Man räknar med att den mänskliga faktorn ligger bakom 95% av alla cybersäkerhetsintrång. Det är samtidigt den enklaste orsaken att förebygga. Som företag måste man identifiera de brister som öppnar upp för denna typ av misstag och implementera integrerade cybersäkerhetssystem.
Möjligheten att arbeta på distans har bidragit till att göra företagen känsligare för cyberhot. Bristande säkerhetsmedvetenhet är en av de största orsakerna till de cybersäkerhetsbrott som beror på den mänskliga faktorn. Ett problem som faktiskt går att förebygga. Insatser för att öka cybersäkerheten bör därför fokusera på att förbättra medarbetarnas förmåga att hantera cyberrisker på rätt sätt. En tydlig och restriktiv policy i kombination med god säkerhetsmedvetenhet på arbetsplatsen bidrar till att minska antalet cyberincidenter.
Fel orsakade av den mänskliga faktorn
Man kan dela upp fel orsakade av den mänskliga faktorn i två kategorier: felaktiga beslut och kompetensbaserade fel. När någon fattar felaktiga beslut beror det på att personen inte har den kunskap som krävs för att fatta rätt beslut. Kompetensbaserade fel bottnar i slarv eller bristande engagemang från medarbetarens sida.
Här följer några vanliga cyberrisker som beror på den mänskliga faktorn:
- Dålig lösenordshygien gör det enklare för brottslingar att ta sig in i företagets nätverk
- När medarbetare använder oskyddade enheter exponeras företagets system, nätverk och data
- Mejl som skickas till fel mottagare kan leda till att information kommer på villovägar och i det förlängda att kunderna tappar förtroendet och hävdar avtalsbrott
- Att strunta i att genomföra uppdateringar och använda föråldrad programvara gör det lättare för den som vill att nästla sig in i systemet
Konsekvenserna av cyberhot orsakade av den mänskliga faktorn
Trots att många företag satsar stort på digitalisering lägger de flesta nästan inga pengar på att avvärja cyberhot. Cybersäkerhetsintrång innebär inte bara stora ekonomiska kostnader för verksamheten utan skadar även företagets anseende. Konsumenter undviker ofta företag som blivit utsatta för en cyberattack, oavsett vad som egentligen legat bakom attacken.
Enligt IBM:s rapport ”Cost of a data breach” uppgår den genomsnittliga kostnaden för cybersäkerhetsincidenter orsakade av den mänskliga faktorn till 4,35 miljoner dollar. Eftersom det saknas ett lämpligt ramverk för att bedöma de ekonomiska konsekvenserna av en cyberattack kan den verkliga siffran vara högre. Man har kommit fram till att den mänskliga faktorn ligger bakom 19 av 20 cyberintrång.
Incidenter där den mänskliga faktorn har skadat stora internationella företag:
Det välkända riskkapitalbolaget Sequoia Capital utsattes i februari 2021 för en cyberattack orsakad av den mänskliga faktorn. Genom nätfiske lyckades en tredje part komma över ekonomisk information och personuppgifter tillhörande över 1100 företagskunder som var på jakt efter investerare. Sequoia Capital vidtog omedelbart förebyggande åtgärder för att minska risken för en liknande cyberattack i framtiden. De åtgärdade systemkonfigurationen som gjorde det möjligt att komma in i systemet från första början, förbättrade sin tekniska lösning för att upptäcka skadligt e-postinnehåll, erbjöd utbildningar i cybersäkerhet för att de anställda skulle bli mer uppmärksamma på nätfiskeförsök och gjorde en noggrann översyn av nätverk och system.
Toyota Boshoku Corporation, det europeiska dotterbolaget till Toyota Group, utsattes för en e-postattack i augusti 2019. En av företagets anställda blev lurad att föra över en stor summa pengar till en hackares konto. Bedrägeriet skedde genom ett mejl där avsändaren bad att pengar skulle föras över till ett specifikt bankkonto. Mejlet såg ut att komma från en känd affärskontakt. Incidenten fick stora konsekvenser både ekonomiskt och socialt. Företaget satte omedelbart ihop en arbetsgrupp med jurister som fick i uppgift att vidta nödvändiga åtgärder mot de personer som hade varit inblandade.
Förebyggande åtgärder mot cybersäkerhetsincidenter till följd av den mänskliga faktorn
Simulerat nätfiske
Nätfiske är ett verkligt hot mot er organisation. Via ett mejl försöker bedragaren få dina anställda att lämna ut känslig information, exempelvis bankkonto- och inloggningsuppgifter, information som sedan används i samband med bedrägerier, utpressning eller identitetsstöld. Genom att skicka simulerade nätfiskemeddelanden ser du till att medarbetarna är på sin vakt och ger organisationen chansen att utvärdera hur de anställda bidrar till att skydda verksamheten mot cyberhot.
Stark lösenordshantering
Genom att stärka systemet för lösenordshantering inom organisationen förhindrar ni cyberintrång som beror på dålig lösenordshygien. Det är också viktigt att utbilda medarbetarna kring varför det är viktigt att inte använda allt för enkla lösenord.
Regelbundna utbildningsinsatser
När den mänskliga faktorn ställer till det är orsaken i de flesta fall att man inte vet tillräckligt mycket om cybersäkerhet och hur viktigt det är för verksamheten som helhet. Målet med utbildningar för ökad säkerhetsmedvetenhet är att medarbetarna ska förstå vilka faror som lurar i cyberrymden. Det är viktigt att medarbetarna både lär sig att upptäcka cybersäkerhetshot samt hur man hanterar dem.
Uppdaterade säkerhetspolicyer
Tydliga instruktioner i säkerhetspolicyn gör det lättare för medarbetarna att hantera känsliga uppgifter på rätt sätt. Genom regelbundna uppdateringar av säkerhetspolicyn får organisationen chansen att göra medarbetarna uppmärksamma på säkerhetspolicyn och vad som står i den.
E-postfilter
Att flagga misstänkta mejl är ett av de lättaste sätten att förhindra att nätfiskemeddelanden över huvud taget når fram till medarbetarens inkorg. Det finns speciella program som förbättrar filtreringen och fångar upp nätfiskemeddelandena innan de når mottagaren.
Begränsad tillgång till känsliga uppgifter
Genom att vara restriktiv med hur många som får tillgång till känsliga uppgifter minskar risken för att de hamnar i orätta händer. Hur mycket åtkomst en användare har bör baseras på deras roll. Förfrågningar om att få tillgång till uppgifter bör godkännas av en chef.
Det effektivaste sättet att komma till rätta med cybersäkerhetshot är att utarbeta en strategisk handlingsplan och sedan hålla sig till den. Det är framför allt viktigt att undersöka och identifiera vilka faktorer som kan innebära ett hot mot cybersäkerheten. Gallagher erbjuder rådgivning inom cyberriskhantering och hjälper företag att skräddarsy cyberförsäkring som är anpassad till verksamheten. För mer information, läs om Cyberförsäkring eller kontakta en expert hos oss.
Källor
Ovan är en översatt och omarbetad version av en artikel som ursprungligen publicerades på AJG.com/uk