Varför den globala säkerhetskulturen stagnerar trots ökade cyberattacker: Expertanalys

Varför oss?

Studier visar att åtta av tio cyberattacker börjar med nätfiskeattacker och mänskliga misstag, och eftersom incidenter sker allt snabbare och får allt större konsekvenser har säkerhetskulturer aldrig varit viktigare.

En ny rapport från KnowBe4 visar dock att de globala nivåerna för säkerhetskulturer har stagnerat på låga till måttliga nivåer.

Även om organisationer inser att anställda är ett viktigt försvar mot cyberattacker, kämpar sektorer som myndigheter, tillverkningsindustrin och utbildningssektorn med att upprätthålla adekvata standarder.

Techopedia satte sig ner med KnowBe4 – världens största plattform och företag för utbildning i säkerhetsmedvetenhet och simulerad nätfiskeattacker – och inhämtade åsikter från andra experter inom området för att utforska det globala tillståndet för säkerhetskulturen.

Viktiga slutsatser om den nuvarande globala säkerhetskulturen

  • Den globala säkerhetskulturen är svag trots ökande cyberattacker, och den mänskliga faktorn är en viktig orsak till intrång.
  • Traditionella säkerhetslösningar och utbildningar är ineffektiva. För att bygga en stark säkerhetskultur krävs kontinuerlig utbildning, tydlig kommunikation och stöd från ledningen.
  • Framtidens cyberattacker involverar AI, vilket kräver att organisationer utnyttjar AI för försvar samtidigt som de stärker grundläggande säkerhetsrutiner.
  • Organisationer måste gå bortom lösenord och implementera multifaktorautentisering för bättre skydd.

Nyckelresultat: Säkerhetskulturens tillstånd 2024

Rapporten 2024 Security Culture som släpptes av KnowBe4 visade att Europa, Nordamerika och Asien leder inom säkerhetskultur med en poäng på 73 av 100, medan Afrika, Oceanien och Sydamerika följer tätt efter.

KnowBe4 definierar ”säkerhetskultur” som de idéer, seder och sociala beteenden som påverkar en organisations säkerhet och minskar mänskliga risker. Enligt denna definition presterar mindre organisationer bättre i sin övergripande säkerhetskultur jämfört med större motsvarigheter, främst på grund av den komplexitet som finns i stora verksamheter.

Rapporten analyserar attityder, beteende, förståelse, kommunikation, efterlevnad, normer och ansvar och visar att de branscher som presterar bäst är försäkringar, finansiella tjänster och bankverksamhet – sektorer som har utsatts för cyberattacker i årtionden.

Däremot kämpar myndigheter, tillverkningsindustrin och utbildningssektorn med sina säkerhetskulturer trots att de i allt högre grad utsätts för cyberbrottslingar.

Teknikcentrerade metoder misslyckas med att bygga starka säkerhetskulturer

Joanna Huisman, SVP of Strategic Insights & Research på KnowBe4, berättade för Techopedia att det inte är rätt väg framåt att närma sig säkerhetskulturen som en teknikstrategi.

”Teknikcentrerade strategier har visat sig otillräckliga på egen hand eftersom cyberbrottslingar skickligt kringgår traditionella försvar och flyttar sitt fokus till att utnyttja mänskliga sårbarheter, vilket ofta är den väg som ger minst motstånd.

”Många organisationer lyckas inte fullt ut integrera säkerhet som ett universellt ansvar, vilket gör att medarbetarnas beteenden inte överensstämmer med bästa säkerhetspraxis”, säger Huisman.

”Även om det är enkelt att förespråka en robust säkerhetskultur, krävs det fokus på det engagemang och de ansträngningar som krävs för att främja och upprätthålla denna miljö.

”Traditionella utbildningsmetoder räcker inte till, eftersom årliga program som enbart fokuserar på efterlevnad snarare än holistisk säkerhetsmedvetenhet gör organisationer sårbara. Effektiv utbildning kräver en kontinuerlig och heltäckande strategi för att verkligen stärka organisationens mänskliga försvarsskikt.”

Fördelarna med en mer öppen och inkluderande säkerhetskultur

Phil George, VD för Mentorcliq – en moln- och mobilbaserad mjukvaruutvecklare för mentorskap för anställda – berättade för Techopedia att säkerhetskulturerna håller på att förändras mot mer öppna och medvetna koncept.

”Min erfarenhet av att arbeta med så många olika företag och sätta mig in i deras unika kultur visar att det har skett en märkbar förändring när det gäller medvetenhet och bästa praxis kring cybersäkerhet”, säger Phil George.

”Denna mer inkluderande och medvetna kulturförändring när det gäller cybersäkerhet är välkommen. För att ett företag ska vara säkert måste alla anställda förstå sin roll när det gäller att upprätthålla cybersäkerheten.”

George förklarade att sedan internet skapades har företag vanligtvis förlitat sig på Chief Information Officers (CIO:er) och IT-team för att utforma och upprätthålla cybersäkerhet.

”Samförståndet har förändrats och utvidgats till att omfatta alla inom organisationer. En öppnare och mer medveten kultur är precis vad företagen behöver för att överleva och frodas trots dagens cybersäkerhetshot.”

Faktorer som stärker säkerhetskulturen: Medvetenhet, angrepp, budgetar och AI

Som Fred Kwong, Chief Information Security Officer på DeVry University, berättade för Techopedia, påverkas tillståndet för den globala cybersäkerhetskulturen av ett brett spektrum av faktorer.

”Det nuvarande cybersäkerhetslandskapet är hyperfokuserat på medvetenhet, riskfaktorer, den ökande frekvensen av attacker, ekonomisk instabilitet och vad som är möjligt härnäst för hotaktörer med ökningen av nästan obegränsade plattformar för artificiell intelligens som ChatGPT.”

KnowBe4-rapporten drog slutsatsen att av alla nya tekniker kommer AI förmodligen att ha några av de mest djupgående cybersäkerhetseffekterna på organisationer och individer.

Kwong framhöll att 95% av intrången är ekonomiskt motiverade, enligt rapporten 2023 Verizon Data Breach Investigations.

”Trots ökat ansvarstagande och investeringar för att motverka attacker känner sig många ledare inom organisationer inte säkra på att deras nuvarande system och processer är effektiva när det gäller att skydda enskilda medarbetare, data och verksamheter.”

Kwong tillägger att även om CISCO Security Outcomes Report Volume 3 visar att 96% av cheferna anser att motståndskraft mot säkerhetsrisker är mycket viktigt för deras företag, så har två tredjedelar av respondenterna rapporterat att de drabbats av större säkerhetsincidenter som äventyrat affärsverksamheten.

”Som rapporten också påpekar finns det en bro mellan risk och motståndskraft. Enligt CISCOs rapport ser organisationer som främjar ”en säkerhetskultur” en 46-procentig ökning av motståndskraften.”

Därför misslyckas företag trots investeringar

IBM X-Force Threat Intelligence Index 2024 avslöjade ett skifte i cyberkriminellas taktik. Fillösa attacker (stulna inloggningsuppgifter, ingen skadlig kod) ökar med 71%, medan infostealers ökar med 266%.

Ändå kvarstår frågan. Varför lyckas företag som investerar kraftigt i kampanjer för säkerhetsmedvetenhet inte stoppa dessa attacker? Vilken ytterligare teknik kan användas för att förbättra medvetenheten och säkerhetskulturen?

Huisman från KnowBe4 berättade för Techopedia att organisationer måste implementera en tydlig struktur för att förbättra tydligheten och effekten av kulturell omvandling.

”Det finns sju grundläggande steg i den kontinuerliga förbättringscykeln, som du bör följa för att starta din omvandling av säkerhetskulturen.”

De sju grundläggande principerna i KnowBe4 inkluderar:

  1. Välj 2-3 beteenden som du skulle vilja förändra.
  2. Utforma en plan för att påverka beteenden på en organisatorisk
  3. skala.
  4. Få ledarskapets stöd.
  5. Kommunicera.
  6. Verkställ planen.
  7. Mät resultaten.
  8. Bestäm strategin för att gå vidare.

När det gäller teknik talade Huisman om vikten av plattformar för säkerhetsmedvetenhet och simulerad nätfiske som är utformade för att förbättra den löpande utbildningen och stärka den mänskliga vaksamheten mot cyberhot.

Dessa plattformar bör innehålla en omfattande uppsättning utbildningar i medvetenhet och efterlevnad, användarcoachning i realtid, AI-driven simulerad social ingenjörskonst och crowdsourcat försvarar mot nätfiske.

Utvärdering och AI inom säkerhetskultur

George på Mentorcliq tillade att utvärderingar också är avgörande för att bygga upp och upprätthålla säkerhetskulturer.

”Det främsta konceptet som jag har sett företag implementera för att bygga en stark cybersäkerhetskultur är att inkludera bästa praxis för cybersäkerhet i utvärderingarna”, säger George. ”Jag tycker att det är en genialisk idé eftersom det motiverar medarbetarna att vara cybermedvetna och upprätthålla sin roll i företagets cybersäkerhet.

”AI är utmärkt för att automatisera och förbättra mer repetitiva och nominella aspekter av cybersäkerhet. Ett område där AI kommer att utmärka sig, och redan gör det, är dock hotdetektering. Jag förväntar mig att AI kommer att ta över den här delen av cybersäkerheten inom en snar framtid.”

Huisman från KnowBe4 talade också om AI och hur det kommer att förändra säkerhetskulturen.

”AI-drivna attacker kan automatisera upptäckten av kryphål och svaga punkter i säkerhetssystem, inklusive att hitta nätverk som är sårbara för intrång”, sa Huisman.

”Användningen av AI kan påskynda attackprocessen, skala upp antalet mål och öka sannolikheten för framgångsrika intrång.

”Det handlar inte bara om mängden attacker utan också om deras kvalitet; AI kan möjliggöra mer komplexa, smygande och ihållande cyberhot. I takt med att AI-drivna cyberattacker blir alltmer sofistikerade blir det nödvändigt att även programmen för säkerhetsmedvetenhet utvecklas.”

Organisationer bör vara vaksamma, hålla sig informerade om dessa nya hot och kontinuerligt anpassa sina cybersäkerhetsstrategier för att minska de risker som denna kraftfulla teknik medför.

6 strategier för att bygga en säkerhetskultur som tar hänsyn till AI

Kwong från DeVry University säger att det finns sex strategier som organisationer som vill bygga upp en effektiv cybersäkerhetskultur måste ta hänsyn till. De är som följer:

  • Börja från toppen: Den viktigaste aspekten av säkerhetskulturen är att högsta ledningen anger tonen för resten av organisationen. Medarbetarna måste förstå att de alla har en roll i att minska riskerna och upprätthålla organisationens säkerhetsmässiga motståndskraft.
  • Förankra säkerhet i hela organisationen: När säkerheten utgör grunden för alla processer, kontroller och avvägningar säkerställs att alla inblandade tänker på säkerheten under hela projektets livscykel. Dessutom är det mer sannolikt att chefer och anställda ser säkerhetsprotokoll som ett viktigt steg i det de gör, vilket bidrar till en effektiv cybersäkerhetskultur i hela organisationen.
  • Tillämpa säkerhetshygien: En stark säkerhetskultur kräver att alla i organisationen konsekvent följer bästa praxis. Regelbunden rapportering av nätfiskeförsök är en bra indikator på hur väl medarbetarna implementerar säkerhetsåtgärder.
  • Kör övningar på plats: Så kallade “Tabletop”-övningar fungerar som övningar för cyberattacker och hjälper organisationer att hitta sårbarheter i sina svarsplaner och medarbetarnas kunskap. Genom att simulera verkliga scenarier förbättrar dessa övningar kommunikationen, identifierar kunskapsluckor och utbildar medarbetarna i hur de ska hantera en cyberincident.
  • Ändra taktiken för säkerhetskommunikation: Effektiv kommunikation är nyckeln till att bygga en varaktig säkerhetskultur. Att bara upprepa samma budskap är dock improduktivt. Det bästa tillvägagångssättet är att förmedla medvetenhet om cybersäkerhet genom en mängd olika engagerande kanaler i hela organisationen.
  • Belöna medarbetarnas goda uppförande: Genom att uppmärksamma medarbetare som rapporterar nätfiskeförsök och erbjuda dem ytterligare utbildning efter att ha fallit för ett försök, kan man bygga upp en positiv säkerhetskultur. Detta förstärker vikten av individuellt ansvar och kontinuerligt lärande.

”Artificiell intelligens är redo att i grunden förändra cybersäkerheten under de kommande åren”, säger Kwong. ”AI kommer dock inte bara att användas för försvar – det kommer också att utnyttjas av hackare och cyberbrottslingar för att lansera alltmer sofistikerade attacker.

”Enligt Gartners 4 Ways Generative AI Will Impact CISOs and Their Teams kommer attacker som utnyttjar generativ AI fram till 2025 att tvinga säkerhetsmedvetna organisationer att sänka trösklarna för att upptäcka misstänkt aktivitet, vilket genererar fler falska varningar och därmed kräver mer – inte mindre – mänsklig respons”, tillade Kwong.

3 viktiga områden att fokusera på för att förbereda sig för AI

Kwong säger att organisationer som vill förbereda sig för AI bör fokusera på tre nyckelområden. För det första: implementera AI och maskininlärning i säkerhetslösningarna. Lösningar som analys av användarbeteenden, automatiserad incidenthantering och AI-baserad upptäckt av skadlig kod kommer att bli viktiga.

För det andra, se till att grunderna är rätt. ”Kräv multifaktorautentisering (MFA), tillhandahåll regelbunden cybersäkerhetsutbildning, kryptera data och patcha snabbt. Starka grundprinciper hjälper till att förhindra att många attacker lyckas”, säger Kwong.Slutligen, planera för att så småningom gå bortom lösenord. I takt med att hackningsverktygen blir allt mer sofistikerade räcker det inte med enbart lösenord.

Slutsatsen om ökade cyberattacker och dess bemötande

Trots en ökning av cyberattacker är den globala säkerhetskulturen fortfarande stagnerande. Studier visar att mänskliga misstag är en nyckelfaktor vid intrång, men organisationerna misslyckas med att effektivt utbilda och stärka medarbetarna.

Traditionella säkerhetsåtgärder och medvetandehöjande utbildningar är otillräckliga. En stark säkerhetskultur kräver en mångfacetterad strategi med stöd från ledningen, kontinuerlig utbildning och tydlig kommunikation.

Framtidens cybersäkerhet kommer att involvera AI på båda sidor av attacklandskapet. Organisationer måste anpassa sina strategier till dessa föränderliga hot genom att utnyttja AI för försvar samtidigt som de prioriterar starka grundläggande säkerhetsmetoder.

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Senior teknikjournalist

Ray är en journalist med över 15 års erfarenhet som för närvarande arbetar som teknikreporter för Techopedia och TechRepublic. Hans arbeten har publicerats av bland annat Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis och The Nature Conservancy.