Abonner
DEBATT

Phishing-simuleringer skal bygge tillit –ikke skape frykt

Det kommer stadig flere cyberangrep. Og uroen blant IT-ledere og sikkerhetseksperter øker. Den største utfordringen er at cybersikkerhet må bli noe som angår alle. For å komme dit må vi bygge tillit, ikke skape frykt, og her er den utbredte feilbruken av phishing-simuleringer et problem.

Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet.
Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet. Foto: Pressefoto
Del
Kommenter
Nils Ivar Skaalerud, chief operating officer hos Junglemap
27. mai 2024 - 13:59

I bransjen for cybersikkerhet er man i full gang med å forberede seg på NIS2. Men hvis vi beveger oss utenfor ekspertkretser og spør hvor godt forberedt virksomheter og bransjer er, vet mange ikke engang hva NIS2 er. 

Flere ferske undersøkelser viser at det er en berettiget og utbredt bekymring for løsepengevirusangrep blant nordiske IT-ledere. Og, som en sikkerhetsekspert nylig slo fast: «Det finnes ingen oppdatering eller punktløsning for dette, for angriperne retter seg mot mennesker. De utnytter vår godtroenhet og får oss for eksempel til å klikke på lenker med skadelig programvare.» 

Er en del av både sårbarheten og løsningen

Den langsiktige løsningen når vi skal styrke cybersikkerheten, er at vi bygger en organisatorisk sikkerhetskultur som gjør at sikkerhet angår alle. I vårt sterkt digitaliserte arbeidsliv er dette avgjørende – alle brukere av digitale tjenester er en del av den potensielle sårbarheten, men samtidig også en del av løsningen. Og det er her phishing-simuleringer kan spille en viktig rolle – hvis de brukes riktig. 

Problemet er at mange virksomheter, i iveren etter å holde de ansatte årvåkne, enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet. 

Men det er det ikke. 

Idéskaping kan skje både digitalt og fysisk. Forutsetningen er imidlertid at alle har samme arbeidsform. Hybride møter fungerer derimot bare til én ting, skriver Øystein Tønnessen, rådgiver i Egde med nylig ferdigstilt doktorgrad, og Bjørn-Tore Flåten, visedekan og førsteamanuensis ved Handelshøyskolen, Universitetet i Agder, i denne kronikken.
Les også

Hjemmekontor kan drepe kreativiteten

Simuleringstretthet

For det første på grunn av risikoen for phishing-simuleringstretthet. I stedet for å bli årvåkne, kan brukerne bli numne. Et ensidig fokus på ansattes klikkfrekvens gjør at mange nøler med å rapportere mistenkelige phishing-e-poster og unngår å snakke om det. Microsofts årlige Digital Defence Report viste at selv om 89 prosent lot være å klikke på ondsinnede lenker i simulerte phishing-e-poster, var det bare 13 prosent som rapporterte at de oppdaget trusselen. Denne forskjellen er i seg selv et tegn på at vi har langt igjen før vi får en sikkerhetskultur som bygger på tillit og åpenhet. 

Vi må nemlig både handle og snakke om cybersikkerhet for å spre bevissthet i hele organisasjonen. Det er ikke gjennom velformulerte retningslinjer at vi gir de ansatte et aktivt forhold til sikkerhet. Det er ved å snakke om det. Både på styremøter og ved lunsjbordet. 

Tillit, ikke frykt

Det snakkes mye om et «trussellandskap i stadig endring», og for at menneskelige brannmurer skal være motstandsdyktige, må vi hele tiden utfordre oss selv til å avdekke nye trusselteknikker.

Artikkelen fortsetter etter annonsen
annonsørinnhold
HP Norge
Nye PC-er visker ut forskjellene mellom fysiske og virtuelle møter

Dette gjør vi best med phishingsimuleringer som et tilbakevendende og gjennomtenkt element i en generell opplæring i informasjonssikkerhet. Simuleringene fungerer utmerket når vi skal sikre at virksomheten er årvåken. Dessuten får vi muligheten til å lære av feilene våre. Å oppmuntre de ansatte til å dele er et første skritt i denne læringen. Og det krever tillit – ikke frykt.

CFCS advarer om at nettkriminelle bruker generative AI-tjenester, som ChatGPT, for å effektivisere arbeidet med svindel-eposter.
Les også

Chat GPT effektiviserer svindlernes arbeid

Les mer om:
DEBATTSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Equinor ASA
IT Solution Architect
Equinor ASA
Stavanger
5. aug.
    En tjeneste fra