Text: Mikael Järpenge, cybersäkerhetsexpert Proofpoint
Vi har sett en ganska snabb utveckling inom många av de områden som traditionellt prioriterats mest inom cybersäkerhet; Att skydda sitt nätverk från intrång, att upptäcka och rensa skadlig kod och att hålla såväl hård- som mjukvara patchad har varit en del av IT-avdelningens kärnverksamhet under lång tid. Men att patcha verksamhetens största säkerhetshål – de anställda – är det inte lika väl ställt med.
I dagens säkerhetslandskap är det inte en självklar prioritering. Majoriteten av de attacker som drabbar företag och organisationer idag beror nämligen på just människorna. Det är människor som låter sig luras av nätfiskemejl, som får sina inloggningsuppgifter stulna eller gör till synes oskyldiga saker som använda samma lösenord på fler än en plats.
En anledning till att området är jämförelsevis lågt prioriterat är att det är svårt att göra något åt. Det krävs både erfarenhet och expertis, vid sidan av resurser och möjligheten att hålla i utbildningsarbetet under en längre tid.
Varje välfungerande it-avdelning har produkter, processer och lösningar för att patcha säkerhetsluckor i allt från hårdvara till olika typer av mjukvara. Men när det gäller att patcha de mest riskfyllda säkerhetsluckorna – enskilda individer och identiteter – förlitar man sig på föråldrade rutiner som i slutändan ändå bygger på en hundraprocentig tillit till varje medarbetares kunskap, förmåga och möjligheter att just i stunden fatta rätt beslut ur ett cybersäkerhetsperspektiv.
Traditionellt har lösningen på det här dilemmat varit att ha regelbundna säkerhetsutbildningar för alla anställda. Det är bra på pappret, men fungerar sällan lika bra i praktiken.
Enligt statistik från Proofpoints senaste State of the Phish-rapport är svenska anställda sämst i klassen på att omsätta sin kunskap till handling – 82 procent av de tillfrågade svarar att de gör riskfyllda saker som dela lösenord, klicka på okända länkar eller lämna ifrån sig sina inloggningsuppgifter. Och hela 94 procent av dem svarar i sin tur att de är medvetna om riskerna det medför.
En viktig förklaring till detta finns om man gräver lite djupare i siffrorna från undersökningen som omfattar 500 svenska anställda och 50 svenska cybersäkerhetsanställda.
Det finns lösningar som inte bara fokuserar på de där traditionella cybersäkerhetsområdena utan hjälper organisationen att upptäcka och neutralisera hot innan de ens når användaren, men det löser inte det underliggande problemet: Dina medarbetare är – och kommer med stor sannolikhet att fortsätta vara – din största och mest allvarliga säkerhetslucka.
Om 94 procent av de med ett riskfyllt beteende vet om att det är riskfyllt kan man ganska snabbt konstatera att nuvarande upplägg med cybersäkerhetsutbildningar inte har önskad effekt. Det absolut vanligaste felet är att det är något som arrangeras en eller ett par gånger om året, utan att det krävs någon direkt motprestation eller sker någon egentlig uppföljning.
I förlängningen kan man också tänka sig att basera tillgången till känsliga system så att nyanställda exempelvis får fullständig tillgång först när de genomgått rätt säkerhetsutbildningar med tillfredsställande resultat. På samma sätt skulle de anställda som misslyckas med säkerhetsutbildningen kunna bli av med sin access.
Det första steget i att patcha verksamhetens farligaste säkerhetslucka bör vara att se över cybersäkerhetsutbildningen och utveckla den vidare från dagens ofta slentrianmässiga övningar.
Mikael Järpenge, cybersäkerhetsexpert Proofpoint
