Per Lagerström
Artikel   16 maj 2023

Ökad medvetenhet är bara en del av säkerhetskulturen

”Ökad medvetenhet leder inte till handling." Budskapet från en färsk rapport kanske kan låta som svidande kritik mot den som erbjuder just kurser för ökad medvetenhet. Sanningen är att enbart kurser för ökad medvetenhet inte räcker. De måste vara en del av en fungerande säkerhetskultur. Det skriver Per Lagerström, Head of Communications at Junglemap.

Informationssäkerhet
NanoLearning
Ökad medvetenhet är bara en del av säkerhetskulturen

Per Lagerström, Head of Communications Junglemap

Budskapet från LastPass Annual Report 2022 talar för sig självt:

"Av de tillfrågade som fått någon typ av cybersäkerhetsutbildning, tyckte majoriteten (79 %) att deras utbildning var effektiv, vare sig den var formell eller informell. Men av dem som fick utbildning i cybersäkerhet slutade bara 31% att återanvända lösenord. Och bara 25 % började använda en lösenordshanterare.”

Det räcker uppenbarligen inte med att bara få utbildning, oavsett hur bra den är. Om utbildningen inte är en del av en organisatorisk säkerhetskultur där vi som enskilda medarbetare kan göra säkerhet enligt vad vi just lärt oss, kommer den helt enkelt inte att skapa det säkerhetsbeteende vi eftersträvade.

I värsta fall, vilket också framkommer i LastPass-rapporten, kan det istället skapa en falsk trygghet där en känsla av att veta vad man ska göra, förväxlas med vad vi faktiskt gör i praktiken: "Även om 73 % av de tillfrågade bedömer sitt nuvarande lösenordsbeteende som säkert, och 89 % är medvetna om att det är en risk att använda samma lösenord eller variant, byter de ändå från en dålig vana till en annan i sin strävan att göra lösenordshanteringen så enkel som möjligt”, står det vidare i rapporten.

Och det riskerar att bli potentiellt värre. När LastPass jämför olika åldersgrupper har Gen Z (född 1997-2010) – på väg in i arbetslivet – den högsta självkänslan när det kommer till cybersäkerhet. Medan Boomers-generationen (född 1946-1964) som nu lämnar arbetslivet, representerar det motsatta: mindre säkra på sin lösenordshantering men samtidigt mer försiktig – och med den bästa lösenordshygienen av alla generationer.

Rapporten hänvisar också till att endast 33 procent av Millenials och Gen Z är striktare och mer försiktiga när det kommer till arbetsrelaterad lösenordshantering. Och med ett nytt sammankopplat och hybridt arbetsliv blir gränslandet mellan människors privatliv och arbetsliv ett nytt utsatt område där medarbetare blandar sina privata och professionella IT-vanor och miljö. Detta var också ett tema i F-secure Annual Threats Guide 2023 tidigare i år. 

Så hur kan en cybersäkerhetskultur hjälpa, och vad betyder det i praktiken? 

Utbildning i informationssäkerhet är inriktat på att leverera just en ökad medvetenhet. Men om slutanvändare fortfarande "strävar efter att göra lösenordshantering så enkel som möjligt", måste det finnas verktyg på plats för att tillåta det, men med säkerheten i behåll.

Som en del av informationssäkerhetsarbetet här på Junglemap använder vi våra egna NanoLearning-kurser. Med 3-minuterslektioner var tredje vecka får vi både repetera, reflektera och förstärka nya insikter året runt.

Och oddsen för att någon av oss skulle göra det på egen hand är inte så goda. Enligt rapporten från LastPass svarade 65 procent att de inte hade tagit egna initiativ till någon säkerhetsutbildning. 

Det här är ju också en av anledningarna till att NanoLearning från oss på Junglemap distribueras ut till deltagarna. På så sätt når vi all dem som varken har tid eller motivation med samma budskap och innehåll - samtidigt.  

Men när allt kommer omkring så är det ändå kombinationen av en ökad medvetenhet och organisatoriska och tekniska verktyg som skapar nya och säkrare beteenden hos oss användare. Senaste gången jag räknade, hade jag t.ex 71 (!) säkra lösenord i vår obligatoriska lösenordshanterare.

Det finns ju inte en chans att jag hade kommit ihåg alla de lösenorden.

Tvärtom. Risken för att jag hade börjat återanvända samma lösenord hade ökat dramatiskt.

Även om jag blivit medveten om att det ökar risken för dataintrång. 

Per Lagerström
Artikel   16 maj 2023