– Det holder ikke med et skippertak en gang i året
Forskningssjef Kai Roer i KnowBe4 Research oppfordrer til månedlige tester og opplæring i sikkerhet.
I år arrangerer Norsis den årlige kampanjen Nasjonal sikkerhetsmåned for 11. gang. Formålet med kampanjen er blant annet å øke kompetansen og bevisstheten rundt it-sikkerhet.
Kai Roer er forskningssjef i KnowBe4 Research. Han vil gjerne minne oss på at sikkerhet er viktig i alle årets 12 måneder, og ikke bare i oktober.
– Det er veldig bra at vi har oktober som sikkerhetsmåned, hvor mange virksomheter fokuserer på trening og opplæring av de ansatte. Men forskning viser at et skippertak en gang i året absolutt ikke holder. Trendene endrer seg ekstremt fort, og vi ser nye svindelmetoder hele tiden, sier han.
Månedlig sikkerhetstrening av ansatte
KnowBe4 Research er basert i Norge og er den internasjonale forskningsenheten til IT-selskapet KnowBe4. I KnowBe4 sin siste undersøkelse, «State of Privacy and Security Awareness Report», ser de på sammenhengen mellom sikkerhetstrening og atferd hos medarbeidere i USA. Her kommer det frem at opplæring i it-sikkerhet har en direkte sammenheng med risiko for dataangrep på arbeidsplasser.
– Likevel ser vi at virksomheter har en skippertakstilnærming til sikkerhetstrening, sier Roer, og fortsetter:
– Mange store it-institusjoner peker på hvor viktig det er å utøve en atferd som minimerer risikoen for alvorlige angrep. Likevel ser vi vellykkede angrep ukentlig. Den aller beste måten å sikre seg mot dette er å lære opp de ansatte, og å sørge for god sikkerhetskultur og jevnlig trening, ikke bare i oktober, sier Roer.
Ifølge forskningssjefen gjør de ansatte bedre vurderinger dersom de får sikkerhetstrening én gang i måneden. Det holder altså ikke med opplæring og bevisstgjøring en til to ganger i året.
– 34 prosent flere av dem som får opplæring hver måned sier det er sannsynlig å bli utsatt for et dataangrep ved å trykke på en usikker lenke, sammenliknet med dem som får trening to ganger i året, sier Roer.
Ulåst PC kan angripes
Den samme trenden skal være gjennomgående i hele rapporten. Ifølge KnowBe4 er det bare 37 prosent av de som får trening to ganger i året som tror det er sannsynlig at de blir utsatt for dataangrep hvis de forlater datamaskinen ulåst, mot 51 prosent av de som får månedlig trening.
Ifølge selskapet skal medarbeidere i offentlige virksomheter, helse og utdanning være blant dem som har minst forståelse for sikkerhetsrisiko.
– I vår forskning ser vi at den samme tendensen gjelder over hele verden, både på modenhet og på risiko. Også blant norske virksomheter er det en klar sammenheng mellom mengde sikkerhetstrening og antall angrep. Vår forskning viser at hvis du har en dårlig sikkerhetskultur, er det 52 ganger mer sannsynlig at de ansatte trykker på farlige lenker, enn hvis du har en god sikkerhetskultur. Sikkerhetsopplæring er et av elementene som er med i vurderingen av sikkerhetskultur, sier Kai Roer.