Estimeret læsetid: 4 minutter
Forestil dig et sikkerhedsbrud i en dansk virksomhed. Det starter ikke med avanceret malware eller en sårbarhed i systemet. Det starter med en helt almindelig mail, som lander hos en medarbejder, der har travlt. Han eller hun klikker på et link, der ser legitimt ud, og i dét øjeblik er skaden sket.
Den slags hændelser sker oftere, end de fleste tror. Ifølge den nyeste rapport om Danskernes Informationssikkerhed har 76 % af danskerne været udsat for digitalt svindel som privatpersoner. Det lyder måske som noget, der først og fremmest hører hjemme i hjemmet, men det gør det ikke.
For de mennesker, der bliver snydt privat, er præcis de samme, der logger ind på virksomhedens netværk mandag morgen. De bruger samme telefon, har den samme adfærd og ofte de samme adgangskoder. Det er deres digitale vaner – ikke deres it-afdeling – der i praksis afgør, hvor sårbar organisationen er.
Det er netop de vaner, angriberne interesserer sig for.
Når vi taler om hackere, tænker mange stadig i tekniske færdigheder og avancerede angreb. I virkeligheden arbejder mange af dem mindst lige så systematisk med mennesker. De observerer mønstre i adfærd, genkender travlhed, udnytter tillid og ved, hvordan hverdagsrutiner ser ud i danske organisationer.
Det handler derfor sjældent om at bryde et system ned. Det handler om at finde det øjeblik, hvor et menneske handler automatisk.
Og det er her, phishing bliver så effektivt.
Phishing ligner ikke længere en trussel
Langt de fleste succesfulde angreb udnytter sociale og psykologiske mekanismer. De er bygget til at ligne noget, modtageren allerede kender: en mail fra chefen, en besked fra en kollega, en anmodning om at bekræfte en leverance.
Når noget føles kendt, reagerer vi hurtigt og tænker mindre.
Det er dét, angriberne udnytter. Ikke fordi vi er naive, men fordi vi er mennesker. Og i en travl arbejdsdag er det ikke altid mistanke, der styrer musen. Det er automatiske handlinger. Rutiner. Tillid.
Teknikken stopper ikke adfærd
Det er ikke, fordi tekniske løsninger ikke er vigtige. Det er de. Men de kan ikke stå alene. En nok så avanceret firewall kan ikke forhindre en medarbejder i at klikke på et link i en veludført phishingmail. Det, der gør forskellen, er, om medarbejderen genkender mønsteret og ved, hvordan man reagerer.
Derfor er awareness ikke et kryds i et Excelark. Det er en sikkerhedsstrategi i sig selv.
Så hvad gør de mest digital sikre virksomheder?
De arbejder ikke med awareness som kampagner, men som kultur.
De træner ikke for at opfylde krav, men for at ændre vaner.
De skaber ikke frygt, men forståelse.
Hos Mindzeed hjælper vi organisationer med at omsætte menneskelig indsigt til digital sikkerhed. Vi bruger virkelighedsnære simulationer, mikro-læring og adfærdspsykologi som værktøjer til at gøre sikker digital adfærd til en naturlig del af hverdagen.
Vil du vide, hvordan jeres organisation ville reagere?
Vi viser jer gerne, hvordan træning og adfærdsforståelse kan bruges til at styrke sikkerhedskulturen.
Book en demo – eller tag fat i os, hvis I har lyst til en faglig snak.
Det kræver en strategi, hvor mennesker er en del af løsningen, og ikke bare ses som en risiko, der skal minimeres. Digital awareness træning er en del af den strategi. Vil du vide, hvordan I kan komme i gang, uden buzzwords og uden bøvl?