Det å i hovedsak skylde på mennesket i sikkerhetsarbeidet blir en hvilepute for bedrifter som ikke investerer i egen sikkerhet.
– Å legge skylden på mennesket som det svakeste leddet er en farlig forenkling av sikkerhetsarbeidet. Ikke bare antyder det at den menneskelige faktoren ikke er verdt å investere tid og ressurser på, det kan også føre til at de ansatte faktisk utgjør en sikkerhetsrisiko for bedriften din. I verste fall ender det opp med en sikkerhetskultur der de ansatte enten ikke tør eller vet hvordan de melder fra om sikkerhetsbrudd eller hendelser, sier Erik Stol Øyan. Han er teamleder og gir daglig råd til kunder om deres sikkerhetsinfrastruktur.
Han mener menneskelig adferd påvirkes av faktorer som ledelsesforankring, sikkerhetskultur, tidspress og tilgang til opplæring.
– Opplæring av de ansatte må ikke bare bli et punkt på en sjekkliste. Det er nødt til å bli en del av det kontinuerlige, helhetlige sikkerhetsarbeidet, presiserer han.
På House of Advania den 3. Juni skal Erik Stol Øyan fortelle mer om hvordan norske virksomheter kan sikre seg i et komplekst trussellandskap. Det er fortsatt ledige plasser, meld deg på i dag.
Mennesket: styrke eller sårbarhet?
Det sies at brent barn skyr ilden, men de fleste virksomheter har ikke råd til å la de ansatte lære av egne feil.
– Vi må hjelpe dem å forstå før de brenner seg. Sikkerhetsarbeidet handler om mye mer enn teknologi. Både prosesser og mennesker må inkluderes og hensyntas. En helhetlig tankegang rundt sikkerhetsarbeidet er en avgjørende faktor for å snu mennesket fra å være en sårbarhet til å bli en styrke, sier Øyan.
Dette kan Erik Rake Kendel, senioranalytiker ved Advania Cyber Defense Center (ACDC) stille seg bak. Han er en del av et erfarent og kompetent cybersikkerhetsteam bestående av personell med bakgrunn fra etterretnings- og sikkerhetsmiljøer i både forsvaret, politiet og andre statlige fagmiljøer.
– Du må gjøre en god vurdering rundt opplæring for å klare å bygge en medarbeider med selvtillit, og som besitter god kunnskap for hvordan de effektivt kan møte cybertruslene i dag, sier Kendel.
– Skal vi forsøke å lokke en ansatt i en godt plassert phishing-felle, eller skal vi lære dem hvordan de på en sikker og effektiv måte kan identifisere et pågående phishing-angrep?
Årlig avverger, stopper og håndterer Kendel og hans kolleger i ACDC et stort antall cyberangrep - eller forsøk på dette. Han mener det blir feil å kun skylde på de ansatte dersom et angrep blir en realitet.
– På den ene siden er det bare vi mennesker som faller for phishing-forsøk, gjenbruker svake passord, eller kan manipuleres ved å spille på følelser og ambisjoner. Samtidig er mennesker veldig gode til å oppdage og varsle om mistenkelig oppførsel, ondsinnet og uautorisert aktivitet – så sant de faktisk blir gitt riktig opplæring, sier Kendel.
Lurer du på hva som skjer i en beredskapsøvelse? Det kan du lese mer om her.
Organisasjonen er det egentlige svake leddet
Det er ofte små marginer som skal til for å unngå at cyberangrep går fra et mislykket forsøk til å bli en hendelse.
– Virksomhetens sikkerhetssystemer vil ha mye å si for hvor raskt vi klarer å stoppe et eventuelt angrep. Det kan handle om lisenser, deteksjon og generelt sikkerhetsnivå og investeringer fra kunden sin side som kan være direkte faktorer for hvor raskt vi kan isolere og håndtere hendelsen før den gjør ubotelig skade. Opplæring og bevisstgjøring av ansatte er en veldig viktig del av dette, sier Kendel.
Både Erik og Erik er enige i at altfor mange virksomheter lener seg i for stor grad på sikkerhetssystemene som ligger integrert i programvaren, og ser dermed ikke helheten.
– Ansatte som er opplært i å svare på epost og trykke på lenker, kommer nødvendigvis til å gjøre dette, sier Kendel.
– Når teknologien svikter, og det gjør den, er det ofte et menneske som står mellom et avvik og et katastrofalt sikkerhetsbrudd. Derfor er det å investere tid i opplæring, forståelse og bygging av sikkerhetskultur ikke et tillegg til sikkerhetsarbeidet: det er sikkerhetsarbeidet, avslutter Øyan.
Bli med på årets House of Advania og få muligheten til å diskutere sikkerhetsspørsmål med blant annet Erik og Erik! – over 100 har allerede meldt seg på, sikre deg din plass i dag.
