Den menneskelige faktor: håndtering af den største sikkerhedstrussel mod SMV'er
Kommer din cybersikkerhedssvaghed inde fra din virksomhed? Vores forskning viser, hvordan menneskelige fejl kan forstyrre dit digitale forsvar.
Hvad er insidertrussel?
Dine medarbejdere er hjertet i din virksomhed. Uanset om det er den person, der foretager målinger til en ny bygning, administratorerne, der behandler ansøgninger til universitetet, eller kontorchefen, der udskriver vigtige dokumenter - alle spiller en vigtig rolle. Men samtidig er alle mennesker modtagelige for fejl.
Insidertrusler henviser til personer, der arbejder i virksomheden, og hvis fejl kan true virksomhedens sikkerhed. Desværre kan selv den mindste fejl, en medarbejder begår, have store konsekvenser. Dette gælder især for små og mellemstore virksomheder (SMV'er), hvor virkningen af et angreb kan vise sig at være afgørende for virksomheden.
Cyberkriminelle ved allerede, at det svage punkt i en virksomheds digitale forsvar er de medarbejdere, der arbejder der. De er afhængige af folk, der mangler træning eller omhu, såsom når de logger ind eller besvarer en e-mail, i håb om, at medarbejderne ikke er opmærksomme på risiciene.
For at finde ud af, hvordan virksomheder risikerer insidertrusler, gennemførte vi undersøgelser med små og mellemstore virksomheder (SMV'er) i hele Europa. Ved at tale med 5.770 it-beslutningstagere i forretningssektorer som byggeri, jura, uddannelse og sundhedspleje fremhæver vores resultater online sårbarheder og problemer. Som det ser ud nu, mener næsten fire ud af ti (37%) af respondenterne, at medarbejdere, der ikke følger uddannelse eller retningslinjer, udgør en betydelig risiko for effektiviteten af it-sikkerheden.1 Men der er mere i historien.
Udfordringen med menneskelige fejl
Dit digitale forsvar er kun så stærkt som dit uddannede personale. Selv med traditionelle forretningssikkerhedssystemer på plads kan menneskelige fejl gøre cyberbeskyttelse ineffektiv. Det er derfor ikke overraskende, at en tredjedel af vores respondenter nævnte manglende viden eller uddannelse blandt medarbejderne som noget, der har øget bekymringerne for it-sikkerhed.A 2
En hel række almindelige fejl kan føre til et sikkerhedsbrud. Måske sender din marketingchef ved et uheld følsomme kundeoplysninger til den forkerte konto. Eller måske følger en undervisningsassistent ved et uheld et ondsindet link i en e-mail og afslører elevdata (et angreb kendt som phishing). Det kan endda være tilfældet, at nogen laver kopier af fortrolige sider på printeren, men glemmer at fjerne det originale dokument fra bakken bagefter.
Selvfølgelig er der forskellige faktorer, der spiller ind. Medarbejdere kan simpelthen ikke være opmærksomme på risiciene, hvilket væsentligt svækker forsvaret mod dem. Mange medarbejdere i virksomheden svarer muligvis ikke på træningsanmodninger, fordi de har for travlt, eller fordi de tror, at de allerede er uddannet. Nogle kan endda være opmærksomme på virksomhedens sikkerhedspraksis, men kan stadig være tilbøjelige til lejlighedsvise fejl. Lad os tage et kig på, hvad vores SMV-resultater afslørede.
Det viser undersøgelsen
Resultater for små og mellemstore virksomheder
Alle virksomheder, store som små, bruger e-mail til at kommunikere på en eller anden måde. Uønskede mapper kan være ret gode til automatisk at filtrere spam fra ukendte afsendere. Men efterhånden som cyberkriminalitet bliver mere sofistikeret, er phishing-angreb stigende. Phishing-angreb, som nu er den mest almindelige form for cyberkriminalitet, er afhængige af, at dine medarbejdere beregner forkert. Samtidig kan malwareangreb ske, når enheder på dit netværk (f.eks. dine telefoner, tablets og printere) ikke er helt sikre. Ethvert angreb kan føre til ødelæggende resultater. 20% af de SMV'er, vi undersøgte, nævnte datatab som deres største sikkerhedsproblem.4 For at undgå fejl bør virksomhedsledere sikre, at deres medarbejdere er fuldt ud klar over, hvad de skal passe på i hver e-mail og konsekvenserne af ikke at kontrollere korrekt.
På trods af alle fordelene har hybridarbejde øget bekymringerne over sikkerhedsrisici for små og mellemstore virksomheder. Samtidig er 29% nu også mere bekymrede på grund af medarbejdere, der bruger deres egne enheder.6 Mange medarbejdere vil arbejde både på kontoret og derhjemme, men nogle vælger måske at arbejde i caféer eller coworking-områder. Steder, hvor netværkene ikke er sikre. På trods af disse bekymringer har næsten tre femtedele (59 %) af SMV'erne ikke øget deres it-sikkerhedsuddannelse, siden de skiftede til en hybridmodel.7 Kombinationen af potentielt usikre netværk og forældet sikkerhedsviden betyder, at der er grobund for fejl.
Virksomheder håndterer mange følsomme data hver dag. Uanset om disse data tilhører studerende, patienter, kunder eller virksomheden selv, kan der ikke benægtes, at du skal håndtere dem med omhu. Datasikkerhedsbrud kan ske ved ethvert slutpunkt (enheder, der er tilsluttet netværket) – fra din kontorprinter til medarbejdernes tablets. Desværre, med kun en tredjedel af SMB'er, der har sikkerhed til at dække printere, dækker mange ikke alle baser. Derudover er ikke alle medarbejdere klar over, hvor risiciene ligger. Faktisk er en tredjedel af SMV'erne enten ikke særlig sikre (14%) eller stoler ikke (15%) på, at deres medarbejdere har tilstrækkelig viden om it-sikkerhedsrisici.A 9
To måder at håndtere insidertrusler på
Under hensyntagen til vores forskning bør små og mellemstore virksomheder gøre det til deres højeste prioritet at reducere insidertrusler. Der er to forskellige tilgange til at gøre dette effektivt - som begge er lige vigtige.
For det første handler det om at forstå og adressere den menneskelige side af sikkerhed i virksomheden. Det er vigtigt at opbygge en online sikkerhedskultur, der når ud til alle medarbejdere, ikke kun din it-afdeling og kontormedarbejdere. Alle, fra dem, der leverer varer til dem, der tager telefonen, bør huske bedste praksis for sikkerhed, når de arbejder. En måde at teste medarbejdernes svar sikkert og forebyggende på kan være at simulere "phishing-vurderinger". Hvor falske ondsindede e-mails sendes ud af virksomheden. En anden er at gøre online sikkerhedstræning obligatorisk for alle medarbejdere at deltage i.
For det andet skal du sørge for, at teknologien er rigtig. Mens insidertrusler afhænger af folks handlinger, kan teknologi hjælpe med at forhindre fejl – og en sikkerhedsstrategi i flere lag hjælper med at dække alle baser. Dette vil i det væsentlige omfatte en række sikkerhedskontroller, regelmæssige risikovurderinger og træning, mere regelmæssig penetrationstest (test af dit netværk for tredjepartstilgængelighed) og overvågning døgnet rundt. Det er vigtigt at finde balancen mellem teknologi og minde medarbejderne om den rolle, de spiller.
Fejl sker, cyberangreb behøver ikke at
Ligesom alle andre vil medarbejderne begå fejl. Uanset om du er virksomhedsleder eller administrativ assistent, kan der ske ulykker. Men det betyder ikke, at cyberangreb skal. At give tilstrækkelig træning og øge medarbejdernes bevidsthed, nøjagtighed og ansvarlighed hjælper med at minimere fejl, der fører til reel skade.
Hvis eller når der opstår en fejl, er det vigtigt at have den rigtige cyberbeskyttelse på plads. Hos Sharp hjælper vi små og mellemstore virksomheder med at opbygge robuste digitale forsvar ved at sikre, at de har det rette niveau af cyberbeskyttelse i deres aktiviteter i dag. Vores omfattende udvalg af skræddersyede sikkerhedstjenester og -løsninger tilføjer et ekstra lag af forsvar til din virksomheds sikkerhedssystemer.
