I bransjen for cybersikkerhet er man i full gang med å forberede seg på NIS2. Men hvis vi beveger oss utenfor ekspertkretser og spør hvor godt forberedt virksomheter og bransjer er, vet mange ikke engang hva NIS2 er.
Flere ferske undersøkelser viser at det er en berettiget og utbredt bekymring for løsepengevirusangrep blant nordiske IT-ledere. Og, som en sikkerhetsekspert nylig slo fast: «Det finnes ingen oppdatering eller punktløsning for dette, for angriperne retter seg mot mennesker. De utnytter vår godtroenhet og får oss for eksempel til å klikke på lenker med skadelig programvare.»
Den langsiktige løsningen når vi skal styrke cybersikkerheten, er at vi bygger en organisatorisk sikkerhetskultur som gjør at sikkerhet angår alle. I vårt sterkt digitaliserte arbeidsliv er dette avgjørende – alle brukere av digitale tjenester er en del av den potensielle sårbarheten, men samtidig også en del av løsningen. Og det er her phishing-simuleringer kan spille en viktig rolle – hvis de brukes riktig.
Problemet er at mange virksomheter, i iveren etter å holde de ansatte årvåkne, enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet.
Men det er det ikke.
For det første på grunn av risikoen for phishing-simuleringstretthet. I stedet for å bli årvåkne, kan brukerne bli numne. Et ensidig fokus på ansattes klikkfrekvens gjør at mange nøler med å rapportere mistenkelige phishing-e-poster og unngår å snakke om det. Microsofts årlige Digital Defence Report viste at selv om 89 % lot være å klikke på ondsinnede lenker i simulerte phishing-e-poster, var det bare 13 % som rapporterte at de oppdaget trusselen. Denne forskjellen er i seg selv et tegn på at vi har langt igjen før vi får en sikkerhetskultur som bygger på tillit og åpenhet.
Vi må nemlig både handle og snakke om cybersikkerhet for å spre bevissthet i hele organisasjonen. Det er ikke gjennom velformulerte retningslinjer at vi gir de ansatte et aktivt forhold til sikkerhet. Det er ved å snakke om det. Både på styremøter og ved lunsjbordet.
Det snakkes mye om et «trussellandskap i stadig endring», og for at menneskelige brannmurer skal være motstandsdyktige, må vi hele tiden utfordre oss selv til å avdekke nye trusselteknikker.
Dette gjør vi best med phishingsimuleringer som et tilbakevendende og gjennomtenkt element i en generell opplæring i informasjonssikkerhet. Simuleringene fungerer utmerket når vi skal sikre at virksomheten er årvåken. Dessuten får vi muligheten til å lære av feilene våre. Å oppmuntre de ansatte til å dele er et første skritt i denne læringen. Og det krever tillit – ikke frykt.
