Det är vi människor som ligger bakom de största säkerhetsutmaningarna på våra arbetsplatser – inte tekniken eller säkerhetspolicyn.
Det menar analysföretaget Gartner och nu ökar intresset för att testa hur säkerhetsmedvetna de egna medarbetarna egentligen är. Genom att simulera olika typer av angrepp kan man få ännu mer vältränade medarbetare som också klarar av digitala attacker, både på jobbet och privat.
– Den digitala brottsligheten ökar snabbt och i dag räcker det inte med att skaffa antivirus, brandväggar och avancerad teknik. HR och ledningen måste få ett grepp om hur personalen verkligen agerar vid olika hot och träna dem i digitalt självförsvar, säger Peter Gustafsson, Nordenchef på Barracuda Networks.
Studier visar att 98 procent av alla attacker börjar med sociala kontakter. Ett till synes oskyldigt internt e-postmeddelande kan egentligen komma från en bedragare – och vill det sig illa kan den omedvetna medarbetaren riskera hela nätverket och i förlängningen företagets verksamhet.
Fyra steg mot digital motståndskraft
Så hur gör man för att fler ska kunna upptäcka utstuderade attacker i tid? Och kan man verkligen leva upp till dagens regler och säkerhetskrav?
Peter Gustafsson har fyra råd om hur man bygger en högre digital motståndskraft:
- Börja med att definiera vilken grupp av medarbetare som ska prioriteras, t.ex. de som har extra känsliga positioner och arbetsuppgifter.
- Kartlägg sedan hur personalen beter sig genom att simulera olika typer av digitala attacker.
- Analysera deras beteende över tid för att förstå vem som gör vad, hur och varför.
- Omvandla till sist lärdomarna till något konkret som verkligen hjälper medarbetarna att bli ännu bättre, t.ex. genom att erbjuda enskilda utbildningspaket i form av tester och filmer.
Simuleringen är viktigt eftersom man måste ha varit utsatt för trovärdiga attacker för att veta hur man agerar. Och det handlar inte bara om e-post på jobbet utan medarbetare är också sårbara via t.ex. sms, privat e-post och USB-stickor.
Flera hundra lämnade ut lösenord efter ett par dagar
Men finns det inte en risk att medarbetare kan känna sig utpekade när de inte får reda på att det pågår en simulerad attack?
– Effekten blir mycket bättre om man inte berättar något i förväg. Men det handlar absolut inte om att banna någon enskild person utan om att skapa större medvetenhet hos alla som deltar. Och behovet är verkligen stort. Vi genomförde en simulering på ett medelstort svenskt företag – och på bara några dagar hade flera hundra personer lämnat ut sina lösenord, berättar Peter.
Ökade krav i samband med GDPR
Säkerhetskraven ökar och i samband med GDPR fick arbetsgivarna också ett ökat ansvar för att medarbetarna ska kunna hantera företagets data på rätt sätt. Det är en pågående process och inget man gör en gång och sedan bockar av.
I dag finns det bra hjälpmedel för att genomföra simulerade säkerhetsattacker och träna medarbetarna i digitalt självförsvar, bland annat Barracuda PhishLine som lanserades i Sverige under våren 2019. Det är helt kostnadsfritt för företag att testa sina medarbetare och resultatet blir sedan ett beslutsunderlag för IT, HR och andra delar av organisationen.
– Det är ett enkelt och snabbt sätt att ta reda på hur digitalt vältränade medarbetarna är. Ser man att 25 procent lämnar ifrån sig lösenorden, då har man fått en väldigt tydlig signal att det är dags att göra något, avslutar Peter.