Dine medarbejdere er dit største aktiv - og den største trussel. Heldigvis, skal der ikke meget til for at skrue ned for truslen og gøre dem til den vigtigste del af virksomhedens cyberforsvar.
96 % af alle cyberangreb har en menneskelig vinkel. Det betyder, at et menneske foretager en handling, som gør at cyberangrebet kan lykkedes. Det kan være dårlig opsætning af en IT-infrastruktur, manglende opdateringer eller at klikke på en fil eller link. Sidstnævnte er den mest almene indgangvinkel og e-mails er selv i 2022 den mest normale angrebsvektor.
Faktisk viser flere statistikker, at fire ud af fem cyberangreb starter med, at nogen har klikket på et link i en mail, eller åbnet en vedhæftning som de skulle have holdt sig langt væk fra.
Grunden til at links og ondsindede e-mails stadig virker skyldes, at mange virksomheder er kommet langt med deres forsvar på den mere tekniske side, men ikke har haft fokus på deres menneskelige forsvar, nemlig medarbejdere. Måske kan de cyberkriminelle ikke hacke jeres servere, men kan de “hacke” en medarbejder ved at få dem til at klikke på et ondsindet link. Med andre ord, så kører medarbejderne stadig med software, der burde være opdateret for meget lang tid siden i mange virksomheder.
Når det kommer til risk management for virksomheder, så bliver awareness tit overset. Det er ærgerligt, for langt størstedelen af virksomheder, der skal opruste deres cyberindsats, vil den mest omkostningseffektive indsats være at fokusere på medarbejderne.
To virksomheder - hvilken virksomhed er mest sikker?
Det kan nemt blive abstrakt og tungt med statistik og teoretiske situationer, så lad os i stedet forestille os, at vi har to virksomheder:
Virksomhed A har investeret i de bedste tekniske løsninger til at modstå et cyberangreb, men har ikke investeret i deres medarbejderes viden om cybersikkerhed, og hvordan de beskytter sig selv og virksomheden (Vi kan forestille os, at de har kun læst firmapolitikken, set en ti-minutters video og skrevet under på, at de har forstået budskabet).
Virksomhed B har investeret mindre i deres tekniske løsninger (de er compliant med normale standarder, men har ikke den store premium løsning). Til gengæld har virksomhed B investeret i deres medarbejderes viden om cybersikkerhed, med den bedste undervisning og løbende træning med phishingkampagner.
Hvilken virksomhed er mest sikker?
Denne konklusion kan måske virke overraskende. Logikken er, at hvis man ikke har gabende huller i sin sikkerhed på den tekniske side, så vil det kun være meget determinerede hackere, der gider at bruge tiden på at finde huller og komme gennem ens forsvar. Her er mange danske virksomheder i dag.
Hvis man derimod har medarbejdere, der ikke er opmærksomme og bevidste om deres rolle for virksomhedens sikkerhed, så er de meget nemme at snyde for de cyberkriminelle. Og når de først har adgang til medarbejderens computer, så kan det hurtigt gå meget galt for hele virksomheden. Og hvis vi skal gå tilbage til statistikkerne, så er det er 96% af alle cyberangreb der starter på denne måde!
Hvis undervisning ikke er spændende, så virker det ikke
Undervisning er ikke bare undervisning. Vi kender selv forskellen på en god og indlevende underviser og den underviser, der bare læser op af pensum. Når medarbejderne bliver bevidste om hvorfor cyberkriminelle arbejder som de gør, hvilke trusler der er og får engageret, spændende og relevant undervisning i cybersikkerhed, så går de fra at være en sikkerhedrisiko til at være et sikkerhedsaktiv.
Vores erfaring fortæller os, at mange efterhånden har været igennem et awareness kursus - oftest online. Der er en forventning om, at medarbejdere efter 30 minutter er eksperter i cybersikkerhed og bruger deres nye viden med det samme! Det svarer til, at gå i træningscenteret en enkelt gang og forvente, at musklerne fortsætter med at vokse uden mere træning.
Undervisning skal suppleres og være kontinuerlig i forhold til din virksomheds niveau og erfaring med cybertrusler. På den måde så tales der hverken ned eller over hovedet på medarbejdere og kontinuerlighed sikrer, at den nye viden bliver ved med at være top of mind hos medarbejderen. Der er flere måder man kan tilgå awareness træning på og vores erfaring er at man får mest for pengene ved at undervise og supplere med praktisk know how, for eksempel phishingkampagner. Man kan sende nogle få mails, eller lave større gamification setups, alt skaber læring for medarbejderen og sikkerhed for virksomheden.
Gode råd til at mitigere human risk
Helt simpelt, så anbefaler vi tre skridt til at mitigere human risk i cybersikkerhed:
Undervisning (viden leveret med relevant indhold, tilpasset målgruppen og engagerende)
Phishing (aktivering af viden)
Løbende vedligeholdelse og aktivering af viden
Vores eget mantra, når det kommer til undervisning er en simpel ABC: Awareness, Behaviour, Culture. Det betyder, at vi skal oplyse med viden (awareness), ændre adfærd (behaviour) og skabe en cybersikkerhedskultur (culture).
Når mennesker nu er vores største aktiv og paradoksalt nok også vores største trussel, så kræver det en forholdsvis lille investering at mitigere risikoen fra uvidende medarbejdere, hvorfor det i mange henseender er den mest omkostningseffektive cyberindsatser du kan foretage.