#securityawareness – Nimblr Security Awareness

Om du bara får välja ett område att fokusera på i ditt IT-säkerhetsarbete, välj då nätfisket. Phishing är den mest använda metoden i attacker mot företag och organisationer, och orsakar årligen miljontals kronor i kostnader.

Som tur är slipper de flesta av oss att bara välja ett enda område att fokusera på i arbetet med IT-säkerhet. Självklart klarar vi oss inte många sekunder utan fungerande brandvägg och antivirussystem; lösningar som i princip alla moderna företag och organisationer har på plats, och dessutom har haft tid att trimma och fila på så att de faktiskt gör sitt jobb ganska bra.

Men inför nästa års budget kan det vara värt att fundera över prioriteringarna. Att utöka säkerhetsfunktionerna i brandväggen, eller att byta till ett ännu mer intelligent antivirussystem är kanske inte den rätta vägen när man ser vad man får för pengarna. Det yttersta syftet med att investera i IT-säkerhetslösningar är att stoppa de kriminella, minska antalet angrepp och minmera incidenterna.

Enligt IBM X-Force är phishing den vanligaste kända attackvektorn för cyberbrottslingar som riktar sig mot organisationer. Föregående år hade nästan en tredjedel (31 procent) av alla cyberincidenter en känd infektionsvektor som kan spåras tillbaka till ett skadligt e-postmeddelande eller nätfiskeattack. Den näst vanligaste attackvektorn, som står för 29% av angreppen är användning av stulna användaruppgifter – som kan ha tillskansats genom en mängd olika metoder, inklusive phishing.

För att få bästa möjliga utväxling av IT-säkerhetsbudgeten kan det vara en god idé att att se över vad som kan göras åt det förhatliga nätfiskandet. Här finns alltså en attackvecktor som ligger bakom majoriteten av alla IT-attacker, men som många verksamheter helt eller delvis förbisett i sina IT-säkerhetsinvesteringar. En relativt liten investering i phsihing-förebyggande åtgärder kan ge mycket stora netto-effekter på säkerheten.

Det finns en rad kostnadsfria åtgärder som kan förebygga phishing i en verksamhet, t.ex. förtydligande av policys, nya rutiner för att verifiera avsändare av e-post som behandlar en viss typ av information etc. En av de mest effektiva metoderna är att aktivera ett Security Awareness-program där slutanvändarna kontinuerligt utbildas och tränas.

Nimblr Security Awareness Program kombinerar phishing-simuleringar, korta online-kurser och zero-day-classes. Lösningen levereras som en tjänst och kan aktiveras på några minuter.

Utbilda mina användare hur då?

Med en strid ström av varningar om nya cyberhot, phishing-attacker och bedrägerier i tidningar och säkerhetsbloggar så följer också vanligtvis något klokt expertutlåtande. Ett antal råd till företag och organisationer om hur de ska skydda sig.

I nio av tio fall trycker man extra hårt på vikten av att utbilda sina användare om IT-säkerhet, men sällan presenteras något konkret förslag om hur det kan göras. Vi på Nimblr har länge funderat över frågan om hur man lyfter säkerhetsmedvetenheten hos vanliga datoranvändare.

Både dagspress och branschtidningar varnar oss ständigt för nya attacker, falsk e-post och andra e-bedrägerier. Få kollegor i IT-branschen blir särskilt förvånade över att höra hur företag drabbats av kostsamma IT-bedrägerier eller tidskrävande virus. Många av oss skulle kunna återge experternas råd och förslag i sömnen; uppdaterad mjukvara, fungerande antivirus och så viktigast av allt, att utbilda sina användare.

Redan för fem år sedan började jag och mina kollegor fundera över experternas ständiga förmaningar om vikten av att utbilda sina användare. Företaget som jag då arbetade för utvecklade och levererade tekniska säkerhetslösningar såsom antivirus, spam- och web-filter och vi kunde erbjuda våra kunder lösningar som hjälpte dem med mjukvaruuppdateringar och antivirus. Men det viktigaste rådet, det om att utbilda sina användare, hade vi inga lösningar för.

Att utbilda sina användare om IT-säkerhet kan låta som «mission impossible». Hur ska vanliga datoranvändare hitta tid och motivation att sätta sig in i ett, för gemene man, så ointressant ämne som IT-säkerhet? Även om vi, mot förmodan, lyckas samla alla våra användare för en dags utbildning är risken stor att kunskaperna snabbt blir inaktuella eller glöms bort. Dessutom hade det blivit mycket kostsamt att avsätta en heldag för samtliga anställda.

På Nimblr började vår idé om att utbilda användare att växa. Tillsammans med beteendevetare, e-learningexperter och psykolog utformade vi ett online-baserat koncept med fokus på att förändra användarens beteende och stärka säkerhetsmedvetandet.

Genom korta interaktiva mikroutbildningar, övningar och simuleringar kunde vi nå samtliga användare. Vi lånade hackarnas egna modell, som de använder för att motivera användare att klicka på skadliga länkar, och skapade ofarliga simuleringar som leder användarna till mikro-utbildningar i just det ögonblicket de gjort ett potentiellt skadligt val.

Resultatet talade för sig själv. Hos våra tidiga test-kunder kunde vi, efter bara några månader med Nimblr Security Awareness, notera en signifikant minskning av antalet klick på våra simulerade attacker. Genom att automatiskt använda information som våra kunder registrerat hos oss gör vi med tiden simuleringarna mer avancerade och svårare att genomskåda – precis som hackare gör i verkliga attacker. Användarna bygger successivt upp en medvetenhet och försiktighet och motiveras av sina egna misstag. Vi hade äntligen ett svar på frågan; hur utbildar man sina användare? Det gör man inte – användarna utbildar sig själva!

www.nimblr.no

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.