DEBATT

Phishing-simuleringer skal bygge tillit –ikke skape frykt

Det kommer stadig flere cyberangrep. Og uroen blant IT-ledere og sikkerhetseksperter øker. Den største utfordringen er at cybersikkerhet må bli noe som angår alle. For å komme dit må vi bygge tillit, ikke skape frykt, og her er den utbredte feilbruken av phishing-simuleringer et problem.

Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet.
Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet. Foto: Pressefoto
Nils Ivar Skaalerud, chief operating officer hos Junglemap
27. mai 2024 - 13:59

I bransjen for cybersikkerhet er man i full gang med å forberede seg på NIS2. Men hvis vi beveger oss utenfor ekspertkretser og spør hvor godt forberedt virksomheter og bransjer er, vet mange ikke engang hva NIS2 er. 

Flere ferske undersøkelser viser at det er en berettiget og utbredt bekymring for løsepengevirusangrep blant nordiske IT-ledere. Og, som en sikkerhetsekspert nylig slo fast: «Det finnes ingen oppdatering eller punktløsning for dette, for angriperne retter seg mot mennesker. De utnytter vår godtroenhet og får oss for eksempel til å klikke på lenker med skadelig programvare.» 

Er en del av både sårbarheten og løsningen

Den langsiktige løsningen når vi skal styrke cybersikkerheten, er at vi bygger en organisatorisk sikkerhetskultur som gjør at sikkerhet angår alle. I vårt sterkt digitaliserte arbeidsliv er dette avgjørende – alle brukere av digitale tjenester er en del av den potensielle sårbarheten, men samtidig også en del av løsningen. Og det er her phishing-simuleringer kan spille en viktig rolle – hvis de brukes riktig. 

Problemet er at mange virksomheter, i iveren etter å holde de ansatte årvåkne, enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet. 

Men det er det ikke. 

Jelle Wieringa, IT-sikkerhetsevangelist hos KnowBe4, skriver i kronikken om hvor enkelt det er å bruke generativ kunstig intelligens til å lage phishingmeldinger, og hvor troverdige de framstår å være.
Les også

Jeg må dessverre avlive myten: Vi narres veldig lett av KI-svindel

Simuleringstretthet

For det første på grunn av risikoen for phishing-simuleringstretthet. I stedet for å bli årvåkne, kan brukerne bli numne. Et ensidig fokus på ansattes klikkfrekvens gjør at mange nøler med å rapportere mistenkelige phishing-e-poster og unngår å snakke om det. Microsofts årlige Digital Defence Report viste at selv om 89 prosent lot være å klikke på ondsinnede lenker i simulerte phishing-e-poster, var det bare 13 prosent som rapporterte at de oppdaget trusselen. Denne forskjellen er i seg selv et tegn på at vi har langt igjen før vi får en sikkerhetskultur som bygger på tillit og åpenhet. 

Vi må nemlig både handle og snakke om cybersikkerhet for å spre bevissthet i hele organisasjonen. Det er ikke gjennom velformulerte retningslinjer at vi gir de ansatte et aktivt forhold til sikkerhet. Det er ved å snakke om det. Både på styremøter og ved lunsjbordet. 

Tillit, ikke frykt

Det snakkes mye om et «trussellandskap i stadig endring», og for at menneskelige brannmurer skal være motstandsdyktige, må vi hele tiden utfordre oss selv til å avdekke nye trusselteknikker.

Dette gjør vi best med phishingsimuleringer som et tilbakevendende og gjennomtenkt element i en generell opplæring i informasjonssikkerhet. Simuleringene fungerer utmerket når vi skal sikre at virksomheten er årvåken. Dessuten får vi muligheten til å lære av feilene våre. Å oppmuntre de ansatte til å dele er et første skritt i denne læringen. Og det krever tillit – ikke frykt.

Telia har tatt i bruk løsninger som reduserer misbruk av numre ved svindeloppringninger.
Les også

Telia stoppet 9,1 millioner svindelforsøk i første kvartal

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.