Månaden för medvetenhet om cybersäkerhet i Europa och USA är en del av en bred satsning för att hjälpa människor att vara säkra på nätet. Initiativet lanserades 2004 i USA och 2012 i Europa. I år fokuserade evenemanget i USA på " See Yourself in Cyber". I Europa främjades medvetenheten om nätfiske och utpressningstrojaner.
Vi stöder naturligtvis alla insatser för att stödja medvetenheten om cybersäkerhet. Människor är den svagaste länken i en organisations säkerhetsarbete. Det är viktigt att lära dem enkla åtgärder som de kan vidta för att skydda sig själva på nätet. Det är fortfarande mycket lättare för en motståndare att lura någon att avslöja ett lösenord eller klicka på en e-postlänk än att tränga in i ett välskyddat nätverk. En god medvetenhet om cybersäkerhet kan skydda organisationer från ekonomiska förluster, sanktioner för bristande efterlevnad och skada på deras rykte.
Trots åratal av evenemang kring en årlig "medvetenhetsmånad" är det fortfarande den främsta angreppsvektorn vid dataintrång som utnyttjar bristande medvetenhet om cybersäkerhet.
I Verizons rapport om utredning av dataintrång 2022 konstaterades att 82 % av intrången under det föregående året var social ingenjörskonst och att antalet phishing-klickar fortsätter att öka. När angriparna väl har fått fotfäste kan de upprätta kommando- och kontrollkanaler, röra sig i sidled för att identifiera måldata, kryptera data för krav på utpressning eller stjäla känslig information.
Månad för medvetenhet om cybersäkerhet?
Så ja, vi stöder månaden för medvetenhet om cybersäkerhet. Den ger nödvändig uppmärksamhet åt ett problem som vi har arbetat med att lösa i flera år. Den kan få vissa organisationer att ta de första stegen för att förbättra säkerhetsmedvetenheten hos sina anställda eller stärka sina befintliga program. Vi motsätter oss bara att man behandlar medvetenhet om cybersäkerhet som en årlig händelse.
Lärande är inte en engångsföreteelse. Man lär sig inte att tala ett nytt språk eller spela ett musikinstrument genom att fokusera på uppgiften en gång om året. Samma sak gäller för att känna igen och undvika hot mot cybersäkerheten. Att lära sig något av detta kräver tid och upprepning.
När utbildningstillfällen är evenemang som hålls en eller flera gånger två gånger om året för att uppfylla kraven, behåller eleverna inte sina kunskaper. Den berömda Ebbinghaus glömskekurva visar att eleverna glömmer över 75 % av en lektion redan under den första veckan. I slutet av en månad behåller eleverna endast 21 % av lektionen.
Att skapa medvetenhet hos de anställda
Undervisning är en process, inte en händelse. Detta inkluderar undervisning om medvetenhet om cybersäkerhet. Studier visar att glömskekurvans nedåtgående lutning kan minskas med regelbunden förstärkning av lektionerna. Dessa förstärkningar behöver inte innehålla all information från lektionen. Målet är att få eleven att fortsätta att tänka på materialet och använda det i praktiken.
Att bygga upp en kultur för medvetenhet om cyberfrågor
Månaden för medvetenhet om cybersäkerhet kan verka som en gimmick. Ett effektivt program för medvetenhet om cybersäkerhet måste genomföras 12 månader om året med hjälp av en mängd olika verktyg och tekniker.
Lektioner i eLearning är en del av varje framgångsrikt program, men teamet bör förstärka lektionerna regelbundet med hjälp av påminnelser, simuleringar av nätfiske, mikrolektioner, skärmsläckare och affischer. Lektionerna bör vara inriktade på de olika hot som en organisation står inför.
Utbildningen för ekonomigrupper bör anpassas till de specifika hoten inom avdelningen. IT-organisationer måste vara uppmärksamma på stöld av privilegierade autentiseringsuppgifter. Alla behöver fortlöpande utbildning om phishing- och utpressningsattacker.
Ett program för medvetenhet om cybersäkerhet är en viktig del av en övergripande riskbedömning. De som ansvarar för medvetenhetsprogrammen måste kunna spåra framstegen genom rapportering och vidta korrigerande åtgärder där risker kvarstår i organisationen. Om enskilda personer eller grupper får dåliga resultat på utbildningen bör korrigerande utbildning automatiskt planeras in.
Det viktigaste är att organisationer som engagerar sig i medvetenhet om cybersäkerhet och säkerhet på nätet inser behovet av stöd från ledningen. Regelbundna meddelanden direkt från den högsta ledningen om behovet av cybersäkerhetshygien - och varför det är en prioritet för företaget - bidrar till att skapa en långsiktig säkerhetskultur.