Hva er innsidetrussel?
Dine ansatte utgjør hjertet i virksomheten din, enten det er personen som tar målinger for et nytt bygg, administratorene som behandler søknader til universitetet, eller kontorsjefen som skriver ut viktige dokumenter. Alle spiller en viktig rolle. Men samtidig er alle mennesker utsatt for å gjøre feil. Innsidetrusler refererer til personer som jobber i selskapet og hvis feil kan true sikkerheten til selskapet. Dessverre kan selv den minste feil en ansatt gjør få store konsekvenser. Dette gjelder spesielt for små og mellomstore bedrifter (SMB), hvor virkningen av et angrep kan vise seg å være avgjørende for virksomheten.
Nettkriminelle vet allerede at det svake punktet i et selskaps digitale forsvar er de ansatte som jobber der. De er avhengige av folk som mangler opplæring eller omsorg, for eksempel når de logger inn eller svarer på en e-post, i håp om at ansatte ikke er klar over risikoen.
For å finne ut hvordan selskaper er utsatt for innsidetrusler, gjennomførte vi undersøkelser med små og mellomstore bedrifter (SMB) over hele Europa. Ved å snakke med 5.770 IT-beslutningstakere i bransjer som bygg, jus, utdanning og helsevesen, fremhever våre funn online sårbarheter og problemer. Slik det ser ut nå, mener nesten fire av ti (37 %) av respondentene at ansatte som ikke følger opplæring eller retningslinjer, utgjør en betydelig risiko for effektiviteten av IT-sikkerhet. Men det er mer i historien.
Utfordringen med menneskelige feil
Ditt digitale forsvar er bare så sterkt som ditt trente personale. Selv med tradisjonelle forretningssikkerhetssystemer på plass, kan menneskelige feil gjøre cyberbeskyttelse ineffektiv. Det er derfor ikke overraskende at en tredjedel av respondentene våre nevnte mangel på kunnskap eller opplæring blant ansatte som noe som har økt bekymringen for IT-sikkerhet.
En hel rekke vanlige feil kan føre til sikkerhetsbrudd. Kanskje markedssjefen din ved et uhell sender sensitiv kundeinformasjon til feil konto. Eller kanskje en lærerassistent ved et uhell følger en ondsinnet lenke i en e-post og avslører studentdata (et angrep kjent som phishing). Det kan til og med være slik at noen lager kopier av konfidensielle sider på kontorskanneren, men glemmer å fjerne originaldokumentet fra skuffen etterpå.
Selvfølgelig er det ulike faktorer som spiller inn. Ansatte kan ganske enkelt ikke være klar over risikoen, noe som betydelig svekker forsvaret mot dem. Mange ansatte i selskapet svarer kanskje ikke på opplæringsforespørsler fordi de er for opptatt eller fordi de tror de allerede har fått opplæring. Noen kan til og med være klar over selskapets sikkerhetspraksis, men kan fortsatt være utsatt for sporadiske feil. La oss ta en titt på hva våre SMB-resultater avslørte.
Dette viser studien
La oss se hva de europeiske SMB-bedriftene vi spurte om hadde å si.
Hver bedrift, stor eller liten, bruker e-post til å kommunisere på en eller annen måte. Søppelmapper kan være ganske gode til automatisk å filtrere spam fra ukjente avsendere. Men etter hvert som nettkriminalitet blir mer sofistikert, øker phishing-angrepene. Phishing-angrep, som nå er den vanligste formen for nettkriminalitet, er avhengig av at dine ansatte feilberegner. Samtidig kan angrep fra skadelig programvare skje når enheter på nettverket ditt (som telefoner, nettbrett og skrivere) ikke er helt sikre. Ethvert angrep kan føre til ødeleggende resultater. 20 % av SMB-ene vi undersøkte nevnte tap av data som sitt største sikkerhetsproblem. For å unngå feil bør bedriftsledere sørge for at deres ansatte er fullt klar over hva de skal se etter i hver e-post og konsekvensene av ikke å sjekke ordentlig.
Til tross for alle fordelene har hybridarbeid økt bekymringen for sikkerhetsrisikoer for små og mellomstore bedrifter. Samtidig er 29% nå også mer bekymret på grunn av ansatte som bruker sine egne enheter. Mange ansatte ønsker å jobbe både på kontoret og hjemme, men noen kan velge å jobbe i kaffebarer eller coworking-områder. Steder der nettverk ikke er sikre. Til tross for disse bekymringene har nesten tre femtedeler (59 %) av små og mellomstore bedrifter ikke økt opplæringen i IT-sikkerhet siden de byttet til en hybridmodell. Kombinasjonen av potensielt usikre nettverk og utdatert sikkerhetskunnskap betyr at feilene florerer.
Bedrifter håndterer mange sensitive data hver dag. Enten disse dataene tilhører studenter, pasienter, kunder eller selskapet selv, kan det ikke benektes at du må håndtere dem med forsiktighet. Datainnbrudd kan skje på alle endepunkter (enheter koblet til nettverket) – fra kontorskriveren til ansattes nettbrett. Dessverre, med bare en tredjedel av SMB-er som har sikkerhet for å dekke skrivere, dekker mange ikke alle baser. I tillegg er ikke alle ansatte klar over hvor risikoen ligger. Faktisk er en tredjedel av små og mellomstore bedrifter enten ikke veldig sikre (14 %) eller stoler ikke på (15 %) at deres ansatte har tilstrekkelig kunnskap om IT-sikkerhetsrisikoer.
To måter å håndtere innsidetrusler på
Med tanke på forskningen vår, bør små og mellomstore bedrifter gjøre reduksjon av innsidetrusler til topp prioritet. Det er to forskjellige tilnærminger for å gjøre dette effektivt - som begge er like viktige.
1. Bygge en sterk sikkerhetskultur:
For det første handler det om å forstå og adressere den menneskelige siden av sikkerhet i selskapet. Det er viktig å bygge en sikkerhetskultur på nettet som når alle ansatte, ikke bare IT-avdelingen og kontorarbeiderne. Alle, fra de som leverer varer til de som tar telefonen, bør huske beste praksis for sikkerhet når de jobber. En måte å teste ansattes svar på en trygg og forebyggende måte kan være å simulere «phishing-vurderinger», hvor falske ondsinnede e-poster sendes ut av selskapet. En annen tilnærming er å gjøre online sikkerhetsopplæring obligatorisk for alle ansatte å delta på.
2. Implementere riktig teknologi:
For det andre må du sørge for at teknologien er riktig. Mens innsidetrusler avhenger av folks handlinger, kan teknologi bidra til å forhindre feil – og en flerlags sikkerhetsstrategi bidrar til å dekke alle baser. Dette vil i hovedsak omfatte en rekke sikkerhetskontroller, regelmessige risikovurderinger og opplæring, mer regelmessig penetrasjonstesting (testing av nettverket ditt for tredjeparts tilgjengelighet) og overvåking døgnet rundt. Det er viktig å finne balansen mellom teknologi og minne de ansatte på rollen de spiller.
Feil skjer, men cyberangrep trenger ikke å gjøre det
Akkurat som alle andre, vil ansatte gjøre feil. Enten du er bedriftsleder eller administrativ assistent, kan ulykker skje, m en det betyr ikke at cyberangrep må være uunngåelige. Å gi tilstrekkelig opplæring og øke ansattes bevissthet, nøyaktighet og ansvarlighet bidrar til å minimere feil som kan føre til reell skade.
Hvis eller når det oppstår en feil, er det viktig å ha riktig cyberbeskyttelse på plass. Hos Sharp hjelper vi små og mellomstore bedrifter med å bygge robuste digitale forsvar ved å sikre at de har riktig nivå av cyberbeskyttelse i drift i dag. Vårt omfattende utvalg av skreddersydde sikkerhetstjenester og -løsninger gir et ekstra lag med forsvar til bedriftens sikkerhetssystemer.