Hvordan lykkes med oppl?ring i cybersbevissthet i 2024: Ekspertenes r?d

Vi har alle v?rt der – tvunget av HR til ? sitte gjennom enda et klasseromsforedrag fylt med dystre advarsler om skadelig programvare. Sannheten er at de fleste oppl?ringsprogrammer om cybersikkerhet bommer p? m?let, slik at de ansatte blir underutdannet og organisasjonene s?rbare for angrep.

Det er en kjensgjerning at ansatte kan v?re hardnakket uvitende om cyberrisiko, men de 45-minutters lange videoene og avkrysningsskjemaene som dominerer sikkerhetsoppl?ringen, ser ut til ? v?re designet for ? f? akkurat disse til ? miste mot og engasjementet.

Selv de beste antivirusprogram og verkt?y for fjerning av skadelig programvare vil ikke redde deg fra innsidetrusler. – S? hvordan kan organisasjoner bygge opp et program som integrerer cyberbevissthet i den daglige bedriftskulturen?

Her er hvordan du kan lykkes der s? mange mislykkes.

Innholdsfortegnelse Innholdsfortegnelse

1. N?kkelpunkter
2. "Alle som liker cyberoppl?ring, rekk opp h?nden"
3. Innsidetrusselen i 2024
4. AI forsterker trusselen
   1. Den menneskelige faktoren
5. Hva skal man gj?re?
6. Problemet med oppl?ring i cybersikkerhet
   1. Tekniske begrepet kan gj?re det vanskeligere ? forst?
7. Ekspertenes tips til hvordan man bygger inn cyberbevissthet
   1. 1. F? frem det rette budskapet
   2. 2. Engasjer og forsterk
   3. 3. Organiser sikkerhetsteam for oppl?ring
   4. 4. Tilpass med mikrotrening
   5. 5. Glem engangs?kter
   6. 6. Involver ledelsen
   7. 7. Lag riktig innhold
8. Konklusjon
9. Ofte stilte sp?rsm?l
10. Referanser

Se hele listen

Innholdsfortegnelse

1. N?kkelpunkter
2. "Alle som liker cyberoppl?ring, rekk opp h?nden"
3. Innsidetrusselen i 2024
Se hele listen
4. AI forsterker trusselen
   1. Den menneskelige faktoren
5. Hva skal man gj?re?
6. Problemet med oppl?ring i cybersikkerhet
   1. Tekniske begrepet kan gj?re det vanskeligere ? forst?
7. Ekspertenes tips til hvordan man bygger inn cyberbevissthet
   1. 1. F? frem det rette budskapet
   2. 2. Engasjer og forsterk
   3. 3. Organiser sikkerhetsteam for oppl?ring
   4. 4. Tilpass med mikrotrening
   5. 5. Glem engangs?kter
   6. 6. Involver ledelsen
   7. 7. Lag riktig innhold
8. Konklusjon
9. Ofte stilte sp?rsm?l
10. Referanser

“Alle som liker cyberoppl?ring, rekk opp h?nden”

Med stadig flere phishing-angrep er det stadig mer popul?rt med programmer som er ment ? mobilisere de ansatte og gj?re dem til organisasjonens cyber?yne og -?rer.

De ansatte jobber ofte i utkanten av nettverket, der sikkerheten er mest s?rbar. Det er bare fornuftig ? holde dem informert om et trussellandskap i stadig endring og om hvordan man kan identifisere fors?k p? sikkerhetsbrudd n?r de oppst?r.

Likevel mislykkes mange cybersikkerhetsprogrammer fra starten av, ettersom ineffektive l?ringsmetoder og utdatert innhold s?rger for at brukerne faller av. Til tross for tiden og innsatsen som legges ned av alle involverte, er ikke organisasjonen noe tryggere.

Tiln?rmingen, strukturen og innholdet i oppl?ringsprogrammene for cyberbevissthet m? v?re utformet slik at de skj?rer gjennom st?yen og distraksjonene i kontorhverdagen. ? erkjenne denne virkeligheten og endre kurs er noe alle sikkerhetsansvarlige m? vurdere. Vi har alle fulltidsjobber ? ta oss av. Om oppl?ringen ikke klarer ? holde p? oppmerksomheten v?r, utgj?r det en betydelig trussel mot sikkerheten i bedriften.

Innsidetrusselen i 2024

Folk kan v?re den st?rste kilden til s?rbarhet. Denne trusselen kalles ofte innsidetrusselen, og den innkapsler den uunng?elige risikoen som oppst?r n?r hundrevis til tusenvis av ansatte i f?rstelinjen, ledere, veiledere, partnere og underleverand?rer har tilgang til nettverksressurser.

Cyberkriminelle bruker sofistikerte taktikker for ? lure dem til ? klikke p? usikre lenker eller laste ned infiserte filer og vedlegg. – Det fungerer suverent.

Ponemon Institute’s anerkjente Cost of Insider Risk Global Report viser at antallet organisasjoner som rammes av innsidetrusler, ?ker hvert ?r, samtidig som kostnadene for ? utbedre truslene fortsetter ? stige.

I 2022 var gjennomsnittskostnaden for et innsiderelatert angrep 15,4 millioner amerikanske dollar. I 2023 steg tallet til 16,2 millioner dollar.

AI forsterker trusselen

David Emm, Principal Security Researcher hos Kasperskys Global Research and Analysis Team, sier til Techopedia at noe av skylden kan legges p? AI.

Cyberkriminelle har begynt ? bruke maskinl?ring “for ? etterligne p?litelig atferd og automatisere angrep, noe som gj?r det vanskeligere ? oppdage ondsinnede aktiviteter”.

Robert O’Brien, Chief Evangelist hos MetaCompliance, er enig. Han sa til Techopedia at hackere “egentlig fikk en magisk lampe da ChatGPT dukket opp.”

De har tatt i bruk og innovert AI som en del av svindelen sin mye smidigere og raskere enn b?de myndighetene og bransjen hadde forventet. sier O’Brien:

“Sett fra et innsidetrusselperspektiv utvider AI-verkt?y trussellandskapet for de fleste organisasjoner – spesielt hvis innf?ringen av AI-verkt?y ikke er tett koordinert.”

Tyler Farrar, CISO i Exabeam, sier at AI “kan produsere sv?rt overbevisende og overtalende meldinger, noe som gj?r det ekstremt vanskelig for brukerne ? se om de er falske eller ikke, og dermed ?ker suksessraten.”

Den menneskelige faktoren

Kasperskys Emm holder stadig frem at bevisste innsidertrusler, der betrodde ansatte med vilje for?rsaker skade, fortsatt er den st?rste utfordringen. Emm p?peker dette:

“Dette er vanskeligere for bedrifter ? kontrollere p? grunn av tillitsbruddet mellom bedriften og den ansatte. Ved ? etablere tilgangskontroll og begrense handlingsrommet til de som trenger det, kan man redusere denne risikoen. De ansattes apati og manglende bevissthet forverrer disse problemene ytterligere, noe som krever en proaktiv og tilpasningsdyktig tiln?rming til sikkerhet.”

Bekymringsfullt, men problemet er ikke nytt.

Det har v?rt stor bevissthet rundt innsidetrusselen siden i hvert fall 2014, da en Harvard-studie anslo at amerikanske selskaper opplevde 80 millioner dataangrep som involverte ansatte eller underleverand?rer hvert ?r – et tall som n? antas ? v?re i den lave enden, siden s? mange sikkerhetsbrudd ikke ble rapportert.

Hva skal man gj?re?

? bruke kunstig intelligens til ? gjennomf?re angrep i stor skala er en ny vri, men mer etablerte hackingteknikker er fortsatt den mest effektive m?ten ? lure ansatte p?.

“Cyberangripere fortsetter ? bruke sosial manipulering som sin prim?re m?te ? hacke mennesker p?”, sier Lance Spitzner, Techical Director ved SANS Security Awareness.

Han forteller til Techopedia at tradisjonell phishing via e-post fortsatt er popul?rt, og det samme gjelder telefonsamtaler (“Vishing”) og meldingsangrep (“Smishing”).

“Selv om den overordnede strategien er den samme, har nettangriperne blitt langt mer avanserte. Stavefeilene er borte. I stedet skreddersyr angriperne angrepene til ofrene ved ? bruke firmalogoer, referanser til nylige hendelser og sterkere emosjonelle triggere.”

Noen kombinerer til og med ulike elementer som e-post og telefonsamtaler, tekstmeldinger og QR-koder.

De gamle hackene fungerer, nye tiln?rminger utvikles, og selskaper tar grep. En studie fra 2023 utf?rt av Code42 viste at 72% av organisasjonene brukte tid og budsjett p? oppl?ringsprogrammer for cyberbevissthet og sikkerhet, men 71% trodde likevel at innsiderelaterte brudd ville ?ke i l?pet av de neste 12 m?nedene.

I ?r sier Proofpoint at 54% av CISO-er forventer ? prioritere ?kt cyberbevissthet blant de ansatte i l?pet av de neste to ?rene. Vil det hele vise seg ? v?re fruktl?st?

En talsperson for selskapet sier til Techopedia at selv om oppl?ring er viktig for ? ?ke bevisstheten, “er det bare en start. N?kkelen til ? redusere risikoen ligger i ? endre den p?g?ende sikkerhetsatferden og -kulturen.”

Men hvordan f?r du cyberbevissthet inn i hodene p? folk – og hvordan holder du det der?

Problemet med oppl?ring i cybersikkerhet

Svaret for mange organisasjoner er ? samle folk i styrerommene, vise dem skumle PowerPoints og gi dem en sjekkliste som de kan oppbevare ved arbeidsstasjonene sine. Men med tanke p? hvor sofistikerte, avanserte og vedvarende moderne angrep er – og den menneskelige naturens uh?ndgripelighet – holder det ikke med tradisjonelle oppl?ringsformater.

Devin Ertel, CISO hos Menlo Security, sier

“Trusselakt?rer har funnet nye m?ter ? utnytte ansattes apati, nysgjerrighet og manglende sikkerhetsbevissthet p? for ? omg? selv de mest sofistikerte tekniske forsvarsverkene.”

Han sier til Techopedia at “mennesker fortsatt er det svakeste leddet”, og legger til at “over 75% av phishing-lenkene ligger p? p?litelige nettsteder, noe som gj?r det vanskeligere ? identifisere dem som ondsinnede.”

Chris Denbigh-White, Chief Security Officer hos Next DLP, sier til Techopedia at ethvert oppl?ringsprogram for cyberbevissthet har flere barrierer som m? overvinnes. Blant disse er:

Tekniske begrepet kan gj?re det vanskeligere ? forst?

Oppl?ring i cybersikkerhet baserer seg ofte p? sjargong, noe som fremmedgj?r ikke-tekniske ansatte og f?r oppl?ringen til ? virke irrelevant eller overveldende, noe som hindrer forst?elsen. Det er ogs? et problem med “us?rbarhetstankegant der folk undervurderer sin egen verdi som m?l eller f?ler seg beskyttet bak selskapets brannmurer – en “det vil ikke skje meg”-mentalitet”.

Problemet ligger ofte hos sikkerhetsteamet. Sikkerhetsteamene leder ofte sikkerhetsoppl?ringen, men personene som leder disse programmene, er ofte sv?rt tekniske. Derfor b?r bedrifter vurdere hvordan de kan gj?re sikkerhetsoppl?ringen enkel for folk, p? deres premisser.

Lance Spitzner fra SANS Security Awareness sier at de fleste programmer for sikkerhetsbevissthet mislykkes fordi “de ikke er i tr?d med hvordan folk tenker eller opererer”. Sikkerhetsteamene kan ogs? v?re d?rlig rustet for en oppl?ringsrolle.

“Sikkerhetsteam har mye erfaring med ? jobbe med datamaskiner, men sv?rt lite erfaring med hvordan man engasjerer, motiverer og l?rer opp folk, eller hvordan man gj?r sikkerhet enkelt. Det de trenger, er et nytt sett med oppl?ringsferdigheter som fungerer sammen med den menneskelige natur, ikke mot den.”

Ekspertenes tips til hvordan man bygger inn cyberbevissthet

Eksperter sier at et vellykket oppl?ringsprogram for cyberbevissthet krever ressurser, tid og en sofistikert tiln?rming. Dette er de viktigste suksessfaktorene du b?r ta hensyn til:

1. F? frem det rette budskapet

“Sikkerhetsbevissthet er som enhver annen markedsf?ringskampanje i en organisasjon”, sier Robert O’Brien fra MetaCompliance. “N?kkelen er at folk ser konsistente og relevante budskap, ikke bare i form av oppl?ring, men overalt hvor de ser.

2. Engasjer og forsterk

NextDLPs Chris Denbigh-White foresl?r at CSO-er utvikler oppl?ring som er “interaktiv og relaterbar, og som legger vekt p? hvorfor sikkerhetspraksis, ikke bare hvordan. Ved ? legge til anerkjennelses- og bel?nningsprogrammer vil de ansatte f? insentiver til ? ta i bruk sterkere cybersikkerhetspraksis.”

3. Organiser sikkerhetsteam for oppl?ring

“De mest effektive bevisstgj?ringsprogrammene har folk i sikkerhetsteamet som er dedikert til ? hjelpe de ansatte med ? sikre seg”, sier Lance Spitzner fra SANS. “Disse personene vil ha de ferdighetene som trengs for effektiv kommunikasjon, oppl?ring og til slutt atferdsendring. Et velutviklet bevisstgj?ringsprogram er en kontinuerlig innsats gjennom hele ?ret som aktivt motiverer, engasjerer og l?rer opp arbeidsstyrken.”

4. Tilpass med mikrotrening

Mika Aalto, medgrunnlegger og CEO i Hoxhunt, sier til Techopedia at angriperne retter seg mot folks atferd, og at sikkerhetstrening derfor ogs? b?r ha en atferdsmessig tiln?rming. “Du kan tilpasse med mikrooppl?ring som er relevant for brukerens bakgrunn og ferdighetsniv?”, sier Aalto.

“Oppl?rerne b?r ogs? fors?ke ? gj?re det morsomt”, legger han til. “Oppl?ring i phishing egner seg ypperlig til gamification. Du kan integrere trusselsrapportering i organisasjonen ved ? gi anerkjennelse og bel?nne folk med premier n?r de fanger opp et ekte angrep.”

5. Glem engangs?kter

Tyler Farrar, CISO i Exabeam, sier til Techopedia at et vellykket oppl?ringsprogram for bevissthet rundt cybersikkerhet i 2024 m? v?re “oppslukende, adaptivt og kontinuerlig, og integrere regelmessige phishing-simuleringer, tilpassede oppl?ringsmoduler og interaktivt innhold som spillbaserte ?velser og VR/AR-opplevelser. Disse elementene sikrer at de ansatte er engasjerte og kan relatere seg til virkelige scenarier, noe som forbedrer deres evne til ? gjenkjenne og reagere p? trusler.”

6. Involver ledelsen

Stephen Kowski, Field CTO hos SlashNext Email Security, sier til Techopedia at det er n?dvendig med st?tte fra ledelsen “for ? skape en sikkerhetsbevisst kultur, levere engasjerende, rollebaserte moduler i ulike formater og legge vekt p? h?yrisikoatferd som phishing”.

David Emm fra Kaspersky er enig, og sier: “Det m? v?re reell st?tte fra styret for ? unng? risikoen for at ansatte og mellomledere prioriterer produktivitet fremfor sikkerhet.”

Robert O’Brien fra MetaCompliance legger til at “aktiv deltakelse fra toppledelsen er viktig for ? hele tiden gi uttrykk for viktigheten av sikkerhetsbevissthet.”

7. Lag riktig innhold

En talsperson for Proofpoint sier til Techopedia at “? s?rge for at oppl?ringsinnholdet er engasjerende, relevant og lettford?yelig er avgj?rende for ? holde de ansattes interesse oppe. Tilby en rekke ulike typer materiale som forsterker viktigheten av cybersikkerhet og veileder de ansatte mot riktig atferd.

“Brukerne er ikke sikkerhetseksperter og har liten interesse av ? bli det, s? vurder ? presentere cybersikkerhetsprosessen som en historie eller en reise, med eksempler fra det virkelige liv for ? underbygge kunnskap og skape forst?else for de potensielle konsekvensene.”

Konklusjon

Vishnubhotla er bekymret for at innsidetrusler bare vil bli mer komplekse i ?r p? grunn av ?kt fjernarbeid og den utbredte bruken av personlige enheter til forretningsoppgaver. Det sier han:

“Bedriftene m? gj?re de ansatte til den f?rste forsvarslinjen ved ? fremme en kultur preget av sikkerhetsbevissthet og etisk atferd. Regelmessig oppl?ring og bevisstgj?ringsprogrammer er avgj?rende for ? gi dem kunnskap og ferdigheter til ? identifisere og rapportere potensielle trusler.”

Ofte stilte sp?rsm?l