Insider
- Im vergangenen Jahr erlebten Unternehmen und Regierungsbehörden einen Anstieg von Cyberangriffen.
- Die Sicherheitstechnologie ist fortgeschritten, aber Cyberkriminelle nutzen immer noch eine große Schwäche aus: Menschen.
- Zwei Experten erklären Insider, wie Unternehmen ihre Belegschaft schulen und sich vor Angriffen schützen können.
- Das Gespräch war Teil der virtuellen Veranstaltung „Cybersecurity Trends: Prepare For A More Secure Future“ von Insider, präsentiert von Cisco, die am Donnerstag, den 12. Mai 2022 stattfand.
- Klicken Sie hier, um eine vollständige Aufzeichnung der Veranstaltung anzusehen.
2021 war ein gutes Jahr für Cyberkriminelle.
Eine Rekordzahl von 66 % der Unternehmen wurde im Jahr 2021 von Ransomware-Angriffen getroffen, 78 % mehr als 2020, so a Bericht der Tech-Sicherheitsfirma Sophos. Kriminelle, die Computersysteme über Ransomware als Geiseln halten, können zu Datenverlust und Rufschädigung führen.
Trotz Innovationen im Sicherheitsbereich zeichnet dies ein düsteres Bild für Privatunternehmen und Regierungsorganisationen.
Unwissende Mitarbeiter bleiben das schwächste Glied und das einfachste Ziel für Cyberkriminelle, so Steven Hernandez, Chief Information Security Officer im US-Bildungsministerium, der am Donnerstag auf dem Cybersicherheitspanel mit dem Titel „Cybersicherheitstrends: Bereiten Sie sich auf eine sicherere Zukunft vor,“ von Cisco präsentiert. Die Lösung besteht nicht einfach darin, mehr Schulungen hinzuzufügen, um die Mitarbeiter in Sicherheitspraktiken zu schulen, sondern darin, eine Kultur des Bewusstseins aufzubauen, die auf Kreativität, Sensibilität und Engagement basiert, sagte er.
„Ehrlich gesagt ist der Mensch für unseren Angreifer das weichste und einfachste Ziel in der Gleichung geworden“, sagte Hernandez.
Eine Kultur des Bewusstseins zu schaffen bedeutet, ehrlichere und offenere Gespräche mit den Mitarbeitern zu führen, die sie wachsam halten. Prävention beginnt mit der Mitarbeiterschulung, und die beste Person, die diese Bemühungen anführt, ist jemand, der sich für die Sache begeistert, sagte Jon Brickey, Senior VP bei Mastercard, auf dem Panel.
„Man muss wirklich jemanden finden, der kreativ und engagiert ist und so etwas gerne macht“, sagte Brickey. “Man muss es spannend machen.”
Dies kann laut Brickey viele verschiedene Formen annehmen, wie z. Bei Mastercard hat die Sicherheitsabteilung Online-Escape Rooms und Module erstellt, die in virtueller Realität präsentiert werden, um ein robustes ganzjähriges Engagement zu fördern.
Bei der Entscheidung, wie Mitarbeiter motiviert bleiben sollen, kann sich die Cybersicherheitsabteilung von der Realität inspirieren lassen. Das Bildungsministerium recycelt und verpackt tatsächliche Angriffe neu, in der Hoffnung, die Mitarbeiter darüber aufzuklären, wie cyberkriminelle Versuche aussehen, sagte Hernandez.
Aber das Mitarbeiterengagement hat seine Grenzen. Indem sie sich als Cyberkriminelle ausgeben und ihre Versuche wiederholen, Mitarbeiter dazu zu bringen, persönliche Informationen preiszugeben, was als Phishing bekannt ist, können Unternehmen laut Hernandez das Risiko eingehen, ihre Mitarbeiter zu verärgern oder zu frustrieren.
Die Nachahmung einiger der Schemata, die mit den Emotionen der Mitarbeiter spielen, wie z. B. vorzugeben, ein Familienmitglied zu sein, kann dazu führen, dass Mitarbeiter sich vollständig zurückziehen. Das könnte ein Cybersicherheitsprogramm um Wochen oder Monate zurückwerfen, sagte Hernandez.
Laut Brickey sollte die Führung der Cybersicherheit auch beim Zeitpunkt der Schulungen und Bewertungen respektvoll sein, um sicherzustellen, dass sie nicht mit Leistungsbeurteilungen oder jährlichen Boni zusammenfallen.
„Wir wollen keine Reibung erzeugen, wo sie nicht gebraucht wird“, sagte Brickey.
Laut Hernandez kann die Kommunikation mit der Führung im gesamten Unternehmen helfen, abzuschätzen, wie die Mitarbeiter auf die Tests reagieren werden. Und die Mitarbeiter sollten die Möglichkeit haben, bestimmte Module zu testen, um bei der Belegschaft Wohlwollen und Vertrauen aufzubauen, sagte er.
Die Beseitigung von Barrieren für cybersicheres Verhalten ist auch wichtig für die Sicherheitsabteilung, um Prioritäten zu setzen, sagte Hernandez. Beispielsweise hat das Bildungsministerium ein Tool in seinen E-Mail-Server integriert, mit dem Mitarbeiter eine verdächtige E-Mail direkt an das Sicherheitsteam senden können, um alle Hindernisse für die Meldung zu beseitigen.
Hernandez fordert auch den Aufbau positiver Beziehungen zwischen Sicherheitsabteilungen und Mitarbeitern, indem Mitarbeiter angerufen und anerkannt werden, wenn sie in der Schulung gute Leistungen erbracht haben.
Aber entscheidend ist, dass Unternehmen erkennen müssen, dass es keinen einheitlichen Ansatz für die Zusammenarbeit mit Mitarbeitern gibt, um sie besser zu schulen. Laut Hernandez variieren die Bedrohungsakteure je nach Unternehmen und Branche.
“Es wird immer eine menschliche Komponente geben”, sagte Hernandez. „Solange ein Mensch dabei ist, können sie immer ins Visier genommen werden.“