Det beste forsvaret mot nettkriminalitet er ikke teknologi, men utdanning

Hvorfor vi trenger å fokusere på å utdanne mennesker om hvordan vi aktivt kan forhindre cyberforbrytelser

Foto av Mikael Kristenson på Unsplash

Etter hvert som verdenen vår blir mer og mer koblet gjennom innovasjoner innen mobilteknologi, IoT og cloud computing, integrerer vi også mer av våre fysiske liv i den intrikate datanettet som finnes på nettet. Dessverre har nettkriminalitet vokst sammen med våre verdsatte teknologiske fremskritt, og nå har den kommet seg fra å målrette etablerte selskaper til å påvirke praktisk talt alle som er koblet til internett. Vi har forlatt oss mer sårbare enn noen gang for å bli utsatt for og miste kontrollen over våre digitale kontoer.

Midt i denne endringen har mange virksomheter økt sine investeringer i nettbaserte sikkerhetsprogrammer og protokoller for å forsvare seg mot nettkriminelle. Imidlertid er grunnårsaken til mange cyberforbrytelser i dag oftere, ikke menneskelig feil. Uten å utdanne teknologibrukere på riktig måte om risikoen ved å bruke online applikasjoner og plattformer, vil det være vanskelig å kontinuerlig forsvare seg mot den utviklingstaktikken som brukes av nettkriminelle.

Her vil vi undersøke hvorfor menneskelig feil har blitt en så integrert del av nettkriminalitetsrommet, og hvorfor dette er et kjerneproblem som må løses.

Den nåværende tilstanden for nettkriminalitet

Det er vanskelig å benekte at den økende tilkoblingen som følger av å laste opp livene våre på nettet, har økt allmennhetens eksponering for cyberforbrytelser enormt. Nåværende statistikk innen nettkriminalitet svimler mildt sagt, og nettkriminalitet anslås å påvirke mer enn 780 000 poster hver dag, for ikke å snakke om de estimerte globale kostnadene på $ 600 milliarder dollar per år.

Med at nettkriminalitet blir en slik lukrativ virksomhet, er det ingen overraskelse at det har fått oppmerksomheten til organiserte kriminalitetsgrupper som nå gjennomfører sofistikerte planlagte angrep mot mennesker i stor skala. Med muligheten til å skalere slike operasjoner er ikke-kriminelle ikke lenger bare rettet mot store, etablerte selskaper. Verizons dataovertredelsesrapport for data fra 2018 fant at “58% av alle skadelidte ofre var små bedrifter.” Ved å dra nytte av mindre team med færre IT-teknikere, har nettkriminelle funnet en lønnsom strategi som lett kan replikeres og har vist seg å være enda mer innbringende enn stor målrettet innsats. I tillegg, fordi små bedrifter vanligvis ikke har midler til å forfølge rettslige tiltak etter disse angrepene, er de generelt svakere motstandere som lettere kan manipuleres enn etablerte selskaper.

Cyberkriminelle bruker nå e-post som inngangspunkt

Gjennom dette skiftet har nettkriminelle funnet nye måter å infiltrere små bedrifter, spesielt gjennom e-postkommunikasjon, et verktøy brukt av nesten hver eneste ansatt. For tiden er phishing og malware to av de raskt voksende sektorene innen nettkriminalitet, og bruken av e-postkommunikasjon har vært sentral i veksten. Det er anslått at for tiden 92% av skadelig programvare blir levert via e-post, og viser den relativt høye suksessraten for å levere angrep via e-post. Fullføringen av disse angrepene avhenger av om det potensielle offeret kan merke små forskjeller i disse e-postene eller ikke. En vekst i e-postbaserte angrep indikerer et skifte mot ofre som er mindre teknologisk informerte og ofte uforsiktige. Dette er forankret i mangel på utdanning så vel som en minimal forståelse av risikoene forbundet med online transaksjoner.

Cybersecurity-utdanning er foreløpig ikke god nok

Studier har vist at det er systemisk mangel på utdanning innen arbeidsplasser når det gjelder cybersikkerhet. I følge en undersøkelse fra MediaPro fra 2017, “utpekte 7 av 10 ansatte atferd som setter organisasjonene deres i fare for en personvern- eller sikkerhetshendelse.” Selv om det er en forbedring fra året før, trenger faktisk angripere bare å overtale en ansatt å gi fra seg kontoinformasjon for å utføre et fullstendig angrep. For eksempel, i Target-hacket som berørte 70 millioner kunder, kunne hackeren infiltrere systemet deres ved å gjennomføre en vellykket phishing-kampanje via e-post gjennom en av leverandørene deres. Feilen til en ansatt hos denne leverandøren endte opp med å påvirke millioner av kunder på en tilknyttet virksomhet.

Behovet for å kommunisere risikoer forbundet online aktiviteter

I tillegg er mange mennesker ikke klar over risikoen som følger med deres daglige online interaksjoner. Bedrifter og forbrukere har blitt vant til å lagre dataene sine på skyen og tenker ikke alltid på implikasjonene av de hundrevis av digitale transaksjonene de tar del i hver dag. En av grunnene til at menneskelige feil som bidrar til cyberattacks er utbredt på tvers av bransjer, er at ansatte ikke tenker på potensielle risikoer når de logger seg på et nytt nettsted eller åpner e-post i sin forretningsinnboks. Når folk ikke er klar over hvordan en enkel online-interaksjon kan bli til en storskala hacking, er det mindre sannsynlig at de legger innsatsen i å dobbeltsjekke innhold før de deler viktig informasjon som kan resultere i vellykkede hacks.

Nettfisking og malware er begge metoder som helt avhenger av offeret for å gjøre enkle feil, enten det er å gi legitimasjon på en falsk destinasjonsside eller laste ned en infisert fil. Så mye som sofistikerte cybersikkerhetssystemer kan filtrere ut mistenkelig kommunikasjon, er utdanning for brukere viktig for å beskytte kontoene deres mot hackere, spesielt når rekkevidden deres øker stadig. Ved å utdanne ansatte og allmennheten på en god måte for nettbasert sikkerhet, kan vi samlet ta et stort skritt mot en tryggere og trygg fremtid.

Følg oss på Twitter, Telegram, LinkedIn eller Facebook for de siste oppdateringene!

Skrevet av Renee Yang.