Awarenesstræning

”Amatører hacker systemer, professionelle hacker mennesker” – Bruce Schneier

 

Den allerstørste trussel indenfor IT-sikkerhed er medarbejderne. Hvis medarbejderne aldrig klikker på et link eller åbner en vedhæftning fra de kriminelle, ville en stor del af truslen være mitigeret.

Statistikken siger, at 90% af alle hackerangreb starter med en e-mail. De resterende 10% er en række andre angrebsvinkler som et hacket website, port-scanning m.v.

Der er forskellige måder at man kan træne medarbejderne. Mange organisationer har prøvet at sende mails ud med advarsler om, at der er en specifik kampagne i gang på ransomware, og måske har man haft et seminar om IT-sikkerhed. Det er en ganske god idé at gøre disse ting – det er bare langt fra nok.

Folk lærer ikke af at få ting fortalt – folk lærer af deres oplevelser.

Vi indleder awareness-træningen med én video, der har cirka 15 minutters varighed og laver en generel introduktion til emnerne:

  • Introduktion til awareness-træning
  • Passwords
  • Rutiner ift. trådløse netværk og arbejdsstationer
  • Phising
  • M.v.

Brugerne modtager efter opstartsforløbet en lektion om måneden (tager ca. 5-7 minutter at gennemføre) om et udvalgt emne. Vi fremstiller løbende lektionerne, så relevante/aktuelle eksempler indgår som en del af lektionerne.

Den mest effektive form for awareness-træning, når vi taler cyberangreb, er simulerede phishing mails. I denne proces sætter man brugerne i et scenarie, som er realistisk i forhold til, hvordan et angreb fra cyberkriminelle kunne se ud.

Nedenstående tabel viser, hvordan vi oplever, at brugerne bliver dygtigere og dygtigere til at spotte om en e-mail er et angreb:

Hvis man derfor kun foretager en enkelt kampagne, så får man ikke den fulde værdi. Samtidig er viden noget, man skal opdatere – ellers bliver den mistet. Dertil er der i de fleste organisationer en udskiftning af medarbejdere, hvilket betyder, at det er nødvendigt at gentage processen. Vores phishing kører 4 gange om året, og de simulerede cyberangreb tilpasses de angreb vi ser i markedet.

Afhængigt af hvor meget man som virksomhed ønsker at gøre, så har man mulighed for f.eks. lave konkurrencer mellem afdelingerne, hvor der også indgår elementer som at trykke på en tast på en ulåst computer, se hvor mange der sætter et usb stik i en pc m.v.

Alt dette kan samles på et kampagnesite, så brugeren/afdelingen/virksomheden kan se, hvor godt de klarer sig og følge fremskridtet.

Sammen med awareness-træning anbefaler vi, at der bliver opsat procedurer for, hvordan din virksomhed håndterer rigtige cyberangreb. Vores anbefaling er, at man opretter en e-mail, hvor mistænkelig mails, telefonopkald m.v. bliver indrapporteret. Så man kan undersøge, om det måske er en indikator på et større angreb og/eller få afklaret kritikaliteten af det angreb, som rammer virksomheden.

Det er også vigtigt at få procedurerne på plads omkring dataopbevaring. Måske er det en stor udfordring for virksomheden, hvis brugerne benytter sig af deres private Dropbox, gemmer CV’er på forskellige fil-drev og lægger fortrolige dokumenter i mapper, hvor mange brugere har adgang til disse data. Så i forbindelse med awareness-træning er det en god idé at opdatere IT-sikkerhedshåndbogen og bruge 10 minutter på et halvårligt eller årligt møde på at orientere om dit firmas datapolitik.

Ved at arbejde struktureret med awareness har din virksomhed taget ét af de allervigtigste skridt til at nedbringe jeres risici i forbindelse med cyberkriminalitet.