Stoooooop! Vent. Tænk dig om…

To kvinder sidder foran computerskærm og arbejder

Cyberkriminelle udnytter vores travlhed, når de lokker os til at gøre noget uovervejet i den digitale verden. Jo bedre vi hver især bliver til at stoppe op og bruge vores personlige dømmekraft, når vi støder på noget mistænkeligt, des stærkere bliver vores kollektive forsvarsværker.

“Brug 2 sekunder mere”.

Måske kan du huske budskabet fra Rådet for Sikker Trafiks kampagne. Det fortæller i al sin enkelhed, at hvis du bare bruger lidt længere tid på at orientere dig, inden du kører ind i et kryds, er sandsynligheden for at undgå en ulykke meget større.

Samme appel kan overføres til adfærden, når vi bevæger os rundt i trafikken i den digitale verden. For én af de største trusler mod it-sikkerheden er, at vores opmærksomhed på god it-sikkerhedsskik falder, når vi har travlt eller er fordybet i en opgave. Vi glemmer simpelthen at tænke os om, og dermed kortslutter vi vores personlige dømmekraft.

Dette meget menneskelige karaktertræk udnytter de cyberkriminelle, når de eksempelvis sender phishing-mails, hvor indholdet og udseendet i mailen formidler et tidspres og tilskynder til et hurtigt klik. Jo mere travlt, modtageren har, des mere tilbøjelig er vedkommende til blindt at følge opfordringen.

94% af alle angreb rettet mod mennesker

At cyberkriminelle angriber mennesker fremfor infrastruktur eller teknologi, er grundstenen i den gren indenfor it-sikkerhed og awareness, der benævnes People-Centric Security – eller på dansk ‘menneskeorienteret it-sikkerhed’.

Det er ikke, fordi tekniske sårbarheder ikke længere er vigtige for virksomheder, for det er de. Men ifølge en Verizon-sikkerhedsundersøgelse fra 2019 stammede hele 94% af mere end 2.000 verdensomspændende datalæk fra angreb rettet mod mennesker. Det er en statistik, der kalder på handling.

Sådan ændrer mennesker adfærd

Hvis vi ved, at hackere i høj grad designer angreb, der målrettet udnytter svaghederne i den menneskelige adfærd, er virksomheder ligeså målrettet nødt til at foretage tiltag, der kan ændre den menneskelige adfærd, så medarbejderne ikke kompromitterer it-sikkerheden.

Det har videnskaben på området nogle gode bud på, hvordan man gør. Det viser sig nemlig, at:

  • Mennesker forstår sikkerhedsbudskaber bedst, hvis de forstår den kontekst, budskabet indgår i
  • Mennesker husker sikkerhedsinformation bedst, hvis informationen bliver serveret for dem i små bidder
  • Gentagelser af nøglebudskaber og praktiske øvelser i god it-sikkerhed fremmer forståelsen og øger awareness
  • Mennesker forstår it-sikkerhedsråd bedst, hvis de modtager tips og tricks samtidig med en praktisk øvelse
  • Mennesker bliver mere engageret i it-sikkerhed, hvis man anvender elementer fra fortælleteknikken fremfor kun at formidle hårde fakta og data
  • Sikkerhedsbudskaber sidder bedre fast, hvis mennesker møder dem i forskellige kontekster udtrykt på forskellige måder
  • Mennesker har brug for tid til selv at evaluere og tænke over deres egen adfærd, før de kan forbedre sig

VAP’s skal have ekstra fokus og uddannelse

Benjamin Nordentoft Vejgaard er områdedirektør indenfor it-sikkerhed i KMD. Han forklarer, at de cyberkriminelles tendens til at gå efter navngivne personer i en virksomhed har fået samarbejdspartneren Proofpoint til at navngive disse personer “VAP’s”.

“Det står for Very Attacked Persons. En VAP kan være direktøren i en virksomhed, men det kan også være direktørens sekretær, som har adgang til vigtig forretningsviden. For at sikre sin virksomhed skal man fokusere ekstra meget på at uddanne og træne VAP’s i at være opmærksom på mistænkelige forhold, inden de eksempelvis klikker på et link, downloader en vedhæftning eller bliver ringet op af en ukendt. For statistikken viser, at VAP’s hyppigere bliver angrebet end deres kollegaer.”

Læs mere om hvordan du kan uddanne dine medarbejdere og højne sikkerheden her.

Tre fokusområder

KMD leverer sammen med Proofpoint et færdigt, menneskeorienteret sikkerheds- og awarenesskoncept til virksomheder. Metodikken i konceptet har tre fokusområder, forklarer Benjamin Nordentoft Vejgaard.

“For det første handler det om at identificere, hvilke personer der udgør den største risiko i en virksomhed. Det vil sige, at vi finder ud af, hvilke personer der er mest eksponeret for angreb ved hjælp af værktøjer såsom phishing-simulationsprogrammer, vidensundersøgelser og trusselsvurderinger.”

“For det andet kigger vi på, hvordan vi kan få folk i virksomheden til at ændre adfærd, så de stopper op og tænker sig om, hver gang de bruger digitale tjenester. Typisk gennem awareness-aktiviteter såsom onlinetræningsprogrammer tilpasset den enkelte medarbejder og oplysningskampagner.”

“For det tredje fokuserer vi på at reducere den sikkerhedstrussel, mennesker udgør. Dels ved at træne dem i at genkende typiske faresignaler, og dels ved at uddanne dem til at blive virksomhedens første forsvarslinje i kampen mod de cyberkriminelle. Det kan man eksempelvis gøre ved at give medarbejderne et værktøj, så de kan tippe den sikkerhedsansvarlige, hvis de bliver opmærksomme på noget mistænkeligt. Jo nemmere det er for dem at rapportere en hændelse med det samme, des oftere vil de gøre det.”

Kontakt

Vil I vide, hvem jeres Very Attacked Persons (VAP’s) er? Og vil I høre mere om jeres muligheder inden for Security Awareness? Vi sidder klar til en uforpligtende snak eller demonstration af løsningen. Send en besked via formularen eller ring til os på tlf.: +45 4460 6158.

kontakt