Cybersäkerhet på arbetsplatsen har blivit allt viktigare i takt med att fler företag går över till digitala resurser och molnet. Ransomware står högst upp på listan över hot som kan lamslå en organisation, och dessa attacker börjar ofta med ett skadligt phishingmejl som riktar sig till specifika medarbetare. Det krävs bara en anställd för att falla offer för en sofistikerad attack, och din organisation kan lamslås av blockerad filåtkomst, stulna data och avancerade ihållande hot som döljs i nätverket.
Colonial Pipeline, som transporterar gas och flygbränsle från Texas till östkusten, har drabbats av en ransomware-attack. Attacken stoppade produktionen och tvingade energiinfrastrukturen att stängas ned. Den här typen av attacker har bara ökat i omfattning, och de börjar med att riktas mot en intern medarbetare som inte inser att ett meddelande är skadligt. Det är ofta ett misslyckande när det gäller utbildning och medvetenhet om cybersäkerhet på arbetsplatsen.
CryptoLocker, en av de första och mest populära attackerna med utpressningstrojaner, började med ett phishing-e-postmeddelande. Det påverkade nästan 500 000 datorer och ledde till omfattande dataförluster över hela världen. Det skadliga programmet spreds genom att skicka stora mängder e-postmeddelanden som innehöll en bifogad ZIP-fil. När den väl öppnades skannade utpressningstjänsten datorerna och krypterade filerna så att de var låsta och inte kunde nås om inte en lösensumma betalades. Användarna bör veta att alla e-postmeddelanden med en bifogad ZIP-fil bör behandlas som misstänkta.
CISO: Värdet av en syndätare
Rollen som Chief Information Security Officer (CISO) påminner mycket om den mytiska och medeltida "syndätaren" i engelsk folklore. En syndätare skulle äta en måltid och absorbera de dödas synder. Syndaätaren skulle sedan bära runt på andra människors synder för att befria dem från skuld, skam och återverkningar i livet efter detta.
En CISO spelar en liknande roll där de interna anställdas synder påverkar CISO:s rykte, arbetsprestationer och framtidsutsikter. Om en anställd faller offer för interna cybersäkerhetsskandaler förstör de organisationens rykte och sänker produktionstjänsterna. För att skydda en viss anställd från de negativa effekterna och konsekvenserna tar CISO på sig det olycksdrabbade offrets synder och står till svars för deras misstag.
Även om det bara finns en CISO inom organisationen betyder det inte att ansvaret ligger enbart på en person. Organisationen som helhet tar på sig ansvaret. I fallet med Equifax dataintrång kunde serveradministratörer och den CISO som ansvarade för övervakning och patchning av programvara vara ensamma ansvariga för ett av de största dataintrången hittills, men Equifax-organisationen som helhet sågs som oansvarig och fick ta på sig skulden för konsekvenserna.
Förutom att vara ansvarig för intern cybersäkerhet har en CISO en ökande arbetsbörda när fler organisationer flyttar över till molnet och blir digitala under pandemiluckorna 2020. För att hålla sig produktiva tvingades organisationerna tillåta en arbetskraft som var hemma efter att COVID spred sig globalt. Denna förändring av arbetsmiljöer ledde till en plötslig satsning på molntjänster och digitala arbetsflöden. Resultatet blev att företagen nu var i molnet utan att ta någon större hänsyn till cybersäkerheten. Cybersäkerheten var en eftertanke och hotaktörer drog full nytta av denna förbiseende. Phishing och utpressningstrojaner blomstrade när fler anställda föll offer för sofistikerade kampanjer som riktade sig till enskilda personer.
De sju dödssynderna för cybersäkerhet på arbetsplatsen
Medvetenhet om cybersäkerhet är avgörande för att undvika risker. Om dina anställda inte känner till hur en phishingattack går till kan de inte förväntas undvika den. Mänskliga fel är en viktig faktor vid dataintrång, men här är sju dödssynder och sätt att undvika att bli nästa offer:
- Dåliga lösenord. Lösenordets komplexitet och längd minskar risken för en brute force-attack mot anställdas inloggningsuppgifter. Administratörer kan ställa in regler för lösenord som kräver en viss längd och komplexitet och som hindrar användare från att återanvändas.
- Risker med offentligt Wi-Fi. Användarna bör vara medvetna om de risker som är förknippade med offentligt Wi-Fi. Alla kritiska program bör användas via ett virtuellt privat nätverk (VPN), och användarna bör aldrig överföra data okrypterat.
- Antivirus installerat och uppdaterat. Organisationer som erbjuder en BYOD-policy (bring-your-own-device) bör utbilda användarna om vikten av att ha ett antivirus och hålla det uppdaterat. Administratörer kan tvinga fram uppdateringar på arbetsstationer, men de är beroende av att användarna håller sina egna enheter säkra med den senaste antivirusprogramvaran.
- Öppna e-postbilagor. Administratörer kan blockera misstänkta e-postmeddelanden, men falskt negativa svar ger hotbildare möjlighet att lura mottagarna att öppna skadliga bilagor. Användarna bör veta att de inte ska öppna bilagor, särskilt om de kommer från externa avsändare.
- Klicka på länkar i e-post. Skadliga länkar öppnar webbplatser som kontrolleras av angripare där användare kan luras att lämna ut sina nätverksuppgifter eller annan känslig information. Användarna bör veta att de inte ska ange autentiseringsuppgifter efter att ha klickat på länkar. I stället skriver de domänen i webbläsaren för att kontrollera att meddelandet är legitimt.
- Dela autentiseringsuppgifter med andra användare. Användare bör aldrig dela lösenord. Om de skulle dela lösenord kan en anställd som inte längre tillhör företaget fortfarande ha tillgång till kritiska system trots att hans eller hennes eget konto har stängts av.
- Ingen medvetenhet om cybersäkerhet. Utan utbildning har användarna inte resurser att identifiera en attack. Det är CISO:s ansvar att skapa en miljö där utbildning i cybersäkerhet främjar bättre riskundvikande och färre mänskliga fel.
Hjälp anställda att bekämpa cyberattacker och bli mer cybermedvetna
Om CISO:er inte tar sig tid att utbilda de anställda lämnar de en stor spricka i företagets cybersäkerhetspansar. Medvetenhet om cybersäkerhet är det första försvaret mot sofistikerade attacker som är inriktade på mänskliga fel, så det bör alltid vara obligatorisk utbildning för nyanställda och nuvarande personal.
Medvetenhet kan erbjudas på flera olika sätt: e-lärande, praktisk utbildning och policyer. Anställda är inte hackare, så informationen bör vara lätt att förstå. De bör förstå konsekvenserna av att falla offer för en attack, och de anställda bör vara beväpnade med information som gör att de kan ifrågasätta legitimiteten hos ett e-postmeddelande, telefonsamtal, en webbplats eller någon annan form av cyberattack. De behöver inte ha fullständiga tekniska kunskaper, men de anställda måste vara beväpnade med rätt information.
De största hoten mot en organisation är nätfiske och utpressningstrojaner, men utbildning minskar riskerna för dessa hot. Anställda som är utrustade med rätt kunskap kommer att identifiera attacken, undvika att bli offer, varna rätt personer och en CISO kommer att få ett mycket mer stressfritt jobb. Utan medvetenhet om cybersäkerhet fortsätter CISO att reagera reaktivt på attacker som kan förstöra CISO:s och organisationens rykte.
