Hackerangreb er i dag så avancerede, at man ikke med rimelighed kan forvente, at den gennemsnitlige medarbejder er i stand til at gennemskue et angreb, når det sker. Derfor giver det bedre mening at vænne medarbejderne til at tænke på en bestemt måde, når de er online. Der skal indarbejdes en sund skepsis, når man modtager mails, sms’er og telefonopkald fra medarbejdere, chefen eller eksterne samarbejdspartnere.
Virker det eksempelvis naturligt, at en kollega beder om login og password til en tjeneste, de selv burde kunne tilgå? Hvorfor sender direktøren en mail, hvor vedkommende beder om, at der bliver købt noget på nettet med virksomhedens kreditkort? Kan det passe, at en ekstern samarbejdspartner opfordrer til at følge et link, så man kan se en video? Hvorfor er sproget i en mail underligt eller fyldt med stavefejl? Hvorfor bruger en person fra en virksomhed en Hotmail-adresse? Og sådan kunne man blive ved med at udfordre logikken bag forespørgsler eller henvendelser, der på den ene eller den anden måde falder uden for normen.
Det er ikke medarbejdernes skyld
“Det er lige præcis de øjeblikke, man træner, når man tilrettelægger en awareness-kampagne. Det handler om, at medarbejderne altid skal have en lille tvivl siddende i baghovedet, når de kommunikerer online. Langt de fleste gange kan man hurtigt dæmpe tvivlen, fordi formen eller indholdet i en dialog klart viser, at afsenderen er troværdig. Men en gang imellem skal man lade tvivlen vokse og rent faktisk efterprøve, om afsenderen nu også er den, vedkommende giver sig ud for at være,” siger Lars Højberg, chef for Security Operations Center (SOC) i NetDesign, som er en del af TDC Erhverv.
“Fra et virksomhedssynspunkt handler det om, at man skal gøre medarbejderne i stand til at spotte et angrebsforsøg og opfordre dem til at rapportere angrebet til de sikkerhedsansvarlige med det samme, det sker. Der skal skabes en kultur af, at man hellere er overforsigtig end uforsigtig.”
Tests hæver niveauet
Awareness-træning kan skræddersyes til den enkelte virksomhed, hvor man eksempelvis simulerer et angrebsforsøg og ser, hvor mange der hopper i en bestemt fælde. Ikke for at udskamme medarbejderne og pege fingre ad deres inkompetence. Men for at blive klogere på sikkerhedsniveauet, så man kan hæve det.
“Uanset hvad testresultatet fra en awareness-kampagne viser, er det uvurderlig information. For det viser jo, hvor man som virksomhed skal sætte målrettet ind med tiltag. I stedet for at brænde penge og ressourcer af i et hjørne af forretningen, som der er godt styr på, skal man investere der, hvor virksomheden er mest sårbar,” slutter Lars Højberg.
Kilde: Center for Cybersikkerhed og Digitaliseringsstyrelsen: “Metode til at arbejde med adfærdsindsatser inden for cyber- og informationssikkerhed (2021)