Når vi i Cyber Security Education Denmark (CSED) og CyberNordic arbejder med awareness træning og Cyber Security, fokuserer vi ikke kun på at formidle viden, men endnu vigtigere på at skabe adfærdsændringer. Det er en essentiel tilgang, fordi menneskelig adfærd ofte er den svageste led i sikkerhedskæden. Teknologiske løsninger kan være nok så avancerede, men hvis ikke de mennesker, der bruger teknologien, har de rette vaner og bevidsthed, vil sikkerhedsniveauet i organisationen stadig være sårbart.

For at forbedre sikkerhedskulturen i en virksomhed, er det nødvendigt at forstå, at man arbejder med mennesker og ikke maskiner. Maskiner følger strikse regler og algoritmer, mens mennesker kan være impulsive og fejlbarlige. Det er en vigtig erkendelse, når man forsøger at forhindre sikkerhedsbrud.

Statistikker viser, at 80% af de sikkerhedsbrud, som virksomheder udsættes for, skyldes menneskelige fejl. Ofte sker dette gennem et klik på et link i en e-mail (phishing), en sms (smishing) eller over telefonen (vishing). Disse angreb udnytter menneskers naturlige tillid og nysgerrighed. Selvom mange er bevidste om risikoen ved disse angreb, bliver de alligevel ofte lokket i fælden. Dette skyldes, at de cyberkriminelle konstant udvikler deres metoder og bliver mere sofistikerede i deres angreb.

Derfor er awareness træning afgørende. Ved at træne medarbejdere i at genkende og reagere korrekt på sikkerhedstrusler, kan man reducere risikoen for, at de falder for disse angreb. Awareness træning skal ikke kun handle om at give information, men også om at ændre adfærdsmønstre. Dette kan omfatte praktiske øvelser, simuleringer af phishing-angreb og løbende opfølgning for at sikre, at træningen har den ønskede effekt.

Et centralt begreb i denne sammenhæng er social engineering. Ifølge Center for Cybersikkerhed er social engineering en teknik, hvor der anvendes psykologiske greb for at få offeret til i god tro at udføre en handling, som vedkommende ellers ikke ville have udført. Det kan eksempelvis være at afgive loginoplysninger eller videregive informationer om organisationen, dens processer, systemer eller kunder. Social engineering spiller på menneskers følelser og adfærdsmønstre, og derfor er det så effektivt.

De cyberkriminelle udnytter ofte stressede situationer, autoriteter eller tillidsforhold for at manipulere deres ofre. Eksempler på dette kan være falske e-mails, der foregiver at komme fra en højere op i hierarkiet i organisationen, eller telefonopkald fra personer, der udgiver sig for at være teknisk support. Disse angreb kan være ekstremt overbevisende og svære at modstå, især hvis man ikke er trænet i at genkende dem.

Derfor er det ikke nok blot at implementere tekniske sikkerhedsforanstaltninger. Man skal også arbejde målrettet med at styrke medarbejdernes modstandskraft mod social engineering. Dette kan opnås gennem kontinuerlig awareness træning, der ikke kun øger viden, men også ændrer adfærd. Ved at fokusere på adfærdsændringer kan virksomheder opnå en mere robust sikkerhedskultur og dermed bedre beskytte sig mod cybertrusler.