Tutkimus toisensa jälkeen osoittaa, että ihminen koneessa lisää kyberturvallisuusriskiä. Stanfordin yliopiston ja Tessianin tutkimukset vahvistavat tämän ja osoittavat, että 88 prosenttia tietomurroista johtuu työntekijöiden virheistä. Mutta vaikka tilastollista näyttöä ei olisikaan, organisaatioilla on anekdoottisia todisteita siitä, että inhimillinen tekijä on monien tietomurtojen ja muiden tietoturvaloukkausten taustalla. Tietomurtojen riskin vähentämiseksi on vähennettävä työntekijöiden ja muiden kuin työntekijöiden riskiä.
Tässä on opas siitä, millaisia riskejä ihmiset tuovat organisaatioon ja miten inhimillisiä riskejä voidaan vähentää.
Erehtyminen on inhimillistä
Inhimillisen erehdyksen" määrittely on tärkeää, kun selvitetään, miten inhimillisen turvallisuusvirheen riski voidaan minimoida.
Inhimilliset virheet voidaan jakaa karkeasti kahteen osa-alueeseen:
Valvonta
Virheitä ja virheitä sattuu, ja kun niitä sattuu, uhka organisaatiolle kasvaa. Tyypillinen esimerkki huolimattomuudesta on, että työntekijä lähettää vahingossa arkaluonteisia tietoja sisältävän sähköpostiviestin väärälle henkilölle, eli sähköpostiviesti toimitetaan väärin.
Toinen esimerkki huolimattomuudesta on pilvipalvelun komponentin, kuten tietokannan, virheellinen konfigurointi. Toinen esimerkki on se, että luulee, että salasanan jakaminen kollegan kanssa on ok. Ylilyönnit kattavat yleisen alueen, jolla työntekijät käsittelevät arkaluonteisia tietoja väärin, mikä voi johtaa vaatimustenvastaisuuteen, sakkoihin ja asiakkaiden luottamuksen menettämiseen.
Petos
Sosiaalisen manipuloinnin huijaukset lisäävät inhimillisiä riskejä organisaatiossa. Sosiaalisen manipuloinnin huijaukset, kuten phishing-sähköpostit, jotka sisältävät haitallisia liitetiedostoja tai linkkejä, voivat lisätä inhimillistä riskiä organisaatiossa.
Toinen esimerkki työntekijän huijaamisesta pahansuovan toimijan toimesta on Business Email Compromise (BEC), huijaus, jossa verkkorikollinen huijaa työntekijöitä maksamaan vilpillisiä laskuja. Riippumatta siitä, huijataanko työntekijää vai aiheuttaako hän tahattomasti virheen, tulos voi olla katastrofaalinen. Esimerkiksi FBI:n Internet-rikosyksikön IC3:n BEC-rikoksia koskevassa raportissa todettiin, että BEC-rikosten aiheuttamat tappiot vuonna 2020 olivat 1,8 miljardia dollaria.
5 inhimillistä hakkeria, jotka voivat auttaa minimoimaan inhimillisen riskin
Inhimillisiä riskitekijöitä voidaan lieventää soveltamalla viittä inhimillistä hakkerointia, jotka vähentävät kyberturvallisuusriskiä:
1) Katkaise klikkauksen sykli
Käyttöliittymä (UI) ja käyttäjäkokemus (UX) on suunniteltu tekemään tietokoneen käytöstä mahdollisimman helppoa. Kultainen malja on yhden napsautuksen kokemus, ja käyttöliittymäsuunnittelijat työskentelevät ahkerasti tämän tavoitteen saavuttamiseksi aina, kun se on mahdollista.
Valitettavasti tämä tarkoittaa sitä, että työntekijät ja muut käyttäjät eivät ajattele ennen klikkaamista, koska heidän UI/UX-ehdollistumisensa alkaa vaikuttaa. MetaCompliance tutki hiljattain automaattisen klikkausvastauksen ongelmaa toisessa postauksessa "Phishing Attacks: Miksi emme ajattele ennen kuin klikkaamme?", jossa suosittelemme valvottujen phishing-testejä työntekijöiden klikkauskäyttäytymisen muuttamiseksi.
2) Rakenna turvallisuuskulttuuri
Kyberriskit ovat kaikkien asia. Kyberturvallisuuskulttuuria rakentaessa on keskityttävä tarkasti niihin alueisiin, jotka lisäävät riskiä liiketoiminnassa tai prosessissa, ja samalla on tiedostettava, että riskitasot voivat vaihdella osastosta tai jopa työntekijästä riippuen. Kyberturvallisuuskulttuurin rakentamisessa on otettava huomioon yrityksen yksityiskohtaiset tarpeet, ja luomalla tietoisuutta kyberturvallisuudesta korostavan kulttuurin voit auttaa vähentämään riskejä tiedon avulla.
3) Parempien päätösten tukeminen
Monet inhimilliset virheet, jotka johtavat tietoverkkoriskin lisääntymiseen, ovat yksinkertaisesti huonoa harkintaa. Inhimilliset virheet kattavat monenlaisia asioita, jotka johtavat tietojen paljastumiseen ja muihin tietoturvaloukkauksiin. Joskus kyse on yksinkertaisesti siitä, että käytettävissä ei ole riittävästi tietoa hyvän päätöksen tekemiseksi. Joskus taas on kyse rakenteiden luomisesta, jotta väärää päätöstä ei voida tehdä. Turvallisuushygienia on tästä hyvä esimerkki.
Yubicon tutkimuksen mukaan 69 prosenttia työntekijöistä jakaa salasanoja, jotta tilien käyttö olisi helpompaa. Jos haluat vähentää inhimillisen tekijän riskiä työpaikalla, opeta henkilöstölle, miten tärkeää on olla jakamatta salasanoja, ja tue tätä vaatimalla toisen tekijän todennuksen (2FA) käyttöä kaikissa sovelluksissa, jotka tukevat 2FA:ta.
4) Kyberhygienia inhimillisten virheiden riskin vähentämiseksi
Työntekijöiden opettaminen tietoverkkohygieniasta lisää painoarvoa edellä mainittuihin turvallisuushygieniaan liittyviin kysymyksiin. Kyberhygienia kattaa useita eri aloja, ja siihen kuuluu myös puhtaita työpöytiä koskeva politiikka, joka on täytäntöönpanokelpoinen. Parhaiden käytänteiden mukainen kyberhygienia minimoi verkkoturvariskit ja pitää IT-järjestelmät kunnossa. Se auttaa myös ISO27001:n kaltaisten turvallisuusstandardien noudattamisessa.
Tietoverkkohygienian harjoittaminen ulottuu työntekijöistä IT-järjestelmien terveydenhoitoon kiinnitettyyn yleiseen huomioon; tähän kuuluu asianmukaisten välineiden käyttö mahdollisten uhkien seuraamiseksi, digitaalisten varmenteiden päivittäminen, korjausten nopea käyttöönotto ja niin edelleen. Hyvään kyberhygieniakäytäntöön kuuluu sen varmistaminen, että järjestelmien konfiguroinnissa tai liiketoimintaprosesseissa tapahtuvat inhimilliset virheet havaitaan ennen kuin niitä voidaan käyttää hyväksi.
5) Ota ihmiset osaksi monitasoista lähestymistapaa turvallisuuteen.
Työntekijät ovat usein tietoverkkoriskien lisääntymisen lähde, mutta he ovat myös se, missä organisaatio voi vähentää inhimillisen tekijän aiheuttamaa riskiä. Varmistamalla, että työntekijät ja muut kuin työntekijät ovat osa monikerroksista lähestymistapaa kyberturvallisuuteen, yritys voi varmistaa kokonaisvaltaisen riskinpoiston "ihmisten, prosessien ja teknologian" osalta.
Kouluttamalla koko henkilöstöä toimitusjohtajasta viimeisimpään virkaan nimitettyyn työntekijään katat kaikki aukot, joista tietoja voi vuotaa tai joissa voi sattua tietoturvaonnettomuuksia.
Ihmisestä syntyneiden riskien vähentäminen
Työntekijät ovat vain ihmisiä, ja ihmiset tekevät virheitä tai voivat olla verkkorikollisten sosiaalisesti manipuloimia. Osaavat ja sitoutuneet työntekijät voivat auttaa voittamaan inhimillisen riskin organisaatiossa. Selkeä turvallisuusstrategia, joka kattaa ihmiset, prosessit ja teknologian, vähentää inhimillisen tekijän riskiä organisaatiossa. Tässä strategiassa olisi käytettävä turvallisuuskoulutusohjelmia, joiden avulla voidaan rakentaa turvallisuuskulttuuri, jonka avulla työntekijät voivat olla ensimmäinen puolustuslinja virheitä ja manipulointia vastaan.
