet wird, auf einen bösartigen Link in einer E-Mail zu klicken oder einen infizierten Anhang herunterzuladen.
Eine von der Denkfabrik Parliament Street durchgeführte Anfrage zur Informationsfreiheit (Freedom of Information, FoI) ergab, dass das Finanzministerium Ihrer Majestät in den drei Jahren bis September 2021 fast 5 Millionen Phishing-, Malware- und Spam-E-Mails blockieren konnte. Ein weiterer Bericht von Parliament Street ergab, dass das Unterhaus 126 Millionen bösartige E-Mail-Versuche blockiert hat.
Aber es sind nicht nur Cyberangriffe, die den Sicherheits- und Compliance-Beauftragten der Behörden Sorgen bereiten sollten.
Ein Bericht des Verteidigungsministeriums (MoD), der von Parliament Street analysiert wurde, zeigt einen Anstieg der Datenverluste um 18 %. Die meisten dieser Vorfälle wurden durch die unbefugte Weitergabe von Daten verursacht, der Rest war auf den Verlust elektronischer Ausrüstung, Geräte oder Dokumente innerhalb von Regierungsgebäuden oder die unsichere Entsorgung von Papierdokumenten zurückzuführen.
Cyberkriminelle spielen ein langes Spiel und verbessern ständig ihre Umgehungstechniken. Eine einzige bösartige E-Mail, die durch das Netz rutscht, kann zu einem weiteren Vorfall vom Ausmaß von WannaCry werden. Ein einziger verlorener Laptop in einem Zug kann in den Medien landen und vom Information Commissioners Office (ICO) als Verstoß gegen die Vorschriften behandelt werden.
Der perfekte Cybersturm, bestehend aus einer Mischung aus Cyberkriminalität und zufälligen Insider-Ereignissen, zieht wie eine dunkle Wolke über die britischen Regierungsbehörden.
Wie Schulungen zum Bewusstsein für Cybersicherheit einer Behörde helfen können, cybersicher zu bleiben
Die britische Aufsichtsbehörde ICO hat festgestellt, dass 90 % der Datenschutzverletzungen durch menschliches Versagen verursacht werden: Die Rolle des menschlichen Faktors bei Datenverlusten und Cyberangriffen wird durch die Untersuchungen von Parliament Street deutlich. Der menschliche Faktor bei der Sicherheit bietet den Behörden jedoch auch die Möglichkeit, das Risiko zu verringern.
Die Fähigkeit, die Benutzer über Cybersicherheitsprobleme und Datenrisiken aufzuklären, ist ein wichtiger Bestandteil einer umfassenden Sicherheitsstrategie und -politik. Security Awareness Training bietet ein formales Programm, um diese Ausbildung zu liefern; die fünf Grundlagen für effektives Security Awareness Training sind:
Verhindern von Datenschutzverletzungen
Datenschutzverletzungen stehen in der Regel mit einer Phishing-Kampagne in Verbindung. Ein Mitarbeiter oder eine andere verbundene Einheit wie ein Auftragnehmer oder Lieferant wird Opfer einer Phishing-Nachricht und das Ergebnis kann eine Infektion mit Ransomware (oder anderer Malware) oder der Diebstahl von Zugangsdaten sein.
In Sicherheitsschulungen werden Mitarbeiter und andere Personen darin geschult, Phishing-Nachrichten und andere Social-Engineering-Betrügereien zu erkennen. Phishing-Simulationen können bei dieser Schulung helfen und Messwerte erfassen, die zeigen, wie effektiv die Schulung ist. In einer IT-Abteilung mit knappem Budget können Sicherheitsschulungsprogramme sehr kosteneffektiv sein.
Verhindern einer versehentlichen Datenexposition
Die versehentliche Offenlegung von Daten umfasst ein breites Spektrum von Ereignissen, von der falschen Zustellung von E-Mails bis hin zum einfachen Zurücklassen sensibler Dokumente auf einem Drucker. In der Sicherheitsschulung wird das Personal über die hygienischen und technologischen Aspekte des Online-Schutzes aufgeklärt. Mitarbeiter und andere Personen werden in bewährten Praktiken geschult, z. B. in der Einhaltung einer "Clean Desk"-Richtlinie und in der Sicherstellung, dass sie keine Passwörter weitergeben.
Kontinuierliche Sicherheit
Cyberkriminelle suchen immer nach Möglichkeiten, herkömmliche Sicherheitsmaßnahmen zu umgehen. Dazu gehört auch, dass sie die Taktik ändern, um Mitarbeiter dazu zu bringen, in ihrem Namen bösartige Aktivitäten durchzuführen. Security Awareness Training ist keine einmalige Veranstaltung, sondern funktioniert nach dem Prinzip der kontinuierlichen Weiterbildung, um sicherzustellen, dass eine Behörde (und ihre Mitarbeiter) über die Veränderungen in der Landschaft der Cybersicherheitsbedrohungen auf dem Laufenden bleibt.
Sicherheit für alle
Jeder Mitarbeiter, Berater und Zulieferer ist ein potenzielles Ziel für Cyberkriminelle, das sie ausnutzen können. Jeder Mitarbeiter und Lieferant ist auch ein menschlicher Faktor bei der versehentlichen Offenlegung von Daten. Daher sind Schulungsprogramme für das Sicherheitsbewusstsein am effektivsten, wenn sie in der gesamten Organisation eingesetzt werden und auch Zulieferer einbeziehen. Bei Behörden, die auf ausgelagerte Dienste und Mitarbeiter zurückgreifen, ist dieser Aspekt der Sicherheitsschulung wichtig, um sicherzustellen, dass das Sicherheitsdenken universell ist.
Die menschliche Firewall und die Ergänzung der technischen Maßnahmen
Das Konzept der " Human Firewall" ist eine Idee, die auf der Ausbildung im Rahmen eines Schulungsprogramms für Sicherheitsbewusstsein aufbaut. Wenn es gut gemacht ist, kann die Sicherheitsschulung jeden in einer Organisation befähigen und gleichzeitig sicherstellen, dass die Gruppe als Ganzes von dieser Schulung profitiert.
Einhaltung gesetzlicher Vorschriften, Datenschutzstandards und Behörden
Ein weiteres Ergebnis eines wirksamen Programms zur Förderung des Sicherheitsbewusstseins ist die Erfüllung der gesetzlichen Anforderungen an die Informationssicherheit. Die Regierung sollte dem Rest der Branche mit gutem Beispiel vorangehen, indem sie sicherstellt, dass sie die verschiedenen Datenschutzvorschriften im Vereinigten Königreich sowie die Vorschriften, die sich über die Grenzen des Vereinigten Königreichs hinaus auswirken können, einhält. Viele Datenschutznormen und -vorschriften, darunter ISO27001 und DPA2018/UK GDPR, schreiben nun vor oder ermutigen eine Organisation nachdrücklich, ihre Mitarbeiter im Hinblick auf die Sicherheit zu schulen.
Herkömmliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung und Verschlüsselung können zwar dazu beitragen, Datenschutzverletzungen zu verhindern, aber nichts ist so wichtig wie die Sensibilisierung der Mitarbeiter für die Risiken, die einem Unternehmen durch Phishing und andere Social-Engineering-Angriffe drohen.
Behörden sind genauso wie alle anderen Branchen von Datenverlusten und Cyberangriffen bedroht. Durch die Durchführung von Sicherheitsschulungen für die Mitarbeiter kann eine Behörde ihr Risiko verringern und ein Beispiel und einen Präzedenzfall für andere Branchen schaffen, dem sie folgen können.
