Vi har alle vært der – tvunget av HR til å sitte gjennom enda et klasseromsforedrag fylt med dystre advarsler om skadelig programvare. Sannheten er at de fleste opplæringsprogrammer om cybersikkerhet bommer på målet, slik at de ansatte blir underutdannet og organisasjonene sårbare for angrep.
Det er en kjensgjerning at ansatte kan være hardnakket uvitende om cyberrisiko, men de 45-minutters lange videoene og avkrysningsskjemaene som dominerer sikkerhetsopplæringen, ser ut til å være designet for å få akkurat disse til å miste mot og engasjementet.
Selv de beste antivirusprogram og verktøy for fjerning av skadelig programvare vil ikke redde deg fra innsidetrusler. – Så hvordan kan organisasjoner bygge opp et program som integrerer cyberbevissthet i den daglige bedriftskulturen?
Her er hvordan du kan lykkes der så mange mislykkes.
Nøkkelpunkter
- Ansatte er en av de største kildene til sårbarhet på nettet.
- Opplæring av ansatte i risikobevissthet er avgjørende for enhver effektiv forsvarsstrategi, men det er lettere sagt enn gjort.
- Sikkerhetstretthet, distraksjon, ulemper og en følelse av usårbarhet hindrer folk i å tenke for mye på risikabel atferd.
- I mellomtiden bruker hackere kunstig intelligens til å øke angrepene sine.
- Svaret er å tenke nytt og rekalibrere hvordan opplæring i risikobevissthet på nettet blir gitt. Vi har spurt ekspertene om hindringene for suksess og hvordan de kan overvinnes.
“Alle som liker cyberopplæring, rekk opp hånden”
Med stadig flere phishing-angrep er det stadig mer populært med programmer som er ment å mobilisere de ansatte og gjøre dem til organisasjonens cyberøyne og -ører.
De ansatte jobber ofte i utkanten av nettverket, der sikkerheten er mest sårbar. Det er bare fornuftig å holde dem informert om et trussellandskap i stadig endring og om hvordan man kan identifisere forsøk på sikkerhetsbrudd når de oppstår.
Likevel mislykkes mange cybersikkerhetsprogrammer fra starten av, ettersom ineffektive læringsmetoder og utdatert innhold sørger for at brukerne faller av. Til tross for tiden og innsatsen som legges ned av alle involverte, er ikke organisasjonen noe tryggere.
Tilnærmingen, strukturen og innholdet i opplæringsprogrammene for cyberbevissthet må være utformet slik at de skjærer gjennom støyen og distraksjonene i kontorhverdagen. Å erkjenne denne virkeligheten og endre kurs er noe alle sikkerhetsansvarlige må vurdere. Vi har alle fulltidsjobber å ta oss av. Om opplæringen ikke klarer å holde på oppmerksomheten vår, utgjør det en betydelig trussel mot sikkerheten i bedriften.
Innsidetrusselen i 2024
Folk kan være den største kilden til sårbarhet. Denne trusselen kalles ofte innsidetrusselen, og den innkapsler den uunngåelige risikoen som oppstår når hundrevis til tusenvis av ansatte i førstelinjen, ledere, veiledere, partnere og underleverandører har tilgang til nettverksressurser.
Cyberkriminelle bruker sofistikerte taktikker for å lure dem til å klikke på usikre lenker eller laste ned infiserte filer og vedlegg. – Det fungerer suverent.
Ponemon Institute’s anerkjente Cost of Insider Risk Global Report viser at antallet organisasjoner som rammes av innsidetrusler, øker hvert år, samtidig som kostnadene for å utbedre truslene fortsetter å stige.
I 2022 var gjennomsnittskostnaden for et innsiderelatert angrep 15,4 millioner amerikanske dollar. I 2023 steg tallet til 16,2 millioner dollar.
AI forsterker trusselen
David Emm, Principal Security Researcher hos Kasperskys Global Research and Analysis Team, sier til Techopedia at noe av skylden kan legges på AI.
Cyberkriminelle har begynt å bruke maskinlæring “for å etterligne pålitelig atferd og automatisere angrep, noe som gjør det vanskeligere å oppdage ondsinnede aktiviteter”.
Robert O’Brien, Chief Evangelist hos MetaCompliance, er enig. Han sa til Techopedia at hackere “egentlig fikk en magisk lampe da ChatGPT dukket opp.”
De har tatt i bruk og innovert AI som en del av svindelen sin mye smidigere og raskere enn både myndighetene og bransjen hadde forventet. sier O’Brien:
“Sett fra et innsidetrusselperspektiv utvider AI-verktøy trussellandskapet for de fleste organisasjoner – spesielt hvis innføringen av AI-verktøy ikke er tett koordinert.”
Tyler Farrar, CISO i Exabeam, sier at AI “kan produsere svært overbevisende og overtalende meldinger, noe som gjør det ekstremt vanskelig for brukerne å se om de er falske eller ikke, og dermed øker suksessraten.”
Den menneskelige faktoren
Kasperskys Emm holder stadig frem at bevisste innsidertrusler, der betrodde ansatte med vilje forårsaker skade, fortsatt er den største utfordringen. Emm påpeker dette:
“Dette er vanskeligere for bedrifter å kontrollere på grunn av tillitsbruddet mellom bedriften og den ansatte. Ved å etablere tilgangskontroll og begrense handlingsrommet til de som trenger det, kan man redusere denne risikoen. De ansattes apati og manglende bevissthet forverrer disse problemene ytterligere, noe som krever en proaktiv og tilpasningsdyktig tilnærming til sikkerhet.”
Bekymringsfullt, men problemet er ikke nytt.
Det har vært stor bevissthet rundt innsidetrusselen siden i hvert fall 2014, da en Harvard-studie anslo at amerikanske selskaper opplevde 80 millioner dataangrep som involverte ansatte eller underleverandører hvert år – et tall som nå antas å være i den lave enden, siden så mange sikkerhetsbrudd ikke ble rapportert.
Hva skal man gjøre?
Å bruke kunstig intelligens til å gjennomføre angrep i stor skala er en ny vri, men mer etablerte hackingteknikker er fortsatt den mest effektive måten å lure ansatte på.
“Cyberangripere fortsetter å bruke sosial manipulering som sin primære måte å hacke mennesker på”, sier Lance Spitzner, Techical Director ved SANS Security Awareness.
Han forteller til Techopedia at tradisjonell phishing via e-post fortsatt er populært, og det samme gjelder telefonsamtaler (“Vishing”) og meldingsangrep (“Smishing”).
“Selv om den overordnede strategien er den samme, har nettangriperne blitt langt mer avanserte. Stavefeilene er borte. I stedet skreddersyr angriperne angrepene til ofrene ved å bruke firmalogoer, referanser til nylige hendelser og sterkere emosjonelle triggere.”
Noen kombinerer til og med ulike elementer som e-post og telefonsamtaler, tekstmeldinger og QR-koder.
De gamle hackene fungerer, nye tilnærminger utvikles, og selskaper tar grep. En studie fra 2023 utført av Code42 viste at 72% av organisasjonene brukte tid og budsjett på opplæringsprogrammer for cyberbevissthet og sikkerhet, men 71% trodde likevel at innsiderelaterte brudd ville øke i løpet av de neste 12 månedene.
I år sier Proofpoint at 54% av CISO-er forventer å prioritere økt cyberbevissthet blant de ansatte i løpet av de neste to årene. Vil det hele vise seg å være fruktløst?
En talsperson for selskapet sier til Techopedia at selv om opplæring er viktig for å øke bevisstheten, “er det bare en start. Nøkkelen til å redusere risikoen ligger i å endre den pågående sikkerhetsatferden og -kulturen.”
Men hvordan får du cyberbevissthet inn i hodene på folk – og hvordan holder du det der?
Problemet med opplæring i cybersikkerhet
Svaret for mange organisasjoner er å samle folk i styrerommene, vise dem skumle PowerPoints og gi dem en sjekkliste som de kan oppbevare ved arbeidsstasjonene sine. Men med tanke på hvor sofistikerte, avanserte og vedvarende moderne angrep er – og den menneskelige naturens uhåndgripelighet – holder det ikke med tradisjonelle opplæringsformater.
Devin Ertel, CISO hos Menlo Security, sier
“Trusselaktører har funnet nye måter å utnytte ansattes apati, nysgjerrighet og manglende sikkerhetsbevissthet på for å omgå selv de mest sofistikerte tekniske forsvarsverkene.”
Han sier til Techopedia at “mennesker fortsatt er det svakeste leddet”, og legger til at “over 75% av phishing-lenkene ligger på pålitelige nettsteder, noe som gjør det vanskeligere å identifisere dem som ondsinnede.”
Chris Denbigh-White, Chief Security Officer hos Next DLP, sier til Techopedia at ethvert opplæringsprogram for cyberbevissthet har flere barrierer som må overvinnes. Blant disse er:
- Konkurrerende arbeidsprioriteringer
- Det faktum at cybertrusler er abstrakte snarere enn fysiske
- Ulempen med sikkerhetsprosedyrer
- “Sikkerhetstretthet” fra en konstant strøm av sikkerhetsadvarsler og -oppdateringer
Tekniske begrepet kan gjøre det vanskeligere å forstå
Opplæring i cybersikkerhet baserer seg ofte på sjargong, noe som fremmedgjør ikke-tekniske ansatte og får opplæringen til å virke irrelevant eller overveldende, noe som hindrer forståelsen. Det er også et problem med “usårbarhetstankegant der folk undervurderer sin egen verdi som mål eller føler seg beskyttet bak selskapets brannmurer – en “det vil ikke skje meg”-mentalitet”.
Problemet ligger ofte hos sikkerhetsteamet. Sikkerhetsteamene leder ofte sikkerhetsopplæringen, men personene som leder disse programmene, er ofte svært tekniske. Derfor bør bedrifter vurdere hvordan de kan gjøre sikkerhetsopplæringen enkel for folk, på deres premisser.
Lance Spitzner fra SANS Security Awareness sier at de fleste programmer for sikkerhetsbevissthet mislykkes fordi “de ikke er i tråd med hvordan folk tenker eller opererer”. Sikkerhetsteamene kan også være dårlig rustet for en opplæringsrolle.
“Sikkerhetsteam har mye erfaring med å jobbe med datamaskiner, men svært lite erfaring med hvordan man engasjerer, motiverer og lærer opp folk, eller hvordan man gjør sikkerhet enkelt. Det de trenger, er et nytt sett med opplæringsferdigheter som fungerer sammen med den menneskelige natur, ikke mot den.”
Ekspertenes tips til hvordan man bygger inn cyberbevissthet
Eksperter sier at et vellykket opplæringsprogram for cyberbevissthet krever ressurser, tid og en sofistikert tilnærming. Dette er de viktigste suksessfaktorene du bør ta hensyn til:
1. Få frem det rette budskapet
“Sikkerhetsbevissthet er som enhver annen markedsføringskampanje i en organisasjon”, sier Robert O’Brien fra MetaCompliance. “Nøkkelen er at folk ser konsistente og relevante budskap, ikke bare i form av opplæring, men overalt hvor de ser.
2. Engasjer og forsterk
NextDLPs Chris Denbigh-White foreslår at CSO-er utvikler opplæring som er “interaktiv og relaterbar, og som legger vekt på hvorfor sikkerhetspraksis, ikke bare hvordan. Ved å legge til anerkjennelses- og belønningsprogrammer vil de ansatte få insentiver til å ta i bruk sterkere cybersikkerhetspraksis.”
3. Organiser sikkerhetsteam for opplæring
“De mest effektive bevisstgjøringsprogrammene har folk i sikkerhetsteamet som er dedikert til å hjelpe de ansatte med å sikre seg”, sier Lance Spitzner fra SANS. “Disse personene vil ha de ferdighetene som trengs for effektiv kommunikasjon, opplæring og til slutt atferdsendring. Et velutviklet bevisstgjøringsprogram er en kontinuerlig innsats gjennom hele året som aktivt motiverer, engasjerer og lærer opp arbeidsstyrken.”
4. Tilpass med mikrotrening
Mika Aalto, medgrunnlegger og CEO i Hoxhunt, sier til Techopedia at angriperne retter seg mot folks atferd, og at sikkerhetstrening derfor også bør ha en atferdsmessig tilnærming. “Du kan tilpasse med mikroopplæring som er relevant for brukerens bakgrunn og ferdighetsnivå”, sier Aalto.
“Opplærerne bør også forsøke å gjøre det morsomt”, legger han til. “Opplæring i phishing egner seg ypperlig til gamification. Du kan integrere trusselsrapportering i organisasjonen ved å gi anerkjennelse og belønne folk med premier når de fanger opp et ekte angrep.”
5. Glem engangsøkter
Tyler Farrar, CISO i Exabeam, sier til Techopedia at et vellykket opplæringsprogram for bevissthet rundt cybersikkerhet i 2024 må være “oppslukende, adaptivt og kontinuerlig, og integrere regelmessige phishing-simuleringer, tilpassede opplæringsmoduler og interaktivt innhold som spillbaserte øvelser og VR/AR-opplevelser. Disse elementene sikrer at de ansatte er engasjerte og kan relatere seg til virkelige scenarier, noe som forbedrer deres evne til å gjenkjenne og reagere på trusler.”
6. Involver ledelsen
Stephen Kowski, Field CTO hos SlashNext Email Security, sier til Techopedia at det er nødvendig med støtte fra ledelsen “for å skape en sikkerhetsbevisst kultur, levere engasjerende, rollebaserte moduler i ulike formater og legge vekt på høyrisikoatferd som phishing”.
David Emm fra Kaspersky er enig, og sier: “Det må være reell støtte fra styret for å unngå risikoen for at ansatte og mellomledere prioriterer produktivitet fremfor sikkerhet.”
Robert O’Brien fra MetaCompliance legger til at “aktiv deltakelse fra toppledelsen er viktig for å hele tiden gi uttrykk for viktigheten av sikkerhetsbevissthet.”
7. Lag riktig innhold
En talsperson for Proofpoint sier til Techopedia at “å sørge for at opplæringsinnholdet er engasjerende, relevant og lettfordøyelig er avgjørende for å holde de ansattes interesse oppe. Tilby en rekke ulike typer materiale som forsterker viktigheten av cybersikkerhet og veileder de ansatte mot riktig atferd.
“Brukerne er ikke sikkerhetseksperter og har liten interesse av å bli det, så vurder å presentere cybersikkerhetsprosessen som en historie eller en reise, med eksempler fra det virkelige liv for å underbygge kunnskap og skape forståelse for de potensielle konsekvensene.”
Vellykket opplæring i cyberbevissthet: Enkel 7-trinns mal
Oppdater ofte
Oppdater de ansatte jevnlig om nye trusler og sikkerhetsrutiner for å holde dem informert.Legg vekt på mobil
Fremhev viktigheten av mobilsikkerhet. Lær de ansatte om risikoen ved å bruke ukontrollerte apper, og understrek behovet for kontinuerlig overvåking, beskyttelse og trusselmodellering for mobile enheter.Gjør innholdet rollespesifikt
Tilpass opplæringen til ulike roller i bedriften, slik at den tar hensyn til de spesifikke risikoene hver enkelt rolle står overfor.Gjør regelmessige vurderinger
Evaluer kontinuerlig effektiviteten av opplæringen og gi tilbakemelding til de ansatte slik at de kan forbedre sin praksis.Integrer i daglige rutiner
Gjør cybersikkerhet til en del av den daglige rutinen ved å innlemme praksis i bedriftskulturen.Involver lederne
Sørg for at styret og ledelsen deltar i og støtter opplæringsprogrammet for å vise hvor viktig det er og oppmuntre til å tenke sikkerhet først.
Bruk interaktive økter med virkelighetsnære scenarier for å holde de ansatte engasjerte og gjøre læringen praktisk.
Konklusjon
Vishnubhotla er bekymret for at innsidetrusler bare vil bli mer komplekse i år på grunn av økt fjernarbeid og den utbredte bruken av personlige enheter til forretningsoppgaver. Det sier han:
“Bedriftene må gjøre de ansatte til den første forsvarslinjen ved å fremme en kultur preget av sikkerhetsbevissthet og etisk atferd. Regelmessig opplæring og bevisstgjøringsprogrammer er avgjørende for å gi dem kunnskap og ferdigheter til å identifisere og rapportere potensielle trusler.”
Ofte stilte spørsmål
Hva er opplæring i cyberbevissthet?
Hvordan lærer jeg opp mine ansatte i cybersikkerhet?
Hvor ofte må du gi de ansatte opplæring i cybersikkerhet?
Hvor lang tid tar opplæringen i cyberbevissthet?
Kan jeg få et cybersikkerhetssertifikat gratis?
Referanser
- Ponemon Cost of Insider Risks Global Report – DTEX Systems Inc (Dtexsystems)
- The Danger from Within (Hbr)
- 2023 Data Exposure Report – Code42 (Code42)
- Voice of the CISO Report: Insights & Trends | Proofpoint US (Proofpoint)