Selv det mest avanserte sikkerhetssystemet vil mislykkes hvis de som bruker det, ikke forstår hvordan de skal beskytte seg selv og organisasjonen, skriver Kai Røer.
Foto: ColourboxVi er bare et tastetrykk unna full krise
Digital sikkerhet krever investering i opplæring, trening og utvikling av ansattes bevissthet.
Kai RøerVi lever i en tid hvor cybertrusler og dataangrep er en konstant trussel mot samfunnet. Norske virksomheter investerer enorme summer i avanserte sikkerhetssystemer, men la oss være ærlige: Det holder ikke. Hvorfor fortsetter vi å neglisjere vår viktigste ressurs – våre egne ansatte?
Det er på høy tid at vi begynner å dyrke en sikkerhetskultur i våre organisasjoner.
IT-sikkerhet handler om mer enn bare å investere i dyre teknologiske løsninger. Det handler også om å bygge en kultur der sikkerhetsinnsatsen inkluderer kunnskap om hvorfor mennesker handler som de gjør.
Dessverre er mange organisasjoner blitt blendet av blinkende lys og stilige algoritmer, mens de glemmer sin fremste ressurs.
Tallene taler for seg selv: Ifølge World Economic Forums rapport The Global Risk Report 2022 gjennomføres hele 95 prosent av alle vellykkede IT-angrep ved å utnytte ansattes tillit eller uoppmerksomhet. Likevel allokeres kun en brøkdel av sikkerhetsbudsjettet til kulturutvikling og forståelse av ansattes handlingsmønstre.
Er det ikke på tide å endre denne ubalansen?
Jeg har jobbet med sikkerhet i mange år, men har likevel selv erfart hvor lett det er å bli lurt. «Din lønn skal reduseres», sto det på en e-post som tilsynelatende var sendt fra en kollega i HR-avdelingen.
«Hvorfor skal min lønn reduseres?», tenkte jeg. Med følelser av sinne og urettferdighet klikket jeg på lenken. Dermed gikk jeg rett i fella, og demonstrerte for meg selv og hackeren at jeg også bare er et menneske. Heldigvis var det en øvelse.
Det er på høy tid at vi begynner å dyrke en sikkerhetskultur i våre organisasjoner. Manglende kommunikasjon og forståelse for ansattes arbeidshverdag er ofte det som står i veien for å oppnå dette. Vi må forstå hvorfor mennesker handler som de gjør for å kunne beskytte oss selv og våre selskaper bedre.
La oss være ærlige – retningslinjer som sier «ikke trykk på lenker i e-post og for guds skyld, du må ikke åpne vedlegg» er ikke bare ineffektive, de skaper også distanse mellom sikkerhetseksperter og ansatte.
Folk vil gjøre det de blir betalt for å gjøre, nemlig å utføre sine arbeidsoppgaver. Mange ansatte har oppgaver som omfatter å åpne vedlegg og å trykke på lenker. For eksempel regnskapsmedarbeideren som behandler fakturaer eller saksbehandleren som skal håndtere en forespørsel.
Vi må finne bedre måter å trene og engasjere ansatte på. Digital sikkerhet blir ikke styrket bare ved å pøse mer penger inn i teknologi. Det krever investering i opplæring, trening og utvikling av ansattes bevissthet.
Selv det mest avanserte sikkerhetssystemet vil mislykkes hvis de som bruker det, ikke forstår hvordan de skal beskytte seg selv og organisasjonen. Vi må begynne å bygge broen mellom teknologi og mennesker, og dyrke en kultur av ansvar, bevissthet og forståelse.
Dette er ikke bare en oppfordring, det er en påminnelse om at vårt beste forsvar mot cybertrusler allerede befinner seg innenfor våre egne vegger.