Af Sabina Schmidt    

Det er ikke teknologi eller manglende sikkerhedsforanstaltninger, der er skyld i de største sikkerhedsbrud på arbejdspladserne. Tværtimod er det ofte menneskelige fejl. Derfor bør virksomheder i højere grad træne medarbejdernes digitale selvforsvar, forklarer Peter Gustafsson fra Barracuda Networks.​

Der er kommet et øget fokus på medarbejdernes rolle i virksomhedens samlede digitale forsvar. Heldigvis! Utallige rapporter, bl.a. fra analysevirksomheden Gartner, peger nemlig på, at netop medarbejderne er det svageste led i it-sikkerhedskæden.

Studier viser, at 98 pct. af alle cyberangreb starter gennem de sociale kontakter. En tilsyneladende uskyldig intern mail kan komme fra en it-svindler – og i værste tilfælde kan det betyde, at den uvidende medarbejder eksponerer hele sit netværk og virksomheden for fare.

-It-kriminalitet er i konstant udvikling, og det er ikke længere nok at beskytte sig med antivirus, firewalls og avanceret teknologi. HR og ledelsen er nødt til at have kendskab til, hvordan de ansatte handler i mødet med forskellige it-trusler og træne dem i digitalt selvforsvar, siger Peter Gustafsson, der er nordisk chef hos Barracuda Networks.

Fire trin til et styrket cyberforsvar

Så hvordan får man flere til at kunne genkende et hackerangreb? Og er det overhovedet muligt at leve op til nutidens regler og sikkerhedskrav? Peter Gustafsson har fire råd til, hvordan man styrker virksomhedens digitale forsvar:

  1. Start med at udvælge de medarbejdere, der bør prioriteres, f.eks. ansatte, som har særligt følsomme stillinger og arbejdsopgaver i virksomheden.
  2. Kortlæg de ansattes handlinger i computersimulationer, hvor de gennemgår forskellige digitale angreb.
  3. Analysér deres adfærd over tid for at forstå, hvem, der gør hvad, hvordan og hvorfor.
  4. Omsæt disse observationer til konkret viden, som kan hjælpe medarbejderne til at blive endnu bedre til at kunne genkende hackerangreb, f.eks. gennem undervisningsforløb med spørgsmål og videoer.

Simuleringen af cyberangreb er vigtigt, da man er nødt til at have været udsat for troværdige angreb for at vide, hvordan man reagerer. Og det drejer sig ikke kun om mails på arbejdspladsen – medarbejdere er også sårbare via f.eks. sms, usb-sticks eller private mails.

Flere hundrede ansatte oplyste deres kodeord efter få dage

Selvom nogle enkelte måske vil føle sig taget ved næsen, når de finder ud af, at der er tale om falske cyberangreb, er det ifølge Peter Gustafsson den bedste vej frem: -Resultaterne bliver meget bedre, hvis man ikke røber noget inden. Det handler dog ikke om at snyde enkelte ansatte, men derimod om at gøre alle i virksomheden opmærksom på problematikken. Og det er der et virkelig stort behov for. Vi gennemførte en computersimulation i en mellemstor svensk virksomhed, og få dage efter havde flere hundrede personer videregivet deres kodeord, fortæller Peter Gustafsson.

Øgede krav i forbindelse med GDPR

Sikkerhedskravene øges hele tiden, og med GDPR fik arbejdsgiverne også et større ansvar for, at de ansatte håndterer virksomhedens data korrekt og sikkert. Og det er ikke blot en opgave, der bare skal udføres en enkelt gang, men derimod en løbende proces.

Der findes flere gode værktøjer til at udføre simulerede it-angreb og dermed træne medarbejderne i digitalt selvforsvar, heriblandt Barracuda PhishLine, som blev lanceret i Danmark i 2018. Det er gratis for virksomheder at teste deres ansatte, og resultatet bliver brugt som beslutningsgrundlag for IT, HR og andre dele af organisationen.

-Det er en hurtig og nem måde at se, hvor digitalt uddannede medarbejderne er. For viser det sig, at 25 pct. oplyser deres adgangskoder, er det et meget stærkt signal om, at der bør gøres noget, konkluderer Peter Gudtafsson.