Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Nu har aktörer inom cybersäkerhetsbranschen fullt fokus på förberedelserna inför NIS2. Men tar vi ett steg utanför den innersta kärnan och ställer frågor om hur förberedda ledningar och branscher är – så blir svaret ”vadå NIS2?”.
Flera färska undersökningar pekar på en berättigad och utbredd oro för ransomware-attacker bland nordiska IT-chefer. Och som någon säkerhetsexpert nyligen konstaterade: ”Det finns ingen enkel patch eller punktlösning för detta, eftersom angriparna ger sig på människor och utnyttjar vår godtrohet som att exempelvis klicka på länkar med skadlig kod.”[Aktuell Säkerhet 3/4]
Den långsiktiga lösningen för att stärka cybersäkerheten är att bygga en organisatorisk säkerhetskultur som gör att säkerheten är något som angår alla. I vårt högt digitaliserade arbetsliv är det helt nödvändigt – alla användare av digitala tjänster är både en del av den potentiella sårbarheten, men på samma gång en del av lösningen. Och här kan phishingsimuleringar spela en viktig roll – om de används på rätt sätt.
Problemet är att många organisationer – i sin iver att hålla medarbetarna vaksamma – antingen överutnyttjar phishingsimuleringar, eller förlitar sig på att återkommande simuleringar räcker för att skapa medvetenhet.
Men det gör det inte.
Dels för risken för phishing-simulation-fatigue. Att mottagarna snarare blir avtrubbade än alerta, dels för att ett ensidigt fokus på medarbetares klick-frekvenser gör att många tvekar att både rapportera in misstänkta phishingmail och avstår från att prata om det. I Microsofts årliga Digital Defense Report konstateras att även om 89 procent avstod från att klicka på skadliga länkar i simulerade phishingmail så var det bara 13 procent som rapporterade att de upptäckt hotet. Det gapet är i sig ett tecken på att vi har långt kvar innan vi når fram till en säkerhetskultur byggd på tillit och öppenhet.
För det krävs nämligen att vi både agerar och pratar om cybersäkerhet för att medvetenheten skall spridas i hela organisationen. Det är inte via välformulerade riktlinjer som vi får våra medarbetare att göra säkerhet. Det är genom att vi snackar om det. Både på styrelsemöten och vid fikabordet.
Det pratas mycket om ett ”hotlandskap i ständig förändring” och för att de mänskliga brandväggarna skall fortsätta att hålla emot, krävs att vi ständigt utmanar oss för att klara att avslöja nya hot-tekniker.
Det gör vi bäst med phishingsimuleringar som ett återkommande och genomtänkt inslag i en övergripande utbildning i informationssäkerhet. Det är ett utmärkt verktyg för att rent praktiskt se till att organisationen är vaksam, men där vi också får möjlighet att lära oss av våra misstag. Ett första steg i det lärandet är att vi uppmuntrar våra medarbetare att dela med sig. Och för det krävs tillit. Inte rädsla.
