"Human in the machine" (människan i maskinen) är en grundläggande faktor när man skapar en effektiv strategi för att minimera "cyber security risk". Det finns dock många aspekter av detta påstående, eftersom våra anställda är en viktig del av vår organisations framgång. I stället för att fördela skulden måste vi skilja det skadliga från det oavsiktliga, upptäcka det förstnämnda och förhindra det sistnämnda.
Genom fokuserad utbildning i säkerhetsmedvetenhet kan mänskliga faktorer som leder till mänskliga misslyckanden minskas. Här är hur och varför cybersäkerhetsrisker kan hanteras genom säkerhetsmedvetenhet.
Varför mänskliga faktorer leder till cybersäkerhetsrisker
Den mänskliga faktorn i cybersäkerhetsrisker brukar kallas "insiderhot". Insidern är både anställda och icke-anställda, t.ex. konsulter. Det enkla faktum att insiders är en integrerad del av en organisations processer och använder IT-resurser med tillstånd gör det svårt att ta itu med de mänskliga brister som leder till cybersäkerhetsrisker.
Insiderrelaterade cybersäkerhetsrisker är ett stort problem: en rapport om insiderhot från 2020 från Cyber Security Insiders visar att 68% av organisationerna känner sig "måttligt till extremt sårbara" för insiderhot. Detta är inte förvånande när man tittar på några av de senaste årens stora rubriker om cyberattacker, till exempel Twitter-hacket 2020, där högprofilerade Twitter-konton, inklusive Barack Obamas, fick tillgång till och användes för att lura Twitter-användare att utföra olagliga bitcoin-transaktioner. Förlusterna uppskattas till cirka 180 miljoner dollar (129 miljoner pund) och 4 % av Twitters aktiekurs raderades ut. Hacket involverade spear-phishing av Twitter-anställda och stöld av privilegierade inloggningsuppgifter.
Mänskliga faktorer används av cyberkriminella för att ge obehörig åtkomst, stjäla autentiseringsuppgifter och infektera IT-system och slutpunkter med skadlig kod, t.ex. utpressningstrojaner. Utan den mänskliga faktorn i maskinen skulle cyberbrottslighet vara mycket svårare.
Cyber security risk: Mänskliga faktorer som leder till mänskliga misslyckanden
Enligt forskning från IBM är de tre viktigaste områdena att fokusera på när man skapar säkerhetsstrategier för att minska cybersäkerhetsrisker:
- Phishing
- Skanna och utnyttja
- Obehörig användning av autentiseringsuppgifter
Alla tre vektorerna har ett inslag som involverar en mänsklig faktor vid någon punkt i angreppskedjan.
Nätfiske och spear-phishing - mänskliga faktorer: Detta kräver att en människa klickar på en länk eller öppnar en infekterad bilaga för att infektionskedjan ska börja. Ofta används nätfiske för att rikta in sig på privilegierade användare (spear phishing ) för att stjäla deras inloggningsuppgifter. Privilegierade användare har tillgång till viktigare resurser - stöld av privilegierade inloggningsuppgifter är hackingens guldkalv. Här spelar den mänskliga faktorn in, t.ex. det automatiska klicksvaret.
Skanna och utnyttja - mänskligt misslyckande: hackare använder allt som gör livet enkelt, och att automatiskt kunna skanna efter sårbarheter är en användbar väg till infektion av skadlig kod. Komponenter i IT-system, t.ex. webbservrar, databaser och molnprogram, kan hamna i felkonfigurerade situationer om man inte förstår konsekvenserna av dålig säkerhet. Osäkra appar och webbkomponenter resulterar i säkerhetshål som hackare kan utnyttja. I det här fallet leder mänskligt misslyckande till cybersäkerhetsrisker.
Obehörig användning av autentiseringsuppgifter - mänskligt misslyckande och mänskliga faktorer: stöld av autentiseringsuppgifter leder till obehörig åtkomst till IT-system och IT-resurser. Till exempel kan referenser användas obehörigt på följande sätt:
- Shoulder surfing: Uppgifter stjäls när en illasinnad person tittar på när någon skriver in ett lösenord.
- Phishing: Att lura en person att ange inloggningsuppgifter på en falsk inloggningssida.
- Social ingenjörskonst: att lura en person att lämna över en inloggningsuppgift via telefon, sociala medier eller andra kommunikationsmetoder, t.ex. e-post, helpdesks och sms.
I alla de tre mest framgångsrika hackningsvektorerna är både den mänskliga faktorn och mänskligt misslyckande viktiga. Risken för cybersäkerhet är koncentrerad till våra anställda och icke-anställda, men hur kan vi minska denna risk?
Bästa praxis för att förhindra att mänskliga faktorer blir mänskliga fel?
I en undersökning av Kaspersky, som fokuserade på den roll som mänskliga faktorer spelar för cybersäkerhetsrisker, konstaterades att "slarvig eller okunnig personal" är den näst mest sannolika orsaken till allvarliga säkerhetsöverträdelser; infektion av skadlig kod är den första, men den orsakas ofta av slarvig eller okunnig personal. Med höga risknivåer förknippade med mänskliga faktorer är det viktigt att minska misslyckanden för att minska säkerhetsrisken.
Det finns två områden som sticker ut och som omfattar både vårdslös och okunnig personal:
Oförsiktiga beslut som leder till säkerhetsbrister: Att göra dåliga säkerhetsval, t.ex. att felkonfigurera IT-system och komponenter eller klicka på en phishing-länk utan att tänka sig för, är mänskliga fel som leder till ökad cybersäkerhetsrisk. Felkonfigurering av IT-system och komponenter är ett exempel på ett slarvigt säkerhetsbeslut. Att klicka på en phishing-länk är ett annat. Både IT-personal och icke-IT-personal kan fatta slarviga beslut som leder till säkerhetsbrister. Att se till att all personal, både teknisk och icke-teknisk, är medveten om konsekvenserna av sina val är ett grundläggande sätt att minska cybersäkerhetsriskerna.
Oinformerad personal som leder till säkerhetsbrister: Om personalen inte är medveten om sina handlingar, hur kan de då veta vilka konsekvenserna blir för säkerheten? Företag utbildar rutinmässigt personal inom andra områden av verksamheten, och detta bör utvidgas till att omfatta utbildning i säkerhetsmedvetenhet. Personalens utbildning i säkerhet omfattar förståelse för hur nätfiske fungerar, liksom andra vanliga säkerhetsbrister, t.ex. delning av lösenord och felaktig leverans av e-post. Enligt Verizon Data Breach Investigation Report (DBIR) fortsätter felaktig leverans att öka som en form av mänskligt fel.
Att minska den mänskliga faktorn i cybersäkerhetsrisker
I Kaspersky-undersökningen identifierades en viktig del av mänskligt misslyckande inom säkerhet - viljan att dölja misstag. Undersökningen visade att i 40 procent av företagen döljer de anställda säkerhetsincidenter. Denna siffra borde få larmklockorna att ringa och få folk att intensifiera sin säkerhetsutbildning. Även om den anställde förstod konsekvenserna av en säkerhetshändelse kände han eller hon sig ändå tvungen att dölja informationen. Detta leder till frågan varför, och svaret är i två delar:
Gör säkerhet till en kultur: Det kan låta klyschigt, men om säkerhetsbegreppet är förankrat i företagskulturen är det mindre troligt att personalen blir överväldigad och rädd när något händer. En säkerhetskultur skapas med hjälp av utbildning i säkerhetsmedvetenhet för att hjälpa till att skapa positiva säkerhetsvanor hos de anställda.
Gör det enkelt att rapportera en säkerhetsincident: Incidenter måste rapporteras så att de kan åtgärdas av rätt kvalificerad personal som återspeglar risknivån. Ett rapporteringssystem som är utformat för att göra det superenkelt för de anställda att rapportera tar bort smärtan från incidentrapportering och gör det mer sannolikt att den sker.
Mänskliga faktorer leder till mänskliga misslyckanden. Genom utbildning i cybersäkerhet kan organisationer ta itu med de mänskliga beteenden som orsakar slarvfel och dåliga beslut och därmed minska cybersäkerhetsriskerna.
