Den menneskelige tabben i et vellykket nettsikkerhetsbrudd

Det er ikke en eneste person i live som aldri gjør feil. Å gjøre feil er faktisk en kjernedel av den menneskelige opplevelsen - det er hvordan vi lærer av det og vokser. Likevel blir menneskelige feil altfor ofte oversett med tanke på nettsikkerhet.

I følge en studie fra IBM er menneskelig feil den største årsaken til 95% av brudd i nettsikkerheten. Med andre ord, hvis menneskelig feil på en eller annen måte tok helt slutt, kan det være at 19 av 20 nettbrudd ikke hadde funnet sted i det hele tatt!

Så hvorfor er menneskelige feil årsaken til så mange brudd, og hvorfor har eksisterende løsninger ikke klart å løse det? La oss se på historien bak menneskelig feil - og hva du kan gjøre for å forbedre ansattes nettvett i organisasjonen din.

Hva er menneskelig tabbe i datasikkerhet?

Når vi diskuterer menneskelig feil i nettsikkerhet, er det som menes med begrepet litt forskjellig fra bruken i flere situasjoner.

I sikkerhetssammenheng betyr menneskelig feil utilsiktede handlinger - eller manglende handling - av ansatte og brukere som forårsaker, sprer eller lar et sikkerhetsbrudd finne sted.
 
Dette omfatter et stort spekter av handlinger - fra å laste ned et skadelig virus-infisert vedlegg til å bruke et for svakt passord - noe som er en del av grunnen til at det kan være så vanskelig å ta opp.

Med våre stadig mer avanserte og kompliserte arbeidsmiljøer har vi et økende antall verktøy og tjenester som vi bruker - og vi har brukernavn, passord og andre ting å huske for hver av dem. Alt dette hoper seg opp, og når de ansatte ikke får alternative, sikre løsninger, begynner de å ta snarveier for å gjøre livet enklere for seg selv.

Som om dette ikke var nok for brukerene å kjempe for å gjøre de rette handlingene, må de også håndtere den konstante trusselen fra nettkriminelle som påvirker beslutningen. Sosial manipulasjon har en økende rolle i alle typer sikkerhetsbrudd, og brukes til å utnytte ansattes evne til å overlate data eller sensitiv informasjon rett i hendene på dårlige skuespillere uten at de trenger å skrive en eneste linje i et malware-program eller programverktøy.

employee with coffee and tablet making an error

Typer av menneskelige tabber

Mens mulighetene for menneskelige tabber er nesten uendelige, kan de normalt kategoriseres i to forskjellige typer: ferdighetsbaserte og beslutningsbaserte tabber. Forskjellen mellom disse to kommer egentlig an på om personen hadde den nødvendige kunnskapen for å utføre riktig handling eller ikke.

Ferdighetsbaserte tabber

Ferdighetsbasert-menneskelige tabber består av glipper og småting: små feil som oppstår når du utfører vanlige oppgaver og aktiviteter. I disse omstendighetene vet sluttbrukeren hva riktig handlingsforløp er, men feiler med å gjøre dette på grunn av en midlertidig glipp, feil eller rett og slett uaktsomhet. Disse kan skje fordi den ansatte er sliten, ikke tar hensyn, eller blir distrahert for eksempel.

Beslutningsbaserte tabber

Beslutningsbaserte tabber er når en bruker tar en feil beslutning. Det kan være en rekke forskjellige faktorer som spiller inn i dette: ofte inkluderer det at brukeren ikke har det nødvendige kunnskapsnivået, ikke har nok informasjon om den spesifikke omstendigheten, eller ikke engang innser at de tar en feil beslutning.

Reduser menneskelig tabber med effektiv opplæring i nettsikkerhetsbevissthet.

Lær hvordan usecure hjelper bedrifter med å drive sikker oppførsel med intelligent automatisert opplæring i nettsikkerhet - som dine ansatte kommer til å like.

Eksempler på menneskelige tabber og feil i bedrifter

Menneskelige tabber kan kompromittere virksomhetens sikkerhet på et nesten uendelig antall forskjellige måter, men noen typer feil skiller seg ut i frekvens over alle andre. La oss se på noen av disse svært vanlige feilene.

Feilsending

Feilsending - å sende noe til feil mottaker - er en vanlig trussel mot bedriftens datasikkerhet. I følge Verizons bruddrapport fra 2018 var feilsending den femte vanligste årsaken til alle brudd på cybersikkerheten i bedrifter. Med mange mennesker som er avhengige av funksjoner som auto-fill i e-postklientene, er det enkelt for enhver bruker å sende konfidensiell informasjon til feil person hvis de ikke er forsiktige.
 
Et av de alvorligste databruddene forårsaket av en menneskelig tabbe var da en NHS-praksis (helsetjenesten i Storbritannia) avslørte e-postadressene (og dermed navnene) til over 800 pasienter som hadde besøkt HIV-klinikker. Hvordan skjedde feilen? Den ansatte som sendte ut en e-postvarsling til HIV-pasienter, skrev ved et uhell e-postadressene sine i mottaker-feltet, i stedet for "bcc"-feltet, og avslørte detaljene sine for hverandre. Dette er et klassisk eksempel på en ferdighetsbasert feil, ettersom den ansatte visste riktig handlingsforløp, men rett og slett ikke passet nok på å sikre at de gjorde det de hadde tenkt å gjøre. 

Passordproblem

Mennesker og passord kommer rett og slett ikke overens. Fakta fra UK's 'National Center for Cyber Security's rapport fra 2019 kaster et blekt bilde: 123456 er fortsatt det mest populære passordet i verden, og 45% av mennesker bruker passordet til sin viktigste e-postkonto, og bruker passordet om og om igjen på andre tjenester også. I tillegg til å ikke lage sterke, unike passord, begår utrente brukere mange andre passordfeil, inkludert å skrive ned passord på post-it-lapper på monitorene sine eller dele dem med kollegaer.

Patching

Cyberkriminelle leter stadig etter nye utnyttelser innen programvare. Når utnyttelser oppdages, løper programvareutviklerne for å fikse sårbarheten og sende ut oppdateringen til alle brukere før cyberkriminelle kan gå å angripe flere brukere. Dette er grunnen til at det er viktig at brukerne installerer sikkerhetsoppdateringer på datamaskinene sine så snart de er tilgjengelige. Dessverre utsetter ofte sluttbrukere installasjonen av oppdateringer - og det med alvorlige resultater.

WannaCry-ransomware-angrepet i 2017 påvirket hundretusener av datamaskiner over hele verden, og kostet selskaper og organisasjoner millioner av dollar i erstatning. Likevel ble utnyttelsen som ble brukt av angrepet, kalt ‘EternalBlue’, fikset av Microsoft måneder før angrepene fant sted. Hvis de berørte datamaskinene hadde fått sikkerhetsoppdateringen lastet ned og installert når den ble tilgjengelig, ville de aldri ha blitt kompromittert.

Fysiske sikkerhetstabber

Mens databrudd ofte omhandler cyberangrep, er virksomheter også utsatt for fysiske trusler. Sensitiv informasjon og legitimasjon kan bli stjålet eller sett av uautoriserte personer hvis de får tilgang til bedriftens lokaler.
 
Fysiske sikkerhetstabber og feil kommer i mange forskjellige former, men en av de vanligste er å la sensitive dokumenter være uten tilsyn på pulter, møterom eller til og med på printeren. Alle som får tilgang til forretningslokalene, kan da bare hente dokumentet uten at noen engang legger merke til at de er borte.

En annen svært vanlig fysisk sikkerhetstabbe er å tillate "tailgating". Tailgating er når en uautorisert person følger noen gjennom en sikker dør eller barriere - vanligvis ved å bare gå tett bak dem. Mange ansatte vil føle seg uhøflig å hindre alle som følger bak seg gjennom en dør, og dette sikrer en høy suksessrate på tailgating-forsøk.

Hvilke faktorer spiller inn i menneskelige tabber?

Det er et stort utvalg av faktorer som spiller inn i menneskelige tabber, men de fleste av dem er oppsummert i disse tre: mulighet, omstendighet og manglende bevissthet.

Mulighet

Menneskelige tabber kan kun oppstå når det er mulighet for å gjøre dem. Det kan virke åpenbart, men poenget er at jo flere muligheter det er for at noe skal gå galt, jo større er sjansen for at en feil blir gjort på et tidspunkt.

Omstendighet

Det er mange omstendigheter som kan øke sjansen for tabber å finne sted.
 
Den fysiske omstendigheten på en arbeidsplassen kan øke betydelig antall feil og tabber som blir begått. Mens enhver byggearbeider vil kunne fortelle deg at feil er mer vanlig på kokende varme eller iskalde dager - gjelder disse hensynene også på kontorer. Selv om det er en riktig vurdering å ha riktig temperatur inne i kontoret, er personvern, støynivå og holdning noe som kan bidra til en mer utsatt fysisk omstendighet.

an employee works in a loud environmentArbeidskultur (eller moral) spiller også en viktig rolle i omstendighetshensyn. Ofte vil brukere kjenne til riktig handlingsforløp, men unnlater å gjennomføre det fordi det er en enklere måte å gjøre ting på, eller de bare ikke synes det er så viktig. Å ha en arbeidsmoral der sikkerhet alltid utsettes til siste punkt, vil dette føre til at tabber blir mer og mer vanlig.

Manglende bevissthet

Mye av menneskelige feil skyldes at sluttbrukere rett og slett ikke vet hva det rette handlingsforløpet er i utgangspunktet. For eksempel, det er mye mer sannsynlig at brukere som ikke er klar over risikoen for phisking, faller for et phiskeforsøk. Noen som ikke kjenner risikoen rundt offentlige Wi-Fi-nettverk, kan raskt få sin informasjon frastjålet. Mangel på kunnskap er nesten aldri brukerens skyld - men bør adresseres av bedriften for å sikre at sluttbrukerne har den kunnskapen og de ferdighetene de trenger for å holde seg selv og virksomheten trygg.

Hvordan å forhindre menneskelige tabber i din bedrift

Menneskelig feil kan kun oppstå der det er mulighet for det, og derfor er det viktig å eliminere mulighetene for feil så mye som mulig. Samtidig vil sluttbrukere fortsette å gjøre feil hvis de ikke vet hva de riktige handlingene, eller risikoen er. For å takle dette, er det viktig å nærme seg menneskelige feil fra begge sider for å skape et omfattende forsvar for organisasjonen din.

Redusere mulighetene

Å endre arbeidspraksis, rutiner og teknologier for systematisk å redusere muligheten for feil er den beste måten å starte reduseringen av muligheter for feil. Selv om måten du oppnår dette på, vil avhenge av de spesifikke aktivitetene og omstendighetene i virksomheten din, er det noen vanlige retningslinjer for å senke mulighetene for tabber og feil.

Tilgangskontroll: Sørg for at dine ansatte kun har tilgang til dataene og funksjonaliteten de trenger for å utføre sine roller. Dette reduserer mengden informasjon som kan bli utsatt, selv om brukeren skulle ha begått en feil som førte til et databrudd. 

passwords on post-it notes on a computer monitor

Passordkontroll: Ettersom passordrelaterte feil er en av de største risikoene rundt menneskelig tabber, kan det å hjelpe brukerne dine å huske passordene være med å redusere risikoen. Passordbehandlingsapplikasjoner lar brukerne dine opprette og lagre sterke passord uten å måtte huske dem eller risikere å skrive dem ned på post-it-lapper. Du bør også legge til rette for bruk av tofaktor-autentisering på tvers av virksomheten din for å legge til et ekstra lag med beskyttelse på kontoene dine.

Endre din arbeidskultur

En sikkerhetsfokusert arbeidskultur er nøkkelen til å redusere menneskelige feil. I en sikkerhetskultur tas sikkerhet i betraktning med enhver beslutning og handling, og ansatte vil være obs og diskutere sikkerhetsspørsmål når de møter på dem.

Det er en rekke ting du kan gjøre for å bidra til å bygge en  sikkerhetsfokusert arbeidskultur i organisasjonen din.

Oppmuntre til diskusjon. En av de beste måtene å sikre at sikkerheten holder seg i forkant er å få folk til å snakke om det. Ta opp temaer rundt sikkerhet - og sørg for at de er relevante til de ansattes daglige arbeidsaktiviteter, slik at de lettere blir engasjert. Dette vil hjelpe dem å se hva de hver enkelt kan gjøre personlig for å opprettholde sikkerheten i organisasjonen din.

Gjør det enkelt å stille spørsmål. Som en del av læringsprosessen vil sluttbrukerne dine sannsynligvis snuble inn i mange situasjoner der de er usikre på hva de bør gjøre med tanke på sikkerhet. I disse situasjonene vil du heller at de spør deg eller noen andre med kunnskap i stedet for å gjette og risikere å ta feil valg av seg selv. Forsikre deg om at noen alltid er tilgjengelige til å svare på spørsmål fra sluttbrukere på en vennlig måte, og belønne brukere som spør gode spørsmål.

Bruk plakater og påminnelser. Sikkerhetsplakater og tips fungerer som små påminnelser på å sikre at sluttbrukerne dine tenker på sikkerhet gjennom hele arbeidsdagen. En plakat med informasjon om sterke passord vil for eksempel tillate brukere å enkelt se hva kravene er for å holde firmakontoer trygge.

Fiks et lavt kunnskapsnivå med opplæring

Selv om det er viktig å redusere mulighetene for feil, må du også tenke på årsakene til feil fra en menneskelig vinkel. Å utdanne dine ansatte til grunnleggende nettsikkerhet og god praksis gjør at de kan ta bedre beslutninger, og vil gjøre dem i stand til å holde sikkerhet på hodet og søke ytterligere veiledning når de ikke er sikre på hva konsekvensene av en viss handling er.

Tren de ansatte på alle viktige sikkerhetsemner: Ettersom menneskelig feil kan manifestere seg på en rekke forskjellige måter, er det viktig at du trener ansatte til et grunnleggende nivå på alle sikkerhetsemner som de kan støte på i deres daglige arbeidsaktiviteter. Bruk av e-post, internett og sosiale medier, samt phisking, malware- og virustrening er bare noen av temaene som opplæringen bør dekke.

an employee with a secure computerOpplæring må være engasjerende og relevant: Dine ansatte har en begrensing på hvor mye oppmerksomhet de klarer å gi et kurs, og du må sørge for at opplæringen deres ikke bare får dem til å sovne. Interaktive opplæringskurs som bruker bilde- og videoinnhold er langt mer effektive enn flere timers lange PowerPoint-økter. Opplæring skal heller ikke komme i årlige økter som dine ansatte vil glemme en uke senere, men gjenta regelmessig gjennom hele arbeidslivet i et kort og lett fordøyelig format.

Menneskene trenger ikke å være den svakeste lenken

Vi startet denne artikkelen med en skremmende statistikk om hvor mange databrudd som er forårsaket av menneskelige feil - men det er en annen måte vi kan se på den statistikken på. Hvis 95% av bruddene er forårsaket av menneskelige feil, kan det å ta selv de minste skritt for å redusere menneskelige feil skape store fordeler for sikkerheten.

Reduseringen av menneskelig feil må komme fra to forskjellige vinkler: å redusere muligheten for feil og opplære brukeren. Jo mindre muligheter det er for feil, jo mindre blir dine brukers kunnskap satt på spill - og jo mer kunnskap brukerne dine har, desto mindre sannsynlig er det at de gjør en feil, selv når de får en mulighet til det.
 
Tilnærmingen vi bruker her hos usecure oppmuntrer deg til å se din menneskelige risiko fra et annet lys. Selv om utrente sluttbrukere kan være den svakeste lenken i sikkerheten til organisasjonen din, lar de riktige verktøyene og opplæringen deg styrke dem til å ivareta sikkerheten i virksomheten din på lang sikt.

 

Gjør mennesker om til ditt sterkeste forsvar

usecure er en Human Risiko Management (HRM) plattform som styrker bedrifter og hjelper dem å redusere brukerrelaterte sikkerhetstabber, samtidig å bygge en cybersikker arbeidskraft og oppnå retningslinjer gjennom automatiske opplæringsprogram for brukeren.

usecure plattformen er brukt av ledende IT bedrifter og Managed Service Providers (MSP’er) verden over. usecure analyserer, reduserer og overvåker menneskelig cyberrisiko ved å drive sikkerhetstrening og kurs, phishing simulering (også kjent som phisking på norsk), automatisert retningslinjeprogram (policy management) og kontinuerlig dark web overvåkning - alt på samme plattform.

Lær mer om usecure