Studie efter studie visar att människan i maskinen ökar risken för cybersäkerhet. Forskning från Stanford University och Tessian bekräftar detta och visar att 88 % av dataintrång orsakas av misstag från anställda. Men även utan statistiska bevis har organisationer anekdotiska bevis för att den mänskliga faktorn ligger bakom många dataintrång och andra säkerhetsincidenter. För att minska risken för dataintrång måste man minska risken för anställda och icke-anställda.
Här är en guide till de risker som människor innebär för en organisation och några idéer om hur man kan minska de mänskliga riskerna.
Att fela är mänskligt
Det är viktigt att definiera vad "mänskligt fel" innebär när man ska ta reda på hur man kan minimera risken för ett mänskligt säkerhetsfel.
Mänskliga fel kan i stort sett delas in i två områden:
Övervakning
Misstag och fel inträffar, och när de inträffar ökar hotet mot en organisation. Ett typiskt exempel på tillsyn är att en anställd råkar skicka ett e-postmeddelande med känslig information till fel person, dvs. felaktig leverans av ett e-postmeddelande.
Ett annat exempel på ett förbiseende är felkonfigurering av en molnkomponent, t.ex. en databas. Ett annat exempel är att tro att det är okej att dela ett lösenord med en kollega. Övervakningar omfattar det allmänna området för anställdas felaktiga hantering av känsliga uppgifter som kan leda till bristande efterlevnad, böter och förlust av kundernas förtroende.
Bedrägeri
Social engineering-bedrägerier ökar den mänskliga risken i en organisation. Sociala bedrägerier, t.ex. phishing-e-post som innehåller skadliga bilagor eller länkar, kan öka risken för människor i en organisation.
Ett annat exempel på en anställd som luras av en skadlig aktör är Business Email Compromise (BEC), en bluff där en cyberkriminell person lurar anställda att betala falska fakturor. Oavsett om en anställd blir lurad eller om han eller hon oavsiktligt begår ett misstag kan resultatet bli katastrofalt. FBI:s enhet för internetbrottslighet, IC3, rapport om BEC-brottslighet, fann till exempel att förlusterna till följd av BEC år 2020 uppgick till 1,8 miljarder dollar.
5 mänskliga knep som kan bidra till att minimera mänskliga risker
Människorelaterade riskfaktorer kan minskas genom att tillämpa fem mänskliga hack som minskar risken för cybersäkerhet:
1) Bryt klickcykeln
Användargränssnittet (UI) och användarupplevelsen (UX) är utformade för att göra det så enkelt som möjligt att använda en dator. Den gyllene kalken är "ett-klicks-upplevelsen", och när det är möjligt arbetar UI-designers flitigt för att uppnå detta mål.
Tyvärr innebär detta att anställda och andra användare inte tänker efter innan de klickar, eftersom deras UI/UX-konditionering börjar fungera. MetaCompliance undersökte nyligen frågan om automatiserade klickresponser i ett annat inlägg "Phishing Attacks: Why Don't We Think Before We Click?", där vi rekommenderar användningen av kontrollerade phishing-tester för att ändra de anställdas klickbeteende.
2) Skapa en säkerhetskultur
Cyberrisker är allas angelägenhet. När du bygger upp en cybersäkerhetskultur bör du fokusera skarpt på områden som ökar risken i ett företag eller en process, samtidigt som du är medveten om att det kan finnas olika eller varierande risknivåer beroende på avdelning eller till och med anställd. Övningar för att bygga upp en cybersäkerhetskultur måste återspegla de granulära behoven i ett företag, och genom att skapa en kultur av medvetenhet om cybersäkerhet kan du bidra till att minska riskerna genom kunskap.
3) Stöd för bättre beslut
Många mänskliga fel som leder till ökad cyberrisk är helt enkelt dåligt omdöme. Mänskliga fel omfattar ett brett spektrum av frågor som leder till dataexponering och andra säkerhetsincidenter. Ibland handlar det helt enkelt om att man inte har den information som krävs för att fatta ett bra beslut. Och ibland handlar det om att införa strukturer så att fel beslut inte kan fattas. Säkerhetshygien är ett exempel på detta.
Undersökningar från Yubico visar att 69 % av de anställda delar lösenord för att göra det lättare att komma åt konton. För att minska risken för den mänskliga faktorn på jobbet bör du lära personalen hur viktigt det är att inte dela lösenord och stödja detta genom att tvinga fram användning av andrafaktorsautentisering (2FA) i alla appar som stöder 2FA.
4) Cyberhygien för att minska risken för mänskliga fel.
Att lära de anställda om cyberhygien ger mer tyngd åt de frågor om säkerhetshygien som nämns ovan. Cyberhygien omfattar en rad olika områden och inkluderar en policy för rena skrivbord som kan verkställas. Med bästa praxis för cyberhygien minimeras säkerhetsriskerna på nätet och IT-systemen hålls friska. Den bidrar också till att uppfylla säkerhetsstandarder som ISO 27001.
Cyberhygien är inte bara en fråga för de anställda, utan även en allmän uppmärksamhet på IT-systemets hälsovård, vilket innebär att man använder lämpliga verktyg för att övervaka potentiella hot, se till att digitala certifikat uppdateras, att patchar snabbt sprids osv. God cyberhygien innebär att man ser till att mänskliga fel i konfigurationen av systemen eller i affärsprocesserna upptäcks innan de utnyttjas.
5) Gör människorna till en del av din skiktade strategi för säkerhet
Anställda är ofta källan till en ökad cyberrisk, men det är också där en organisation kan minska risken för den mänskliga faktorn. Genom att se till att anställda och icke-anställda är en del av en skiktad strategi för cybersäkerhet kan ditt företag säkerställa en holistisk riskminskning av "människor, processer och teknik".
Genom att engagera all personal i utbildningen, från vd:n till den senast utnämnda, täcker du alla luckor där data kan läcka ut eller där säkerhetsmissöden kan inträffa.
Minskning av riskerna med människofödda barn
Anställda är bara människor, och människor gör misstag eller kan manipuleras socialt av cyberkriminella. Kunniga och engagerade anställda kan hjälpa till att övervinna den mänskliga risken i en organisation. En tydlig säkerhetsstrategi som omfattar människor, processer och teknik kommer att minska risken för den mänskliga faktorn i alla organisationer. I denna strategi bör säkerhetsutbildningsprogram användas för att bygga upp en säkerhetskultur som gör det möjligt för personalen att vara den första försvarslinjen mot misstag och manipulation.
