Utbildning i säkerhetsmedvetenhet är en metod för att förebygga cyberhot som företag som tillhandahåller finansiella tjänster kan dra nytta av. Här är en utredning av de viktigaste skälen till att använda denna form av utbildning om du är en organisation för finansiella tjänster.
De finansiella tjänsterna som sektor har genomgått en massiv digital omvandling under de senaste åren. Sektorn tar till sig ny teknik för att garantera bättre kundupplevelser och optimera verksamheten.
Den digitala omvandlingen har dock inneburit att sektorn också har blivit ett mål för cyberbrottslingar: en undersökning om cybersäkerhet 2020 bland CISO:s och CIO:s inom sektorn för finansiella tjänster visade att 65 % av de stora finansiella organisationerna hade utsatts för en cyberattack under de senaste 12 månaderna. I en annan rapport, den här gången från Boston Consulting, konstaterades att finanssektorn drabbades av upp till 300 gånger så många cyberattacker som andra sektorer.
Utbildning i säkerhetsmedvetenhet för finansiella tjänster
Hackaren bor inte längre i sina föräldrars källare med en luvtröja på. Istället är det sofistikerade, ekonomiskt motiverade och ibland statsstödda hackergäng som gör cyberbrottsligheten tillgänglig för alla.
Affärsmodeller som tillhandahåller hackningsverktyg som en tjänst är lätt och billigt tillgängliga på den mörka webben. Dessa verktyg, tillsammans med cyberkriminellas allt bättre kunskaper i social ingenjörskonst, har lett till en tsunami av cyberattacker. Om man till detta lägger till distans- eller hemarbete kan man konstatera att cyberhotets planeter står i linje med varandra.
Covid-19 har varit en ögonöppnare för organisationer runt om i världen eftersom bedrägerier som utnyttjade rädslan för pandemin spreds. Bedrägerier som inriktade sig på anställda använde phishing-trick baserade på Covid-19-teman för att stjäla inloggningsuppgifter eller personuppgifter eller för att få en anställd att installera skadlig programvara (inklusive utpressningstrojaner). I takt med att arbetslandskapet förändras förblir nätfisketaktik och social ingenjörskonst ett viktigt val för cyberkriminella som vill skada.
Resultaten av social ingenjörskonst och nätfiske är kostsamma. I en rapport från Sophos från 2021 konstaterades att medelstora företag inom finansiella tjänster spenderar cirka 2 miljoner dollar för att återhämta sig från en attack med utpressningstrojaner, vilket är mer än det globala genomsnittet på 1,85 miljoner dollar. Rapporten lyfter också fram att 34 % av finansiella tjänsteföretag drabbades av en ransomware-attack 2020.
Utbildning i säkerhetsmedvetenhet är ett effektivt svar på den sociala ingenjörskonst som används av hackare.
Fördelar med utbildning i säkerhetsmedvetenhet för finansiella tjänster
För att förhindra att cyberbrottslingar utnyttjar anställda med hjälp av social ingenjörskonst och nätfiske kan företag vända sig till utbildning i säkerhetsmedvetenhet. Inom finansiella tjänster finns det fem viktiga fördelar med att delta i ett medvetandeprogram:
Ändra säkerhetsbeteende från negativt till positivt
Bedragare, cyberkriminella, bedragare, oavsett vilket namn som används för att beskriva denna skändliga verksamhet, fokuserar alla på mänskligt beteende. Säkerhetsmedvetenhet används för att ändra dåligt säkerhetsbeteende och skapa en positiv inställning till företagets säkerhet.
Genom att bygga upp ett positivt säkerhetsbeteende utbildas personalen om farorna med social ingenjörskonst. Medvetenhetsutbildning utforskar också de misstag som kan leda till dataexponering: detta är viktigt när man betänker att resultaten från EC-Council visar att 64 % av dataförlusterna tillskrivs insiders som "menade väl".
Utbildning i säkerhetsmedvetenhet lär anställda i hela organisationen om vikten av säkerhet. Ett effektivt utbildningspaket kommer att utbilda personalen med hjälp av interaktivt och engagerande innehåll om säkerhetsknep och bedrägerier samt tillhandahålla simuleringar av nätfiske som lär de anställda hur man upptäcker nätfiskemeddelanden. Kontinuerlig, effektiv utbildning i säkerhetsmedvetenhet skapar en positiv återkoppling och uppmuntrar personalen att hantera säkerhetsattacker.
Stoppar BEC-bedragare i deras spår
Ransomware må vara en stor nyhet, men Business Email Compromise (BEC) drabbar fler företag. FBI:s Internet Crime Complaint Center (IC3) från 2020 visar att BEC drabbar fyra gånger så många företag som ransomware. Finansföretag löper lika stor risk för BEC-bedrägerier som alla andra organisationer.
I ett avslöjande från BankInfoSecurity från 2020 beskrivs flera BEC-bedrägerikonton, inklusive ett som involverar en amerikansk bank. I denna bank fick en anställd ett e-postmeddelande från bedragare som utgav sig för att vara bankens VD. I mejlet ombads den anställde att skyndsamt skicka en tidigare planerad överföring av 1 miljon dollar. Meddelandet innehöll en ändring av kontouppgifter där det angavs att detta var "på grund av utbrottet av coronavirus och karantänsprocesser och försiktighetsåtgärder".
BEC-bedrägerier innebär ofta komplicerad övervakning av anställda. Bedragarna går till och med så långt som att bygga upp relationer med helpdeskoperatörer och andra på relevanta avdelningar för att få information om företagets processer. Utbildning i säkerhetsmedvetenhet lär de anställda om tecken på BEC-bedrägerier och vilka typer av sociala knep som används av bedragarna.
Hjälper till att säkerställa efterlevnad av lagstiftningen
Anställda är en viktig del i arbetet med att upprätthålla dataskydd och sekretess. Deras handlingar kan lätt leda till att en organisation för finansiella tjänster hamnar i ett område där de inte uppfyller kraven. Något så enkelt som en felaktig e-postadress kan leda till böter. En nyligen genomförd undersökning visade att 58 % av de anställda erkände att de skickat ett e-postmeddelande till fel person.
Utbildning i säkerhetsmedvetenhet hjälper till att förhindra att anställda gör misstag. Att ha ett effektivt program på plats som erbjuder mätvärden och automatiserad utbildning visar också på företagets engagemang för säkerhet. Att ha utbildning i säkerhetsmedvetenhet är antingen obligatoriskt eller rekommenderas starkt av en rad olika standarder och förordningar, inklusive ISO27001 och PCI-DSS, som innehåller följande under krav 12:
"Implementera ett formellt program för säkerhetsmedvetenhet för att göra all personal medveten om policyn och förfarandena för säkerhet av kortinnehavaruppgifter."
Bygg en mänsklig brandvägg
Säkerhetsåtgärder som robust åtkomstkontroll, brandväggar, slutpunktsskydd och kryptering är viktiga, men social ingenjörskonst är utformad för att klara av traditionella säkerhetslösningar. Kunniga och säkerhetsmedvetna anställda är en viktig del av ett finansföretags cybersäkerhetsåtgärder.
Genom att använda utbildning i säkerhetsmedvetenhet kan ett företag bygga en "mänsklig brandvägg". Varje medlem av ett team inom organisationen agerar sedan för att stödja andra medlemmar av teamet. Genom regelbunden säkerhetsutbildning blir den mänskliga brandväggen starkare och effektivare när det gäller att upptäcka sociala ingenjörskonster.
Stärk de anställdas moral
En rapport från Carbonite visar hur en cyberattack påverkar enskilda personer. 24 % av de anställda upplever att moralen sjunker efter en attack. Förtroende bygger upp personalens moral. Utbildning i säkerhetsmedvetenhet är en personcentrerad strategi för att säkra en organisations tillgångar. Genom att ge de anställda verktygen för att hjälpa till att bekämpa cyberbrottslighet ger en organisation sin personal möjlighet att förebygga en cyberattack. Utbildning i säkerhetsmedvetenhet bidrar inte bara till att hålla organisationen säker utan också till personalens moral.
Finansiella organisationer världen över är ett utmärkt mål för cyberkriminella och bedragare. Att ha en utbildad personal är en del av en bredare 360-graders syn på hur man kan skydda ett företag från dessa ondskefulla och ondskefulla angrepp.
