Hvorfor den globale sikkerhetskulturen er stillestående til tross for flere cyberangrep

Hvorfor oss?

Studier viser at åtte av ti cyberangrep starter med phishing-angrep og menneskelige feil, og med hendelser som øker i omfang og konsekvenserhar sikkerhetskulturer aldri vært viktigere.

En ny rapport fra Knowbe4 viser imidlertid at den globale sikkerhetskulturen har stagnert på et lavt til moderat nivå.

Selv om organisasjoner erkjenner at de ansatte er et viktig forsvar mot dataangrep, sliter sektorer som myndigheter, industri og utdanning med å opprettholde tilstrekkelige standarder.

Techopedia har satt seg ned med Knowbe4 – verdens største plattform og selskap for opplæring i sikkerhetsbevissthet og simulert phishing – og innhentet meninger fra andre eksperter på området for å utforske den globale sikkerhetskulturens tilstand.

Nøkkelpunkter

  • Den globale sikkerhetskulturen er svak til tross for stadig flere dataangrep, og menneskelige feil er en viktig faktor i sikkerhetsbrudd.
  • Tradisjonelle sikkerhetsløsninger og bevisstgjøringstrening er ineffektive. Det å bygge en sterk sikkerhetskultur krever kontinuerlig opplæring, tydelig kommunikasjon og støtte fra ledelsen.
  • Fremtidens dataangrep involverer kunstig intelligens, noe som krever at organisasjoner utnytter kunstig intelligens til forsvar samtidig som de styrker grunnleggende sikkerhetsrutiner.
  • Organisasjoner må gå bort fra passord og implementere flerfaktorautentisering for å få bedre beskyttelse.

Viktige funn: Sikkerhetskulturens tilstand i 2024

Rapporten 2024 Security Culture utgitt av Knowbe4 viser at Europa, Nord-Amerika og Asia leder innen sikkerhetskultur med en score på 73 av 100, mens Afrika, Oseania og Sør-Amerika følger tett etter.

Knowbe4 definerer “sikkerhetskultur” som de ideene, skikkene og den sosiale atferden som påvirker en organisasjons sikkerhet og reduserer den menneskelige risikoen. I henhold til denne definisjonen presterer mindre organisasjoner bedre når det gjelder sikkerhetskultur sammenlignet med større organisasjoner, noe som hovedsakelig skyldes kompleksiteten som finnes i store virksomheter.

Rapporten analyserer holdninger, atferd, kognisjon, kommunikasjon, etterlevelse, normer og ansvar, og viser at de bransjene som presterer best, er forsikrings-, finans- og banksektoren – sektorer som har vært utsatt for dataangrep i flere tiår.

Derimot sliter offentlige myndigheter, produksjons- og utdanningssektoren med sikkerhetskulturene sine, til tross for at de i økende grad er mål for nettkriminelle.

Teknologisentrerte tilnærminger mislykkes i å bygge sterke sikkerhetskulturer

Joanna Huisman, “SVP of Strategic Insights & Research” hos KnowBe4, sier til Techopedia at det å tilnærme seg sikkerhetskultur som en teknologistrategi ikke er den rette veien å gå.

“Teknologisentrerte strategier har vist seg å være utilstrekkelige i seg selv, ettersom nettkriminelle er flinke til å omgå tradisjonelle forsvarsverk og skifter fokus til å utnytte menneskelige sårbarheter, noe som ofte er den minste motstands vei.

“Mange organisasjoner mislykkes med å integrere sikkerhet fullt ut som et universelt ansvar, noe som fører til at de ansattes atferd ikke samsvarer med beste sikkerhetspraksis”, sier Huisman.

“Selv om det er enkelt å ta til orde for en robust sikkerhetskultur, kreves det fokus og innsats for å skape og opprettholde dette miljøet.

“Tradisjonelle opplæringsmetoder kommer til kort, ettersom årlige programmer som utelukkende fokuserer på etterlevelse i stedet for helhetlig sikkerhetsbevissthet, gjør organisasjoner sårbare. Effektiv opplæring krever en kontinuerlig, helhetlig tilnærming for å virkelig styrke organisasjonens menneskelige forsvarslag.”

Fordelene med en mer åpen og inkluderende sikkerhetskultur

Phil George, administrerende direktør i Mentorcliq – en sky- og mobilbasert programvareutvikler for medarbeiderveiledning – sier til Techopedia at sikkerhetskulturene er i ferd med å endre seg i retning av mer åpne og bevisste konsepter.

“Ut fra min erfaring i å jobbe med så mange forskjellige virksomheter og sette meg inn i deres unike kultur, har det skjedd et merkbart skifte i bevissthet og beste praksis rundt cybersikkerhet”, sier George.

“Denne mer inkluderende og bevisste kulturendringen i forhold til cybersikkerhet er velkommen. For at en bedrift skal være trygg, må alle medlemmene forstå sin rolle i å opprettholde cybersikkerheten.”

George forklarer at siden Internett ble etablert, har det vært vanlig at virksomheter har overlatt til informasjonssjefer og IT-team å utforme og opprettholde cybersikkerheten.

“Konsensusen har endret seg og utvidet seg til å gjelde alle i organisasjonen. En mer åpen og bevisst kultur er akkurat det virksomhetene trenger for å overleve og trives i møte med dagens cybersikkerhetstrusler.”

Faktorer som driver sikkerhetskulturer: Bevissthet, angrep, budsjetter og kunstig intelligens

Som Fred Kwong, “Chief Information Security Officer” ved DeVry University, sa til Techopedia – den globale cybersikkerhetskulturen påvirkes av en lang rekke faktorer.

“Det nåværende cybersikkerhetslandskapet er hyperfokusert på bevissthet, risikofaktorer, den økende angrepsfrekvensen, økonomisk ustabilitet og hva som er det neste mulige for trusselaktører med fremveksten av nesten ubegrensede plattformer for kunstig intelligens, som ChatGPT.”

Knowbe4-rapporten konkluderte med at av alle nye teknologier vil kunstig intelligens trolig ha noen av de mest dyptgripende konsekvensene for cybersikkerheten til organisasjoner og enkeltpersoner.

Kwong fremhevet at 95% av sikkerhetsbruddene er økonomisk motivert, ifølge Verizon Data Breach Investigations-rapporten for 2023.

“Fremdeles, til tross for økt ansvarlighet og investeringer for å redusere angrep, er det mange ledere i organisasjoner som ikke føler seg trygge på at deres nåværende systemer og prosesser er effektive når det gjelder å beskytte individuelle ansatte, data og drift.”

Kwong legger til at selv om CISCO Security Outcomes Report Volume 3 viser at 96% av lederne mener at sikkerhet er svært viktig for virksomheten, rapporterer to tredjedeler av respondentene at de har opplevd alvorlige sikkerhetshendelser som har satt forretningsdriften i fare.

“Som rapporten også påpeker, er det en bro mellom risiko og robusthet. Ifølge CISCOs rapport opplever organisasjoner som fremmer “en sikkerhetskultur”, en 46% økning i robusthet.”

Hvorfor selskaper mislykkes til tross for investeringer

IBM X-Force Threat Intelligence Index 2024 avslørte et skifte i de nettkriminelles taktikker. Angrep uten filer (stjålet legitimasjon, ingen skadelig programvare) øker med 71%, mens infotyverier øker med 266%.

Spørsmålet gjenstår likevel. Hvorfor klarer ikke selskaper som investerer mye i kampanjer for å øke sikkerhetsbevisstheten, å stoppe disse angrepene? Hvilken tilleggsteknologi kan brukes for å øke bevisstheten og sikkerhetskulturen?

Huisman fra Knowbe4 sier til Techopedia at organisasjoner må implementere en klar struktur for å gjøre den kulturelle endringen tydeligere og mer effektiv.

“Det er syv grunnleggende stadier i den kontinuerlige forbedringssyklusen, som du bør følge for å starte transformasjonen av sikkerhetskulturen.”

De syv grunnleggende trinnene i Knowbe4 inkluderer

  1. Velg 2-3 atferdsmønstre som du ønsker å endre.
  2. Utform en plan for å påvirke atferden på organisasjonsnivå.
  3. Få lederskapets støtte.
  4. Kommuniser.
  5. Utfør planen.
  6. Mål resultatene.
  7. Bestem den videre strategien.

Når det gjelder teknologi, snakket Huisman om viktigheten av sikkerhetsbevissthet og simulerte phishing-plattformer som er utformet for å forbedre den løpende opplæringen og styrke den menneskelige årvåkenheten mot cybertrusler.

Disse plattformene bør inneholde en omfattende pakke med opplæring i bevissthet og etterlevelse, brukerveiledning i sanntid, AI-drevet simulert sosial manipulering og crowdsourcet forsvar mot phishing.

Evaluering og AI i sikkerhetskulturen

George fra Mentorcliq legger til at evalueringer også er avgjørende for å bygge og opprettholde sikkerhetskulturer.

“Det ledende konseptet jeg har sett bedrifter implementere for å bygge en sterk cybersikkerhetskultur, er å inkludere beste praksis for cybersikkerhet i evalueringer”, sier George. “Jeg synes dette er en genial idé, fordi det motiverer de ansatte til å være cyberbevisste og opprettholde sin rolle i virksomhetens cybersikkerhet.

“AI er utmerket til å automatisere og forbedre mer repeterende og nominelle aspekter ved cybersikkerhet. Et område AI imidlertid vil, og allerede utmerker seg på, er trusseldeteksjon. Jeg forventer at kunstig intelligens vil ta over denne delen av cybersikkerheten i nær fremtid.”

Huisman fra Knowbe4 snakket også om AI og hvordan det vil endre sikkerhetskulturene.

“AI-drevne angrep kan automatisere oppdagelsen av smutthull og svake punkter i sikkerhetssystemer, inkludert å finne nettverk som er sårbare for inntrengning”, sa Huisman.

“Bruken av kunstig intelligens kan fremskynde angrepsprosessen, øke antallet mål og øke sannsynligheten for vellykkede innbrudd.

“Det handler ikke bare om kvantiteten av angrepene, men også om kvaliteten; AI kan muliggjøre mer komplekse, snikende og vedvarende cybertrusler. Etter hvert som AI-drevne cyberangrep blir stadig mer sofistikerte, er det viktig at sikkerhetsbevissthetsprogrammene også utvikler seg.”

Organisasjoner bør være årvåkne, holde seg informert om disse nye truslene og kontinuerlig tilpasse cybersikkerhetsstrategiene sine for å redusere risikoen som denne kraftige teknologien utgjør.

6 strategier for å bygge en sikkerhetskultur som tar hensyn til AI

Kwong fra DeVry University sier at det finnes seks strategier som organisasjoner som ønsker å bygge en effektiv cybersikkerhetskultur, må ta hensyn til. De er som følger:

  • Start fra toppen: Det viktigste aspektet ved sikkerhetskulturen er at toppledelsen slår an tonen for resten av organisasjonen. De ansatte må forstå at de alle har en rolle i å redusere risikoene og opprettholde organisasjonens sikkerhetsmotstandskraft.
  • Integrer sikkerhet i hele organisasjonen: Når sikkerhet er fundamentet i alle prosesser, blir det innført kontroller og avveininger for å sikre at alle involverte har sikkerhet i tankene gjennom hele prosjektets livssyklus. I tillegg er det mer sannsynlig at ledere og ansatte ser på sikkerhetsprotokoller som en viktig del av det de gjør, noe som bidrar til en effektiv cybersikkerhetskultur i hele organisasjonen.
  • Praktiser sikkerhetshygiene: En sterk sikkerhetskultur krever at alle i organisasjonen konsekvent følger beste praksis. Regelmessig rapportering av phishing-forsøk er en god indikator på hvor godt de ansatte implementerer sikkerhetstiltak.
  • Kjør skrivebordsøvelser: Tabletop-øvelser fungerer som øvelser for cyberangrep, og hjelper organisasjoner med å finne sårbarheter i responsplanene og de ansattes kunnskap. Ved å simulere virkelige scenarier kan disse øvelsene forbedre kommunikasjonen, identifisere kunnskapshull og lære de ansatte hvordan de skal håndtere en cyberhendelse.
  • Endre taktikken for sikkerhetskommunikasjon: Effektiv kommunikasjon er nøkkelen til å bygge en varig sikkerhetskultur. Det er imidlertid uproduktivt å bare gjenta de samme budskapene. Den beste tilnærmingen er å formidle bevissthet om cybersikkerhet gjennom en rekke engasjerende kanaler på tvers av organisasjonen.
  • Belønn de ansattes gode oppførsel: Å anerkjenne ansatte som rapporterer phishing-forsøk og å tilby dem ekstra opplæring etter at de har blitt utsatt for et forsøk, bidrar til å bygge en positiv sikkerhetskultur. Dette forsterker betydningen av individuelt ansvar og kontinuerlig læring.

“Kunstig intelligens kommer til å forandre cybersikkerheten fundamentalt i årene som kommer”, sier Kwong. “Kunstig intelligens vil imidlertid ikke bare bli brukt til forsvar – den vil også bli utnyttet av hackere og nettkriminelle til å utføre stadig mer sofistikerte angrep.

“Ifølge Gartners 4 Ways Generative AI Will Impact CISOs and Their Teams, vil angrep som utnytter generativ AI frem til 2025 tvinge sikkerhetsbevisste organisasjoner til å senke tersklene for å oppdage mistenkelig aktivitet, noe som vil generere flere falske varsler og dermed kreve mer – ikke mindre – menneskelig respons”, legger Kwong til.

3 nøkkelområder å fokusere på for å forberede seg på AI

Kwong sa at for å forberede seg på AI bør organisasjoner fokusere på tre viktige områder. For det første bør dere implementere kunstig intelligens og maskinlæring i sikkerhetsstakken. Løsninger som analyse av brukeratferd, automatisert hendelsesrespons og AI-basert deteksjon av skadelig programvare vil bli avgjørende.

For det andre må det grunnleggende være på plass. “Krev multifaktorautentisering (MFA), sørg for regelmessig opplæring i cybersikkerhet, krypter data og oppdater raskt. Gode grunnleggende tiltak vil bidra til å forhindre at mange angrep lykkes”, sier Kwong.

Til slutt bør du planlegge å etter hvert gå bort fra passord. Etter hvert som hackerverktøyene blir mer sofistikerte, vil ikke passord alene være tilstrekkelig.

Konkludert

Til tross for en økning i antall dataangrep, er den globale sikkerhetskulturen fortsatt stagnerende. Studier viser at menneskelige feil er en nøkkelfaktor i sikkerhetsbrudd, men organisasjoner klarer ikke å gi de ansatte effektiv opplæring og kompetanse.

Tradisjonelle sikkerhetstiltak og bevisstgjøringstrening er ikke tilstrekkelig. En sterk sikkerhetskultur krever en flerstrenget tilnærming med lederforankring, kontinuerlig opplæring og tydelig kommunikasjon.

Fremtidens cybersikkerhet vil involvere kunstig intelligens på begge sider av angrepslandskapet. Organisasjoner må tilpasse strategiene sine til disse nye truslene ved å utnytte kunstig intelligens til forsvar, samtidig som de prioriterer en sterk grunnleggende sikkerhetspraksis.

Relaterte begreper

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Senior teknologijournalist

Ray er en uavhengig journalist med 15 års erfaring, med fokus på skjæringspunktet mellom teknologi og ulike aspekter av livet og samfunnet. Han begynte i Techopedia i 2023 etter å ha publisert i en rekke medier, blant annet Microsoft, TechRepublic, Moonlock, Hackermoon, VentureBeat, Entrepreneur og ServerWatch. Han har en grad i journalistikk fra Oxford Distance Learning og to spesialiseringer fra FUNIBER i miljøvitenskap og oseanografi. Når Ray ikke jobber, lager han musikk, driver med sport og reiser med sin kone og tre barn.