Et uovervejet klik på et link eller et dokument i en tilsyneladende uskyldig email kan få skæbnesvangre konsekvenser for en organisation. Ifølge Peter Kruse, der er ekspert i cybersikkerhed, udgør ransomware nemlig stadig den største trussel for både små og store virksomheder. Men mindre trusler kan stadig have betydelige negative konsekvenser for organisationer uanset størrelse.
I mange organisationer består cybersikkerheden i et svært gennemskueligt kludetæppe af forskellige systemer og applikationer. Junglen af sikkerhedsforanstaltninger gør det svært for de IT-ansvarlige at bevare overblikket over nødvendige opdateringer eller svage punkter i sikkerheden.
Alvoren af det manglende overblik over IT-sikkerheden forstærkes af, at en IBM-analyse viser, at ca. 95 % af alle cybersikkerhedsbrud og vellykkede hackingangreb skyldes menneskelige fejl. Af Verizons seneste rapport, som undersøger databrud, fremgår det, at de fleste angreb enten var social engineering, phishing eller Distributed Denial of Service-angreb (DDoS-angreb), og 61 % af bruddene lykkedes ved hjælp af en medarbejders stjålne legitimationsoplysninger.
Sikre vaner i hverdagen
Når menneskelige fejl er skyld i så godt som alle brud på cybersikkerheden, bør alle organisationer sørge for at ruste alle medarbejdere til at gardere sig mod fælder. Sarah Aalborg er CISO hos Tivoli og har lavet et nyhedsbrev om, hvordan organisationer kan styrke deres svageste led i sikkerheden – medarbejderne.
Sarah Aalborg refererer til adfærdspsykologien, som opdeler menneskelig risikoadfærd i to grupper:
”Der er de risici, der skyldes, at folk gør noget, de ikke burde gøre” og så ”de risici, der skyldes, at folk ikke gør noget, de burde gøre”,” refererer Sarah Aalborg fra en podcast, hun har hørt.
Hun mener, at principperne fra adfærdspsykologien med fordel kan bruges til at øge cybersikkerheden i store som små organisationer. Ud fra dem har Sarah Aalborg følgende råd, som kan hjælpe medarbejdere til at handle mere sikkert:
- Gør det nemt, at gøre det rigtige
- Gør det personligt
- Gør det på det rigtige tidspunkt
- Giv dem redskaber til at handle
- Giv feedback, så de ved, de er på rette vej
- Giv dem en gruppe at høre til
- Gør det for dem
Test og styrk email-kuturen
Der er flere redskaber, som kan styrke medarbejdernes cyberadfærd. Det kan fx være jævnlige påmindelser til og test af medarbejderne. Påmindelsen kan fx være en kvartals-email målrettet de forskellige typer af medarbejdere med en video, der fortæller, hvordan medarbejderen mindsker risikoen for brud på IT-sikkerheden, og giver eksempler på, hvordan medarbejderen skal reagere i tilfælde af en given sikkerhedshændelse. Emailen kan også indeholde link til en digital test, som medarbejderen skal gennemføre.
Derudover kan ledelsen overveje at teste medarbejdernes modstandskraft over for phishing og lignende forsøg fra hackere på at lokke vigtig information ud af medarbejdere ved at sætte ’fælder’ i form af phishing-lignende emails, der skal lokke medarbejderne til enten at give information eller klikke på et link. Det, at selv garvede folk i IT-branchen af og til falder i fælden og klikker på et tilsyneladende uskyldigt link eller vedhæftet dokument i en email, viser behovet for at udsende disse test-emails.
KOMBIT har sammen med en række organisationer og myndigheder lavet et kodeks for, hvordan man tester it-sikkerheden, uden at pege fingre ad medarbejdere, som falder i test-fælden.
Kodekset indeholder 6 principper for sikkerhedstest:
- Vær enige om mål og midler
- Test organisationen, ikke medarbejderen
- Indhold og brug af case-materiale
- Giv dig til kende i tilfælde af konflikter
- Videregiv viden om kriminelle handlinger
- Sørg for ansvarlig datahåndtering
Hvis medarbejdere føler sig udstillet eller krænket, hvis de fejler i testen, kan testene have den modsatte effekt end den ønskede – nemlig at medarbejdere ikke tør fortælle, hvis de har begået en fejl.
Stærke adgangskoder skal være almindeligt
Ifølge en rapport fra Ponemon Institute og Keeper Security fra 2018 har 68% af små og mellemstore virksomheder verden over oplevet at miste eller få stjålet ansattes adgangskoder. Året efter sagde 68% af de adspurgte SMV’er, at ansatte, der bruger svage adgangskoder, var en af de største årsager til hackingproblemer.
Desværre kræver færre end halvdelen af de adspurgte SMV’er, at medarbejderne bruger stærke eller unikke adgangskoder, og kun 38% af de adspugte SMV’er forhindrer medarbejdere i at bruge den samme adgangskode på alle interne systemer. Det står i kontrast til, at 68% af virksomhederne er udfordret af, at medarbejdere bruger svage adgangskoder.
Udover problemer med medarbejderes svage eller gentagne adgangskoder, bruger mange også den samme kode i længere tid. Gamle adgangskoder gør også organisationen mere sårbar over for cyberangreb.
Tofaktor-godkendelse skal være standard
Verizons rapport for 2021 om datasikkerhed viste, at legitimationsoplysninger stadig er en af de mest eftertragtede datatyper, efterfulgt af personlige data som cpr-numre, navne og adresser. Dette viser vigtigheden af, at brugere beskytter deres egne data og forretningsdata, når de bruger digitale aktiver. Alligevel kræver kun 47% af de adspurgte SME’s i Ponemon Institutes rapport fra 2019 tofaktor-godkendelse (2FA).
En stor del af danske organisationer kan med andre ord øge sikkerheden ved at bruge nogle adfærdspsykologiske greb og ved at håndhæve klare regler for håndtering af emails og login-informationer.