88 % av alla cyberincidenter beror på den mänskliga faktorn. Personliga misstag med ofta katastrofala konsekvenser för ditt företag, kunder och anställda. Hur gör du dina anställda medvetna om cyberrisker, lär dem att känna igen cyberbrottslighet och berättar för dem vad de ska göra (och inte ska göra) i händelse av misstänkta situationer? I den här bloggen kan du läsa varför det är viktigt att som arbetsgivare skapa medvetenhet om cyberbrottslighet i din organisation och hur rätt programvara kan hjälpa dig med det.
Ett exempel på en aktuell nyhetsartikel: ”Bedragare slår till mot X, låtsas vara kundtjänst”. Vi ser allt oftare den här typen av meddelanden, trots alla ansträngningar som företag gör för att på ett adekvat sätt skydda sig själva och sina kunder eller användare mot cyberbrott. Även om säkerheten tekniskt sett är i ordning i din organisation är ett mänskligt fel lätt hänt.
Visste du att inte mindre än 88 % av alla cybersäkerhetsincidenter orsakas av den mänskliga faktorn? Det är inte konstigt att internetbrottslingar använder sig av tekniker som nätfiske eller social manipulation. Med framgång.
Några siffror från 2021 (Cybersecurity Magazine):
miljoner e-postmeddelanden med nätfiske har skickats till över 17 000 företag över hela världen.
av de lyckade nätfiskeattackerna förorsakades av en anställd.
av det framgångsrika nätfisket berodde på svaga lösenord eller hackade inloggningsuppgifter.
Den tekniska utvecklingen skapar fler möjligheter att bedriva handel eller automatisera vissa aktiviteter. Därför välkomnar de flesta företag innovation. Cyberbrottslingar är också glada över den nya tekniken, eftersom det gör dem ännu mer kapabla att begå dataintrång, utföra cyberattacker eller online bedrägerier Med katastrofala konsekvenser – inte bara för din organisation – utan också för dina kunder och anställda.
Möjliga konsekvenser av cyberbrott kan omfatta:
Många studier visar också att ju mer distansarbete som görs, desto mer ökar risken för cyberangrepp Dessutom är människor fortfarande den svagaste länken i cybersäkerhetsplanen, speciellt efter pandemin då distansarbete ökade enormt Tvingade av omständigheterna vidtog många företag hastiga åtgärder för att möjliggöra online arbete. I många fall skedde detta inte tillräckligt noggrant, vilket ledde till en ökning av säkerhetsincidenter (såsom nätfiske eller ransomware-attacker) på inte mindre än 238 %.
Det som gör distansarbete så riskabelt är ”korsbefruktningen” av personligt och yrkesmässigt arbete och vice versa. I synnerhet är säkerhetsnivån för den utrustning som någon arbetar med (”endpoint security”) en kritisk faktor, eftersom:
av alla kontorsanställda använder jobbenheter för personliga uppgifter.
av de kontorsanställda använder sin personliga dator för att komma åt jobbapplikationer.
av dataintrången kunde ha förhindrats om en tillgänglig patch hade installerats.
I motsats till vad du kanske tror, blir kampen mot cyberbrott allt svagare inom företagen. En farlig utveckling med tanke på det explosivt ökande antalet cyberhot. Lyckligtvis vidtas allt strängare åtgärder för att säkerställa att säkerheten inom organisationer skärps, bl.a. av myndigheter. Till exempel träder det nya europeiska säkerhetsdirektivet, NIS2, i kraft 2024.
På större företag står IT-säkerhet ofta högt på agendan, men på små och medelstora företag och hos små egenföretagare saknas ofta ordentliga säkerhetsåtgärder. En viktig orsak till detta är brist på awareness (medvetenhet) och relevans: vid fastställandet av nödvändiga säkerhetsåtgärder utgår många företag från felaktiga antaganden eller föråldrad information. Som ett resultat är de inte fullt medvetna om riskerna och tror felaktigt att saker och ting inte kommer att gå så snabbt. Eller så vet de inte vilka tekniker cyberbrottslingar använder och hur man håller dem borta.
Ett vanligt missförstånd om cyberbrott är till exempel att små organisationer ofta tänker ”vi är så små, det finns inget att vinna på oss”. Men inget är mindre sant. Särskilt små och medelstora företag drabbas oftare av cyberattacker, vilket delvis beror på att de är mer benägna att drabbas under en slumpmässigt utbredd cyberattack, eftersom de inte har sin cybersäkerhet i ordning.
Genom att skapa security-awareness inom din organisation kan du förhindra många incidenter som beror på mänskliga faktorn. Med ”awareness” menar vi att främja medvetenhet bland dina anställda om farorna med cyberbrottslighet. Det sträcker sig från att förstå vikten av informationssäkerhet till att veta hur man upptäcker cyberbrott, vad man ska göra i misstänkta situationer och vad man inte ska göra. Faktum är att medvetenhet inte är något nytt, men med tanke på den enorma ökningen av antalet säkerhetsincidenter är ämnet mer aktuellt än någonsin. Det gör det ännu viktigare för företag att kontinuerligt jobba med detta.
När man skapar medvetenhet är den största utmaningen för chefer att få med sig medarbetarna. De anställda har sina egna uppgifter som de är upptagna med. De betraktar ofta cyberbrottslighet som något som ”inte har med dem att göra”, ett tekniskt trick som IT-avdelningen sköter.
Det svåraste för cheferna är att se till att medvetenhet om faror blir ett standardbeteende (skapa beteendeförändring ) inom organisationen. För hur ser du till att alla nivåer – från VD till lokalvårdare – fokuserar på säkerhet och känner igen cyberrisker? Om personalen måste gå en lång utbildning eller delta i ett informationsmöte för femtioelfte gången finns det en risk att de vid något tillfälle kommer att tänka ”Jag vet redan allt om det där” och hoppar av.
Medvetenhet kan skapas på en mängd olika sätt: du kan organisera kurser i security awareness, webbseminarier och workshops, skicka videor, erbjuda inlärningsfilmer, tester med mera. Utmaningen här är att stimulera medarbetarna tillräckligt så att de verkligen gör något med det. Som anställd måste du bli, och förbli, intresserad, och naturligtvis också agera enligt dina nya insikter.
Först när du själv upplever en cyberincident kommer du att fundera mer på det. Skicka därför medvetet ett kontrollerat falskt e-postmeddelande inom organisationen för att se om människor upptäcker det. Eller låt den säkerhetsansvarige gå runt på kontoret och göra de anställda uppmärksamma på risker: ligger känsliga data öppna och lättillgängliga på skrivborden? Sitter någon på fel plats och är datorn inte låst? Att prata med varandra om säkerhet leder till mer medvetenhet och förståelse. Se bara till att du inte ställer medarbetare som gör misstag vid skampålen. Om du gör det, kan de anställda avskräckas från att rapportera incidenter i framtiden.
För all information du presenterar, välj ”bit size”, dvs. se till att det inte tar för mycket tid. Med kortfattad mikroinlärning, korta filmer, infografik och korta möten kan du uppnå mycket mer än långa presentationer eller kurser. Genom att trigga dina medarbetare under korta ögonblick under några veckors eller månaders tid kommer förståelse, stöd och insikt att växa fram.
Även om cyberbrott är en allvarlig fråga, närma dig ämnet med humor när så är möjligt. För humor hjälper verkligen till att bryta isen och göra svåra ämnen pratbara. Det minskar stress, ger energi och har en sammanlänkande effekt.
Dialog och samråd spelar en viktig roll för att din säkerhetsmedvetenhetskampanj ska lyckas. Uppmuntra dina anställda så mycket som möjligt att ställa frågor, diskutera, ge sina åsikter och dela med sig av sina idéer. Se till att du som arbetsgivare erbjuder en trygg miljö för detta. Programvara som Zenya BOOST kan hjälpa dig. Med BOOST sätter du ämnet cybersäkerhet på kartan och initierar en dialog mellan kollegor. Se till att du lyssnar på dina anställda och visar att du gör något med deras input.
Med Zenya BOOST utvecklar du effektiva, enhetliga medvetenhetskampanjer som skapar sammanhang och förståelse och engagerar människor i ämnen som cyberbrottslighet. Tanken bakom det hela är att människor är mer benägna att bidra till att uppnå mål om de förstår varför något är viktigt och vet vad som förväntas av dem.
Med BOOST kan du sätta ihop en perfekt medvetenhetskampanj, så att dina anställda vet vad som händer inom säkerhetsområdet och inte längre låter sig luras av cyberbrottslingar.
Begär broschyren och upptäck vad som gör denna svit och kombinationen av de fyra modulerna så kraftfull.
Undrar du vad Zenya kan göra för din organisation? Begär en gratis demo.
Kontakta gärna våra experter. Vi tänker gärna tillsammans med dig.