Cyberkriminalitet: Derfor lykkes ikke bedriften med sikkerhetstiltakene
Det legges mye press på it-sjefene i norske bedrifter i kampen mot cyberkriminalitet. Men hr-avdelingen sitter på mye av løsningen.
I takt med at digitaliseringen skyter fart, blir samfunnet også mer sårbart for digitale trusler. Hackerangrep og annen cyberkriminalitet øker for hvert minutt som går, og mange norske bedrifter henger dessverre altfor langt etter. Dét er ikke bare it-sjefenes feil.
Når en bedrift rammes av et dataangrep, er prislappen høy. Nasjonal sikkerhetsmyndighet (NSM) trekker frem at de globale kostnadene knyttet til cyberkriminalitet i 2024 vil være på hele 100.000 milliarder kroner.
Cyberkriminalitet har vokst seg til en enorm industri. Den rangeres som verdens tredje største økonomi, kun slått av USA og Kina. Å investere i bedriftens digitale sikkerhet er ikke bare lurt, det er helt nødvendig.
Om du ikke allerede har opplevd et dataangrep, er det grunn til å tro at det bare er et spørsmål om tid. Er du forberedt?
Nesten alle dataangrep går via mennesker.
I møte med våre kunder opplever vi både høy kompetanse og gjennomføringskraft for å trygge bedriftenes systemer. Både ledelse og it-avdelinger har god forståelse for sikkerhetsutfordringene. Det er et race å holde bedriftens sikkerhetsløsninger oppdatert. De cyberkriminelle finner stadig nye metoder.
Å sikre seg krever en helhetlig tankegang og beskyttelse fra ende til ende, fra de ansattes enheter til bedriftens skyløsninger og infrastruktur. Men uansett hvor komplette sikkerhetsløsningene er, er det likevel noe som ikke fungerer.
Faktum er at hele 98 prosent av alle dataangrep går via mennesker. Ved hjelp av sosial manipulasjon lurer de kriminelle seg inn gjennom de ansattes tilganger. Dessverre viser intervjuer vi har gjennomført i forbindelse med vår nyeste sikkerhetsrapport, «Buckle up», at de ansatte ikke våger å melde fra når noe skjer.
Å la seg lure, å trykke på den lenken, er skamfullt.
Teknologi og prosesser er viktige, men erfaringen vår har vist at det kritiske punktet er menneskene. Mennesker er enkle å hacke. Hvis du ikke har godt opplærte og motiverte medarbeidere i ryggen, spiller det mindre rolle hvor mye du investerer i verktøy og teknologi.
Det er her HR kommer inn, for dette handler om kultur. Sikkerhetskultur. Vi har dypdykket i tematikken, og gjennom kvantitative og kvalitative undersøkelser har vi kommet frem til fem byggesteiner for å lykkes med en god sikkerhetskultur i bedriften:
- Psykologisk sikkerhet. Skap et miljø der ansatte føler seg trygge til å rapportere sikkerhetshendelser og diskutere bekymringer uten frykt for konsekvenser.
- Mild paranoia. Ja, for litt redde skal vi likevel være. Det er alvorlig om bedriften rammes. Her handler det om en balanse mellom å realitetsorientere og trygge de ansatte.
- Null friksjon. Det må gjøres enkelt for de ansatte å forstå og engasjere seg i bedriftens datasikkerhet. Det handler både om verktøy og om språk – for datasikkerhet er og blir en kompleks materie.
- Forskjellige perspektiver. Nå må vi røske litt i gutteklubben som vet best. Slipp til nye stemmer i bedriften som kan snakke og mene noe om datasikkerhet. Det vil gjøre dere bedre rustet.
- Kontinuerlig læring. Vi kan aldri sjekke av og si oss fornøyd. Her handler det om å feile (helst uten for store konsekvenser) og evne å lære og utvikle seg videre. Dette er et felt i rivende utvikling, både for de kriminelle og for oss på forsvarssiden.
Sist, men ikke minst må vi dele og samarbeide mer.
Vi kan ikke jobbe med datasikkerhet i hver vår silo. Skal vi stå imot cyberkriminalitet må vi stå sammen, både bedrifter og myndigheter. Ved å dele erfaring. Dele innsikt. Og gjennom felles bekjempelse.
Vi må legge konkurranse til side for et felles mål. Sammen er vi sterkere.
