Artikel   03 maj 2024

Vi måste träna informationssäkerhet

I ett läge där nästan 7 av 10 dataintrång involverar oss människor och där mänskliga misstag som orsak till intrången ökar, behöver alla organisationer hitta metoder som gör att vi kan träna på våra säkerhetsbeteenden. Det skriver Gustav Berghog, vd Junglemap, i en kommentar till den färska Verizon 2024 Data Breach Investigations Report.

Informationssäkerhet
Lärande
Phishing
Vi måste träna informationssäkerhet

Enligt Verizon 2024 Data Breach Investigations Report (DBIR)  är olika mänskliga faktorer inblandade i 68 procent av alla dataintrång. Rena misstag har ökat och står idag för 28 procent. Det gör den mänskliga faktorn i cybersäkeheten helt avgörande för cybersäkerheten i vilken organisation som helst. 

Snabb digitalisering kräver mer eftertanke

Dagens snabba digitala flöde med ständigt överfyllda mailkorgar är såklart en bidragande orsak till att många hotaktörer också specialiserar sig på så kallad BEC (Business Email Compromise) som ett sätt att utöva utpressning på företag och organisationer. Enligt FBI’s Internet Crime Complaint Center (IC3) står den här typen av mail för 25 procent av alla ekonomiskt motiverade attacker. Och det rör sig om stora pengar. Enligt FBI’s IC3 var den genomsnittliga lösensumman omkring 50.000 USD. 

I Verizons färska rapport finns fler exempel på hur det höga tempot i många organisationer påverkar våra säkerhetsbeteenden negativt. Ett stort och välkänt problem är phishing. Enligt rapporten tar det i genomsnitt mindre än en minut för att en användare både skall hinna klicka på en skadlig länk - och dela med sig av uppgifter till cyberbrottslingar. 

En positiv trend är att allt fler organisationer använder sig av phishing simuleringar. Rätt utnyttjat kan det vara ett mycket bra sätt att stärka säkrare beteenden. Men data från phishing-simuleringar visar att bara 20% rapporterar phishingmail och bara 11% av de som själva klickade. Det här är siffror som pekar på ett annat bakomliggande problem: många organisationer saknar en bra säkerhetskultur som stärker rätt sorts säkerhetsbeteenden. 

Det här är ett stort problem. Men den goda nyheten är att det faktiskt går att göra någonting åt. 

Träna säkerhet – året runt

Junglemaps kurser i informationssäkerhet syftar till att skapa medvetenhet över tid. Vi ser inte lärandet som ett event, något som går att bocka av, utan som en process som pågår året runt. Det handlar om att successivt träna in ett beteende byggt på att vi alltid ska stanna upp, tänka efter, fråga någon kollega, chef eller IT-ansvarig och rapportera sånt som verkar misstänkt. 

Det kommer just nu en strid ström av rapporter som pekar i samma riktning: IT- och säkerhetsansvariga i företag och organisationer är starkt oroade över olika typer av cyberattacker. Både för att bli utsatta och för att den egna organisationens medarbetare saknar den medvetenhet som behövs för att bygga motståndskraft. 

Jag läser Verizon 2024 Data Breach Investigations Report som ett tydligt bevis på att vi behöver sätta den mänskliga faktorn i centrum när vi bygger vår säkerhet. Vi behöver bygga mänskliga brandväggar där våra medarbetare ges möjlighet att regelbundet träna sig i säkerhet och som i sin tur vilar på en säkerhetskultur som som dels uppmanar till öppenhet och att dela med sig både av saker som verkar misstänkta och av egna misstag. 

Gustav Berghog, vd Junglemap

Gustav Berghog CEO
Artikel   03 maj 2024