Gjør bevisstgjøring til en del av cybersikkerhetskulturen
«Bevissthet fører ikke til handling». Budskapeti en fersk rapport om passordatferd kan virke nedslående for alle som tilbyropplæring i sikkerhetsbevissthet. Og dessuten stemmer det. Bevisstgjøring erikke nok. Men det en viktig faktor for alle virksomheter som vil bygge en sterksikkerhetskultur, sier Per Lagerström, Director of Communication and Marketinghos Junglemap.
Hovedfunnene i LastPass årsrapport for 2022 talerfor seg: «65 % av de spurte hevdet at de hadde fått en eller annen formfor opplæring i cybersikkerhet, og flertallet (79 %) mente at opplæringenvar effektiv, enten den var formell eller uformell. Men av dem som har fåttopplæring i cybersikkerhet, var det bare 31 % som sluttet å gjenbrukepassord. Og bare 25 % begynte å bruke en passordadministrator.» Det eråpenbart ikke nok å få opplæring, uansett hvor god den er. Hvis opplæringenikke er en del av en sikkerhetskultur i virksomheten, der vi som ansatte kanpraktisere den sikkerheten vi har fått opplæring i, fører opplæringen rett ogslett ikke til den atferden vi ønsker oss. I verste fall, som ogsåLastPass-rapporten viser, kan opplæringen gi en falsk trygghet. Vi forvekslerkunnskap om hva vi bør gjøre, med hva vi faktisk gjør: «73 % avrespondentene vurderer de nåværende passordvanene sine som trygge, og 89 %er klar over at gjenbruk av passord er risikabelt. Likevel går mange fra éndårlig vane til en annen i et forsøk på gjøre passordhåndteringen så enkel sommulig», heter det i rapporten.
Og det kan bli verre. Når vi sammenligner ulikealdersgrupper, ser vi at generasjon Z (født 1997–2010) – som nå er på veiinn i arbeidslivet – har høyest selvtillit når det gjelder cybersikkerhet,mens det er motsatt for etterkrigsgenerasjonen (født 1946–1964), som nåforlater arbeidslivet: De er mindre selvsikre når det gjelderpassordhåndtering, men mer forsiktige – og dette er generasjonen med bestpassordhygiene. Rapporten viser også at bare 33 prosent avmillenniumsgenerasjonen og generasjon Z er strengere og mer forsiktige nårdet gjelder arbeidsrelatert passordhåndtering. Men en ny, oppkoblet og hybridarbeidshverdag blir grenselandet mellom privatliv og arbeidsliv et nytt sårbartområde der ansatte blander private og profesjonelle IT-vaner og -miljøer. Dettevar også et av temaene i F-secure Annual Threats Guide 2023 tidligere i år.
Hvordan kan en kultur for cybersikkerhet bidra– og hva betyr det i praksis? Målet med bevisstgjøring er nettopp øktbevissthet. Men sluttbrukerne prøver fortsatt å gjøre passordhåndteringen såenkel som mulig – og vi må ha verktøyene som gjør det mulig med sammesikkerhetsnivå.
Som en del av Junglemaps program forinformasjonssikkerhet bruker vi våre egne NanoLearning-kurs. Med leksjoner påtre minutter hver tredje uke får vi både repetert, reflektert og forsterket dennye lærdommen hele året. På den måten bygger og opprettholder vi en øktsikkerhetsbevissthet.
Sjansen for at noen av oss ville gjort dette påegen hånd, er liten. Ifølge LastPass-rapporten var det 65 % som ikkeoppsøkte opplæring i cybersikkerhet på egen hånd.
Dette er også en av de viktigste grunnene til atNanoLearning fra Junglemap er en distribuert måte å lære på. Vi retter oss motdet store flertallet som mangler tid eller motivasjon, og gir dem det sammebudskapet og det samme innholdet til samme tid.
Men til syvende og sist er det kombinasjonen avøkt bevissthet og organisatoriske og tekniske verktøy som skaper nye ogtryggere vaner. Sist jeg sjekket, hadde jeg 71(!) sikre passord i denobligatoriske passordadministratoren vår. Jeg kunne aldri ha husket alle disseuten dette verktøyet. Tvert imot ville risikoen for at jeg begynte å gjenbrukegamle passord, øke drastisk. Selv om jeg vet at det er risikabelt.
