Vi har alla varit där – tvingade av HR att gå igenom ännu en föreläsning fylld med dystra varningar om skadlig programvara (malware). Sanningen är att de flesta utbildningsprogram för cybersäkerhet missar målet, vilket gör att personalen är underutbildad och organisationerna sårbara för attacker.
Vi vet att anställda kan vara envist omedvetna om cyberrisker, men de 45-minutersvideor och frågeformulär med kryssrutor som dominerar säkerhetsutbildningar verkar vara utformade för att bryta engagemanget.
Inte ens de bästa verktygen för skydd mot skadlig kod kan skydda dig från insiderhot. Så hur kan organisationer bygga upp ett program som integrerar cybermedvetenhet i den dagliga företagskulturen?
Så här gör du för att lyckas där så många misslyckas.
Viktiga slutsatser om utbildning inom cybersäkerhet
- Medarbetarna är en av de största källorna till sårbarhet på nätet.
- Att utbilda personalen i riskmedvetenhet är en förutsättning för en effektiv försvarsstrategi, men det är lättare sagt än gjort.
- Säkerhetströtthet, distraktion, olägenheter och en känsla av osårbarhet hindrar människor från att tänka för mycket på riskfyllda beteenden.
- Samtidigt använder hackare AI för att förbättra sina attacker.
- Lösningen är att tänka om och kalibrera hur utbildning i cybermedvetenhet genomförs. Vi frågade experterna om vilka hinder som finns för framgång och hur man kan övervinna dem.
“Alla som gillar utbildning i cybersäkerhet, räck upp handen”
Nätfiskeattackerna (phishing) fortsätter att öka varje år och program som syftar till att mobilisera personalen och göra dem till organisationens ögon och öron på nätet blir allt populärare.
Medarbetarna arbetar ofta i nätverkets utkant, där säkerheten är som mest skör. Det är bara logiskt att hålla dem informerade om det ständigt föränderliga hotlandskapet och hur man identifierar försök till intrång när de inträffar.
Ändå misslyckas många program redan från början eftersom ineffektiva inlärningsmetoder och föråldrat innehåll gör att användarna avstår. Trots den tid och de ansträngningar som alla inblandade lägger ner blir organisationen inte säkrare.
Tillvägagångssättet, strukturen och innehållet i utbildningsprogrammen för cybermedvetenhet måste utformas så att de skär igenom det brus och de distraktioner som finns i kontorslivet. Att erkänna denna verklighet och ändra kurs är något som varje säkerhetsexpert måste överväga. Vi har alla heltidsjobb att ta hand om. Om utbildningen inte lyckas hålla kvar vår uppmärksamhet är det ett betydande hot mot företagets säkerhet.
Utformningen av insiderhotet 2024
Människor kan vara den största källan till sårbarhet. Det kallas ofta insiderhotet och sammanfattar den oundvikliga risk som uppstår när hundratals till tusentals anställda i frontlinjen, chefer, arbetsledare, partners och entreprenörer har tillgång till nätverksresurser.
Cyberbrottslingar använder sofistikerad taktik för att lura dem att klicka på osäkra länkar eller ladda ner infekterade filer och bilagor. Det fungerar som en smäck.
Ponemon Institute’s välrenommerade Cost of Insider Risk Global Report visar att antalet organisationer som drabbas av insiderhot växer varje år, samtidigt som kostnaderna för att åtgärda problemen fortsätter att öka.
År 2022 var den genomsnittliga kostnaden för en insiderrelaterad attack 15,4 miljoner dollar. År 2023 steg siffran till 16,2 miljoner dollar.
AI förstärker hotet
David Emm, Principal Security Researcher på Kasperskys Global Research and Analysis Team, berättade för Techopedia att en del av skulden kan läggas på AI.
Cyberbrottslingar har börjat använda maskininlärning “för att efterlikna betrodda beteenden och automatisera attacker, vilket gör det svårare att upptäcka skadliga aktiviteter.”
Robert O’Brien, chefsevangelist på MetaCompliance , håller med. Han berättade för Techopedia att hackare “i huvudsak fick en magisk lampa när ChatGPT dök upp på scenen.”
Deras antagande och innovation när det gäller att distribuera artificiell intelligens (AI) som en del av deras bedrägerier har varit mycket mer smidig och snabbare än vad varken regeringen eller industrin förväntade sig. O’Brien säger:
“När det gäller insiderhot innebär AI-verktyg att hotbilden blir större för de flesta organisationer – särskilt om deras användning av AI-verktyg inte är väl samordnad.”
Tyler Farrar, CISO på Exabeam, säger att AI “kan producera mycket övertygande och övertygande meddelanden, vilket gör det extremt svårt för användarna att urskilja om de är bedrägliga eller inte, och därmed förbättra framgångsgraden.”
Den mänskliga faktorn
Kasperskys Emm menar dock att medvetna insiderhot, där betrodda medarbetare avsiktligt orsakar skada, fortfarande är den största utmaningen. Emm påpekar:
“Detta är svårare för företag att kontrollera eftersom förtroendet mellan företaget och den anställde har brutits. Genom att införa åtgärder för åtkomstkontroll och begränsa handlingsutrymmet till dem som behöver det kan dessa risker minskas. Medarbetarnas apati och brist på medvetenhet förvärrar dessa problem ytterligare, vilket kräver en proaktiv och anpassningsbar strategi för säkerhet.”
Oroväckande, men problemet är inte nytt.
Medvetenheten om insiderhotet har funnits åtminstone sedan 2014 då en studie från Harvard uppskattade att amerikanska företag utsattes för 80 miljoner cyberattacker som involverade anställda eller entreprenörer varje år – en siffra som nu antas vara i underkant eftersom så många intrång inte rapporterades.
Vad ska man göra?
Att använda AI för att genomföra storskaliga attacker är ett nytt grepp, men mer etablerade hackningstekniker är fortfarande det mest effektiva sättet att lura anställda.
“Cyberangripare fortsätter att använda social ingenjörskonst som sitt primära sätt att hacka människor”, säger Lance Spitzner, teknisk direktör på SANS Security Awareness.
Han berättar för Techopedia att traditionell nätfiske via e-post fortfarande är populärt, liksom attacker via telefonsamtal (vishing) och meddelanden (smishing).
“Den övergripande strategin är densamma, men cyberangriparna har blivit mycket mer avancerade. Stavfelen har försvunnit. Istället skräddarsyr cyberangriparna attackerna för sina tilltänkta offer, med hjälp av deras företagslogotyper, referenser till aktuella händelser och starkare känslomässiga triggers.”
Vissa kombinerar till och med olika element som e-post och telefonsamtal, textmeddelanden och QR-koder.
De gamla hackermetoderna fungerar, nya metoder utvecklas och företagen vidtar åtgärder. En studie från 2023 av Code42 visade att 72% av organisationerna ägnade tid och budget åt utbildningsprogram för cybermedvetenhet, men 71% trodde fortfarande att insiderrelaterade intrång skulle växa under de kommande 12 månaderna.
I år säger Proofpoint att 54% av CISO:erna (chefer inom informationssäkerhet) förväntar sig att prioritera förbättrad cybermedvetenhet hos anställda under de kommande två åren. Kommer allt detta att visa sig vara fruktlöst?
En talesperson för företaget berättade för Techopedia att även om utbildning är avgörande för att öka medvetenheten, “är det bara en början. Att förändra det pågående säkerhetsbeteendet och säkerhetskulturen är nyckeln till att sänka risken.”
Men hur får man in cybermedvetenhet i folks huvuden – och behåller den där?
Problemet med utbildning i medvetenhet om cybersäkerhet
Svaret för många organisationer är att samla människor i styrelserum, visa dem skrämmande PowerPoints och lämna dem med en checklista som de ska ha vid sina arbetsstationer. Med tanke på hur sofistikerade, föränderliga och ihållande moderna attacker är – och hur ogripbar den mänskliga naturen är – räcker det inte med traditionella utbildningsformat för företag.
Devin Ertel, CISO på Menlo Security, säger:
“Hotaktörer har hittat nya sätt att utnyttja anställdas apati, nyfikenhet och brist på säkerhetsmedvetenhet för att kringgå även de mest sofistikerade tekniska försvaren.”
Han berättade för Techopedia att “människor förblir den svagaste länken” och noterade att “över 75% av phishing-länkarna finns på betrodda webbplatser, vilket gör dem svårare att identifiera som skadliga.”
Chris Denbigh-White, Chief Security Officer på Next DLP, berättade för Techopedia att alla utbildningsprogram för cybermedvetenhet har flera hinder att övervinna. De inkluderar:
- Konkurrerande prioriteringar i arbetet
- Det faktum att cyberhot är abstrakta snarare än fysiska
- Olägenheten med säkerhetsförfaranden
- “Säkerhetströtthet” på grund av en ständig ström av säkerhetsvarningar och säkerhetsuppdateringar
Tekniskt babbel kan begränsa förståelsen
Cybersäkerhetsutbildningar bygger ofta på jargong, vilket gör att icke-tekniska medarbetare blir främmande och att utbildningen verkar irrelevant eller överväldigande, vilket hindrar förståelsen. Det finns också ett problem med “osårbarhetsfördomar”, där människor underskattar sitt värde som måltavlor eller känner sig skyddade bakom företagets brandväggar – en “det kommer inte att hända mig”-mentalitet.
Problemet ligger ofta hos säkerhetsteamet. Säkerhetsteamen leder ofta säkerhetsutbildningsinsatserna, men de personer som leder dessa program är ofta mycket tekniska. Därför bör företagen fundera över hur man kan göra säkerhetsutbildningen enkel för människor, på deras villkor.
Lance Spitzner från SANS Security Awareness säger att de flesta program för säkerhetsmedvetenhet misslyckas eftersom “de inte stämmer överens med hur människor tänker eller arbetar”. Säkerhetsteam kan också vara dåligt utrustade för en utbildningsroll.
“Säkerhetsteam har mycket erfarenhet av att arbeta med datorer, men väldigt lite erfarenhet av hur man engagerar, motiverar och utbildar människor eller gör säkerhet enkelt. Vad de behöver är en ny uppsättning utbildningskunskaper som fungerar med den mänskliga naturen, inte mot den.”
Experttips om hur man förankrar cybermedvetenhet
Experter säger att ett framgångsrikt utbildningsprogram för cybermedvetenhet kräver resurser, tid och ett sofistikerat tillvägagångssätt. Det här är de viktigaste framgångsfaktorerna att ta hänsyn till:
1. Ge ut rätt budskap
“Säkerhetsmedvetenhet liknar alla andra organisatoriska marknadsföringskampanjer”, säger MetaCompliance’s Robert O’Brien. “Nyckeln är att människor ser konsekventa och relevanta budskap, inte bara i form av utbildning utan överallt där de tittar.
2. Engagera och förstärk
Chris Denbigh-White från NextDLP föreslår att CSO:er (chefer över organisationens säkerhet) utvecklar utbildning som är “interaktiv och relaterbar, med betoning på varför bakom säkerhetspraxis, inte bara hur. Att lägga till program för erkännande och belöning kommer att uppmuntra anställda att anta starkare cybersäkerhetsrutiner.”
3. Organisera säkerhetsteam för utbildning
“De mest effektiva programmen för ökad medvetenhet har personer i säkerhetsteamet som är dedikerade till att hjälpa anställda att skydda sig”, säger Lance Spitzner på SANS. “Dessa personer har de färdigheter som krävs för effektiv kommunikation, utbildning och i slutändan beteendeförändring. Ett moget medvetenhetsprogram är en kontinuerlig insats under hela året som aktivt motiverar, engagerar och utbildar arbetskraften.”
4. Anpassa med mikroutbildning
Mika Aalto, medgrundare och VD för Hoxhunt, berättade för Techopedia att angripare riktar in sig på människors beteende, så utbildning i medvetenhet bör också ha en beteendeinriktad strategi. “Du kan anpassa med mikroutbildningar som är relevanta för användarens bakgrund och kompetensnivå”, säger Aalto.
“Utbildare bör också sträva efter att göra det roligt”, tillägger han. “Utbildning i nätfiske lämpar sig utmärkt för spelifiering. Du kan integrera hotrapportering i organisationens struktur genom att uppmärksamma och belöna människor med priser för att de upptäcker en riktig attack.”
5. Glöm engångssessioner
Tyler Farrar, CISO på Exabeam, berättade för Techopedia att ett framgångsrikt utbildningsprogram för medvetenhet om cybersäkerhet 2024 måste vara “uppslukande, anpassningsbart och kontinuerligt, och integrera regelbundna phishing-simuleringar, personliga utbildningsmoduler och interaktivt innehåll som spelifierade övningar och VR/AR-upplevelser. Dessa element säkerställer att medarbetarna är engagerade och kan relatera till verkliga scenarier, vilket förbättrar deras förmåga att känna igen och reagera på hot.”
6. Involvera chefer
Stephen Kowski, Field CTO på SlashNext Email Security, säger till Techopedia att det behövs ett stöd från ledningen för att “odla en säkerhetsmedveten kultur, leverera engagerande, rollbaserade moduler i olika format och betona högriskbeteenden som nätfiske”.
Kasperskys David Emm håller med och säger: “Det måste finnas ett verkligt köp från styrelsen för att undvika risken för att personal och mellanledning prioriterar produktivitet framför säkerhet.”
Robert O’Brien från MetaCompliance tillägger att “aktivt deltagande av ledande befattningshavare är viktigt för att ständigt ge röst åt vikten av säkerhetsmedvetenhet.”
7. Skapa rätt innehåll
En talesperson för Proofpoint sa till Techopedia att “det är viktigt att se till att utbildningsinnehållet är engagerande, relevant och smältbart för att hålla medarbetarna intresserade. Tillhandahåll en mängd olika förbrukningsbara material som förstärker vikten av cybersäkerhet och vägleder medarbetarna mot rätt beteende.
“Användarna är inte säkerhetsexperter och har inget intresse av att bli det, så överväg att presentera cybersäkerhetsprocessen som en berättelse eller en resa, med exempel från verkligheten för att stödja kunskapen och skapa förståelse för de potentiella konsekvenserna.”
Framgångsrik utbildning i cybermedvetenhet: Enkel mall i 7 steg
Krishna Vishnubhotla, Vice President of Product Strategy på Zimperium, delade med sig av sin 7-punktsplan för att bygga upp en framgångsrik, “enkel, praktisk och kontinuerlig” utbildning:
Gör det praktiskt
Använd interaktiva sessioner med verkliga scenarier för att hålla medarbetarna engagerade och göra inlärningen praktisk.Uppdatera ofta
Uppdatera medarbetarna regelbundet om nya hot och säkerhetsrutiner för att hålla dem informerade.Betona mobila enheter
Lyft fram vikten av mobil säkerhet. Lär medarbetarna om riskerna med att använda okontrollerade appar och betona behovet av kontinuerlig övervakning, skydd och hotmodellering för mobila enheter.
Gör innehållet rollspecifikt
Anpassa utbildningen för olika roller inom företaget för att hantera specifika risker som varje roll kan ställas inför.
Gör regelbundna utvärderingar
Utvärdera kontinuerligt hur effektiv utbildningen är och ge feedback till medarbetarna så att de kan förbättra sina rutiner.
Integrera i de dagliga rutinerna
Gör cybersäkerhet till en del av den dagliga rutinen genom att införliva rutiner i företagskulturen.
Involvera ledare
Se till att styrelsen och ledningen deltar i och stöder utbildningsprogrammet för att visa hur viktigt det är och uppmuntra ett säkerhetstänkande.
Slutsatsen om hur man utbildar inom cybersäkerhet
Vishnubhotla oroar sig för att insiderhoten bara kommer att bli mer komplexa i år på grund av ökat distansarbete och den utbredda användningen av personliga enheter för affärsuppgifter. Han säger så här:
“Företagen måste ge sina anställda möjlighet att vara den första försvarslinjen genom att främja en kultur av säkerhetsmedvetenhet och etiskt beteende. Regelbunden utbildning och medvetenhetsprogram är avgörande för att förse dem med kunskap och färdigheter för att identifiera och rapportera potentiella hot.”
Vanliga frågor om cybersäkerhetsutbildning
Vad är utbildning i cybermedvetenhet?
Hur utbildar jag mina anställda i cybersäkerhet?
Hur ofta behöver du utbilda anställda i cybersäkerhetsmedvetenhet?
Hur lång tid tar utbildning i cybermedvetenhet?
Kan jag få ett cybersäkerhetscertifikat gratis?
Referenser
- Ponemon Cost of Insider Risks Global Report – DTEX Systems Inc (Dtexsystems)
- The Danger from Within (Hbr)
- 2023 Data Exposure Report – Code42 (Code42)
- Voice of the CISO Report: Insights & Trends | Proofpoint US (Proofpoint)