När vi under april månad frågade svenska IT-säkerhetsansvariga om deras beredskap för cybersäkerhet visade det sig att tilltron till medarbetarna var en av de faktorer som störde nattsömnen mest. Vi har gjort undersökningen i flera länder och en punkt där Sverige sticker ut från mängden är hur man ser på de anställda utifrån säkerhetsperspektivet. Nästan […]
När vi under april månad frågade svenska IT-säkerhetsansvariga om deras beredskap för cybersäkerhet visade det sig att tilltron till medarbetarna var en av de faktorer som störde nattsömnen mest.
Vi har gjort undersökningen i flera länder och en punkt där Sverige sticker ut från mängden är hur man ser på de anställda utifrån säkerhetsperspektivet. Nästan hälften, 48 procent, av deltagarna, upplevde att företagets anställda gjorde verksamheten mer sårbar för cyberattacker – och hälften av dem var mest oroade för att anställda skulle läcka data eller intellektuellt kapital.
Det är data man kan tolka på olika sätt. Å ena sidan visar det på en insikt och förståelse kring att medarbetare idag är den överlägset mest sårbara attackytan för kriminella. Förr var bilden av en hackare någon som tog sig in via svaga punkter i företagets fysiska infrastruktur. Idag är nio av tio cyberattacker istället riktade mot människor. Det är kopplat till att en modern IT-infrastruktur blivit allt bättre på att hantera cyberattacker i den traditionella bemärkelsen – överbelastningsattacker, serviceattacker och liknande.
Själva ordet attack ger associationer till storskaliga angrepp, det ligger i ordets natur. I själva verket är de mest framgångsrika angreppen idag oftast resultatet av kvalificerad och långvarig informationsinhämtning på individnivå – man kartlägger sårbara personer, med tillgång till ”rätt” material på djupet, både yrkesmässigt och privata intressen. Man skaffar information om företagets beslutsprocesser och strukturer, ända ner till semesterscheman och vilka som tillfälligt får nya roller. När attacken kommer ska den inte ens märkas.
Utifrån den kunskapen kan man som säkerhetsansvarig välja att se de anställda som hjälplösa offer, i det ständigt pågående cyberkriget, och lägga alla sina resurser på att skademinimera genom övervakning, verifieringar och tillgångsbegränsning – men det gör också att man som anställd ofta inte kan arbeta effektivt. En konsekvens av detta kan bli att medarbetare försöker hitta vägar runt åtgärderna, inte med illvilja utan bara för att kunna utföra sina jobb. Det skapar dels nya hål i säkerhetsnätet men en annan konsekvens är hur det påverkar möjligheten för säkerhetsansvariga att skapa en sund kultur av säkerhetsmedvetande. Om cybersäkerhet upplevs som ett nödvändigt ont, eller i värsta fall ett onödigt ont, och som ett hinder mot en effektiv arbetsdag blir uppiften att skydda de anställda och verksamhens data mycket svårare.
Det är inte minst aktuellt under de senaste månaderna, när 60 procent av de företag som representerades i undersökningen tvingats implementera en långtgående policy för distansarbete. Över en femtedel av de säkerhetsansvariga hade noterat ett ökat antal nätfiskeförsök, samtidigt som de mest framgångsrika nätfiskeförsöken förstås inte upptäcks förrän skadan redan är skedd.
Men det finns också en annan väg – att bygga tillit genom att investera i de anställdas trygghet. En majoritet av deltagarna i undersökningen, nästan tre fjärdedelar, tror att de kommer att få en större budget för att bygga ut och investera i säkerhetsarbetet. Då är frågan var de pengarna ska läggas. Idag är det bara 24 procent som utbildar de anställda regelbundet, och det nyckeltalet säger inte heller något om utbildningens kvalitet och relevans.
Den bästa lektionen är den som både ger ut information och skapar en aha-upplevelse. Det viktigaste är att utbildningen är flexibel, utgår från det egna företagets verklighet, är ständigt uppdaterad och anpassningsbar ända ner till individnivå. Med samma förkunskaper och research som de kriminella kan komma över. Om den faktureringsansvarige är Bayern München-supporter eller marknadschefen samlar på sällsynta Pokémonkort, är båda de privata intressena potentiella angreppsvägar, och har man den vetskapen sänks tröskeln för att lura dem att klicka på fel länk, eller öppna fel fil. Men det omvända är också sant. Men att medvetandegöra hur mycket information om sig själv man faktiskt delar öppet med omvärlden kan också öka förståelsen, och leda till nya insikter.
Effektiva, flexibla och engagerande cybersäkerhetsutbildningar som är anpassade till det enskilda företagets mål stoppar inte angreppen, och kan inte lösa problemet med anställda som hanterar känsliga data i ont uppsåt. Men de bidrar till att rusta de anställda att vara redo för utmaningen, brinna för uppdraget och möta nästa attack med skarpslipade sinnen.
Ibland är försvar bästa anfall.
Örjan Westman, regional director, Nordics, Proofpoint
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
