Det er ikke breaking news, når jeg fortæller, at cybertruslen er på sit højeste niveau nogensinde, og at det kun går en vej. Især i denne tid, hvor hele verden er ramt af COVID-19, og hvor der er nye spilleregler for, hvordan vi alle arbejder og handler. De fleste af os har en anderledes hverdag og arbejder stadig hjemmefra – væk fra kollegaer og den interne sikkerhedspolitik.
Vi har været digitaliseret længe inden COVID-19 – men pandemien har medført, at vi bruger mere tid på apps, shopper endnu mere online og arbejder remote. Det gør os enormt sårbare overfor potentielle angreb fra it-kriminelle.
De it-kriminelle udnytter COVID-19
COVID-19 har på mange måder ændret vores måde at agere på, dette gælder desværre også de it-kriminelle. De er endnu mere aktive og udnytter krisen til at disrupte vores dagligdag og stjæle/franarre værdifulde data, som blandt andet kan udnyttes til afpresning. Der er registreret mere end 4.000 hjemmesider, som indeholder ordet Corona eller COVID-19, og mange af dem ser mistænkelige ud og anslås at være falske hjemmesider, som bruges til det eneste formål at lokke følsomme oplysninger ud af folk. Vi kan kun blive enige om, at det er meget usmageligt at udnytte en global krise, men det har vist sig at være en ekstrem lukrativ forretning for ”the bad guys”, som desværre ingen samvittighed har.
Den mest kendte metode er phishing – og ja, vi er alle trætte af at læse og høre om, at endnu et phishing–angreb har ramt en organisation – man skulle tro, at vi alle snart havde lært lektien. Sorry to say, phishing–truslen er stadig meget høj, og mange mennesker falder stadig i fælden. Undersøgelser viser, at størstedelen af de digitale angreb er et forsøg på at udnytte den menneskelige faktor gennem meget kreative og lokkende phishing–forsøg.
Har du styr på medarbejderne
Det er fint, at du har det tekniske på plads med en hardcore sikkerhedsinfrastruktur, og måske har du en PowerPoint med gode råd til dine medarbejdere, om hvordan de beskytter sig imod potentielle hackerangreb. Men de fleste sikkerhedshændelser er forårsaget af menneskelige fejl, og derfor er der behov for en kontinuerlig indsats, som er genial, kosteffektiv, og som ikke er tidskrævende. Kan du gætte, hvad det er?
Har du gættet på kontinuerlig Cyber Awareness–Træning i din organisation, som uddanner dine medarbejdere i, hvordan de beskytter sig mod it-kriminelle, og hvordan de passer på sig selv og virksomhedens data, har du gættet rigtigt!
Dont worry, jeg har strikket nogle gode råd sammen, som kan hjælpe dig godt på vej:
- Vælg en Cyber Awareness Training-løsning, som er interaktiv, spændende og fanger dine medarbejderes interesse. Glem ”death by PowerPoints” og kedelige skriv på intranettet. Det er spild af tid! Meget vigtigt er en høj faglighed, udviklet af professionelle it-sikkerheds- og kommunikationseksperter, som har erfaring med truslerne på markedet og byder ind med et opdateret, korrekt indhold, og som kan formidles korrekt på alle niveauer i organisationen.
- Det skal være kort, præcist og ikke tidskrævende. Vi har alle prøvet at komme igennem lange e-læringsforløb, som tager 1-2 timer. For det første kan det være en udfordring at finde tid til et langt forløb. For det andet er der risiko for, at du mister koncentrationen og interessen, og resten af forløbet bliver rent gætværk, da det blot skal overstås.
- Skræddersy din træning, og segmentér din målgruppe. Vores erfaring er, at ”One size fits all” ikke længere går. Mange organisationer følger ”One size fits all”-strategien, når det gælder træning, men erfaringer viser, at det desværre ikke er så effektivt, da vi alle opfatter budskaber forskelligt. Når vi kommunikerer omkring sikkerhedstrusler, er det vigtigt, at budskabet er relevant for de mennesker, vi adresserer. Opdel for eksempel din organisation i forskellige segmenter, og målret træningen mod disse segmenter. For eksempel er økonomi mere udsat for CEO fraud, og HR er mere udsat for et phishing-angreb forklædt som en jobansøgning, så her bør træningen fokusere mere på disse emner.
- Budskaberne skal være korte, og nøgleordet er repetition. Spred træningsforløbet udover en længere periode, så dine medarbejdere modtager budskaberne omkring Cyber Awareness-Træning løbende. Det handler om, at det skal ligge top-of-mind, være genkendeligt og ikke noget, der skal jappes igennem. Et godt eksempel, som vi alle kender, er for eksempel Fakta-reklamerne, ”Det tager kun 5 minutter”, noget, vi alle husker eller kommer i tanke om, når vi ser Fakta. Som sagt, et godt eksempel på, hvordan repetition har gjort sig gældende, budskabet har været til at forstå og er ikke mindst genkendeligt. Så byg et træningsforløb op, som er genkendeligt for dine medarbejdere, gentag træningsforløbet regelmæssigt, og gør det til en kontinuerlig proces.
- Nudging – alle bruger tricket, og det er smart. Kombinér træningen med lækkert, visuelt kommunikationsmateriale, hvor dine medarbejdere bliver påmindet om vigtigheden af at bruge deres sunde fornuft, når det gælder cybersikkerhed. Det kan være screensavers med gode råd, plakater – måske på toiletterne, hvor der er fuld opmærksomhed, klistermærker på mobilen med videre. Nudging kan ændre dine medarbejderes adfærd og styrke sikkerhedskulturen i organisationen.
- Få ledelsen med ombord på projektet. Uden ledelsens anerkendelse af vigtigheden af Cyber Awareness Training kan det være svært at få succes med dit træningsforløb. I en organisation skal ændringer komme fra toppen. Det er vigtigt at få den accept, så den værdi, som skabes ved et træningsforløb, retfærdiggør den tid og de resurser, der er nødvendige for at implementere et godt træningsforløb. Det er meget vigtigt at tale med ledelsen og få fortalt, hvordan et databrud eller et cyberangreb påvirker organisationen, hvis uheldet er ude. Du er hjulpet godt på vej af diverse nyhedsmedier, der jævnligt bringer nyheder omkring cyberangreb og de enorme negative økonomiske konsekvenser forårsaget af et hackerangeb. Lav eventuelt nogle beregninger, som viser omkostningen for ikke at investere i Cyber Awareness Training.
- Træningen skal være obligatorisk. Vores erfaring er,at du får større succes med træningen, hvis dine medarbejdere er tvunget til at gennemføre den. Er det frivilligt, er det bare ikke seriøst nok.
Vælg indhold, som kan bruges både på arbejdspladsen og hjemme i privaten. Du skal appellere til dine brugeres sunde fornuft, både på arbejdspladsen og hjemme i privaten. Undgå skræmmekampagner og løftet pegefinger, men uddan og motivér i stedet dine medarbejdere til at være opmærksomme og årvågne. Brug også gerne gamification som en motivationsfaktor, som for eksempel Phishing Hunt, hvor medarbejderne skal spotte ”phishingmails”, og hvor de opmærksomme medarbejdere bliver belønnet med positiv opmærksomhed.
- Evaluer din træning løbende, og følg med i dine medarbejderes udvikling. Train, learn and repeat.