Det finns ett antal skäl till varför myndigheter behöver utbildning i säkerhetsmedvetenhet för att minska risken för framgångsrika attacker, skydda känslig information och upprätthålla allmänhetens förtroende för statliga institutioner. Regeringar och myndigheter inom den offentliga sektorn är i cyberkriminellas blickfång. Forskning från Checkpoint stöder detta påstående; en undersökning från företaget visar att regerings- och militärsektorerna i Storbritannien och Irland hanterade i genomsnitt 352 cyberattacker per vecka under mitten av 2021.
I Storbritannien som helhet ökade antalet cyberattacker med 20 % under 2020, och attacker som utpressningstrojaner ökade med hela 80 % under de tre sista månaderna 2020. Denna tsunami av cyberattacker följer ett typiskt mönster som går ut på att manipulera den mänskliga faktorn, vanligtvis en anställd eller leverantör.
För att minska de stora cyberhoten från nätfiske, oavsiktlig dataexponering och social ingenjörskonst måste statliga myndigheter satsa på utbildning i säkerhetsmedvetenhet.
Hur dataförluster och cyberattacker i myndigheter sker
Hackare har fått en bra känsla av att ha lyckats med tidigare attacker mot statliga myndigheter.
Den kanske mest ökända var WannaCry-attacken med utpressningstrojaner som påverkade hela världen och särskilt den brittiska NHS. Liksom alla attacker med utpressningstrojaner var WannaCry förödande, stängde sjukhusen för nya patienter och satte ett enormt tryck på en redan ansträngd NHS. Myndigheter är ett mål för cyberbrottslingar eftersom de har visat sig vara ett framgångsrikt alternativ, cyberbrottslighetens motsvarighet till lågt hängande frukt.
Attacker som utpressningstrojaner börjar ofta med att en anställd manipuleras till att klicka på en skadlig länk i ett e-postmeddelande eller ladda ner en infekterad bilaga.
En begäran om informationsfrihet (FoI) från tankesmedjan Parliament Street visade att Her Majesty's Treasury lyckades blockera nästan 5 miljoner nätfiske-, malware- och skräppostmeddelanden under de tre åren fram till september 2021. I en annan rapport från Parliament Street konstaterades att underhuset hade blockerat 126 miljoner skadliga e-postförsök.
Men det är inte bara cyberattacker som bör oroa myndigheternas säkerhets- och efterlevnadsansvariga.
En rapport från försvarsdepartementet (MoD), som analyserats av Parliament Street, visar en 18-procentig ökning av dataförlustincidenter. De flesta av dessa incidenter orsakades av obehörigt avslöjande av uppgifter, medan resten berodde på förlust av elektronisk utrustning, apparater eller dokument i statliga lokaler eller osäkert bortskaffande av pappersdokument.
Cyberkriminella spelar ett långt spel och förbättrar ständigt sina metoder för att undvika bedrägerier. Ett enda skadligt e-postmeddelande som går igenom nätet kan bli en ny incident av WannaCry-nivå. En enda förlorad bärbar dator på ett tåg kan hamna hos media och behandlas som ett problem med bristande efterlevnad av lagstiftningen av Information Commissioners Office (ICO).
Den perfekta cyberstormen bestående av en blandning av cyberbrottslighet och oavsiktliga insiderhändelser samlas som ett mörkt moln över brittiska myndigheter.
Hur utbildning om medvetenhet om cybersäkerhet kan hjälpa en statlig myndighet att vara cybersäker
Storbritanniens ICO har förklarat att 90 procent av dataintrång orsakas av mänskliga fel: den roll som den mänskliga faktorn spelar i samband med dataförluster och cyberintrång framgår tydligt av forskningen från Parliament Street. Den mänskliga faktorn i säkerheten ger dock också en möjlighet för de statliga myndigheterna att minska riskerna.
Förmågan att utbilda användarna om cybersäkerhetsfrågor och datarisker är en viktig del av en övergripande säkerhetspolicy och strategi. Utbildning i säkerhetsmedvetenhet är ett formellt program för att ge denna utbildning. De fem grunderna för effektiv utbildning i säkerhetsmedvetenhet är följande:
Förhindra dataintrång
Dataintrång är vanligtvis kopplade till en nätfiskekampanj i något skede av intrånget. En anställd eller en annan associerad enhet, t.ex. en entreprenör eller leverantör, faller offer för ett phishingmeddelande och resultatet kan bli infektion med utpressningstrojaner (eller annan skadlig kod) eller stöld av autentiseringsuppgifter.
Genom utbildning i säkerhetsmedvetenhet tränas personal och andra i att upptäcka tecken på phishingmeddelanden och andra bedrägerier med social ingenjörskonst. Simuleringar av nätfiske kan användas för att hjälpa till med utbildningen och för att samla in data som visar hur effektiv utbildningen är. I en budgetbegränsad statlig IT-avdelning kan säkerhetsutbildningsprogrammen vara mycket kostnadseffektiva.
Förhindra oavsiktlig dataexponering
Oavsiktlig dataexponering omfattar en rad olika händelser, från felaktig e-postleverans till att helt enkelt lämna känsliga dokument på en skrivare. Utbildning i säkerhetsmedvetenhet ger personalen utbildning i hygieniska aspekter av att vara säker på nätet, liksom i de mer tekniska aspekterna. Anställda och andra utbildas i goda rutiner, t.ex. att hålla sig till en policy för rena skrivbord och se till att de inte delar lösenord.
Fortsatt säkerhet
Cyberbrottslingar letar alltid efter sätt att kringgå traditionella säkerhetsåtgärder, vilket innebär att de ändrar taktiken för att lura anställda att utföra skadliga aktiviteter för deras räkning. Utbildning i säkerhetsmedvetenhet är inte en engångsföreteelse utan bygger på principen om kontinuerlig utbildning för att se till att en myndighet (och dess anställda) håller sig uppdaterad om förändringar i hotbilden mot cybersäkerheten.
Säkerhet för alla
Varje anställd, konsult och leverantör är en potentiell måltavla för cyberbrottslingar. Varje anställd och leverantör fungerar också som en mänsklig faktor vid oavsiktlig dataexponering. Därför är utbildningsprogram för säkerhetsmedvetenhet mest effektiva när de används i hela organisationen och omfattar även leverantörer. Med statliga myndigheter som använder sig av outsourcade tjänster och personal är denna aspekt av utbildning i säkerhetsmedvetenhet viktig för att se till att säkerhetstänkandet är universellt.
Den mänskliga brandväggen och förstärkning av tekniska åtgärder
Konceptet med en mänsklig brandvägg är en idé som bygger på den utbildning som ges i ett program för säkerhetsmedvetenhet. Om utbildningen är väl genomförd kan säkerhetsutbildning ge alla inom en organisation mer inflytande och samtidigt se till att gruppen som helhet drar nytta av utbildningen.
Överensstämmelse med regelverk, dataskyddsstandarder och myndigheter
Ett effektivt program för säkerhetsmedvetenhet innebär också att man kan uppfylla kraven på informationssäkerhet i lagstiftningen. Regeringen bör föregå med gott exempel för resten av branschen genom att se till att de uppfyller kraven i de olika dataförordningarna i Storbritannien, liksom de som kan påverka utanför Storbritanniens gränser. Många dataskyddsstandarder och -förordningar, inklusive ISO27001 och DPA2018/UK GDPR, kräver nu eller uppmuntrar starkt en organisation att utbilda sina anställda till att vara säkerhetsmedvetna.
Även om traditionella säkerhetsåtgärder som tvåfaktorsautentisering och kryptering kan bidra till att lindra dataintrång, finns det inget bättre än att göra de anställda medvetna om riskerna för en organisation med phishing och andra social engineering-attacker.
Myndigheter löper lika stor risk att drabbas av dataförluster och cyberattacker som alla andra branscher. Genom att ge de anställda viktig säkerhetsutbildning kan en myndighet minska risken för att utsättas för risker och föregå med gott exempel för andra branscher att följa.