10 nyckeltal som visar varför IT-skydd måste fokusera på människor framför infrastruktur

[KRÖNIKA] Verksamheter lägger enorma summor på IT-säkerhetsinvesteringar, summor som ständigt växer, och ändå ökar antalet intrång och skandaler.

Är den tillväxten en obrytbar cykel? Jag tror inte det – däremot ger denna trend stöd för att synen på hur verksamheter uppnår största möjliga IT-säkerhet anpassas för den nya tiden. Idag beräknas det att 80 procent av utgifterna för cybersäkerhet går till åtgärder för att försvara hårdvara och infrastruktur. Det är attackvektorer som förstås måste skyddas, men samtidigt ser vi att den typen av angrepp inte längre är vad som prioriteras av angriparna.

Det är människorna bakom skärmen som utgör det mest lockande målet. För att effektivt skydda sin verksamhet måste man därför ha en säkerhetsstrategi som sätter människan i centrum.

Vi har samlat tio hårda nyckeltal från den återkommande rapporten Protecting People som understryker argumentet:

  1. Fler än 90 procent av dagens lyckade cyberattacker beror på den mänskliga faktorn – exempelvis någon som klickat på en skadlig länk i ett e-postmeddelande eller delat med sig av inloggningsuppgifter till fel person.
  2. Under tredje kvartalet 2018 ökade antalet försök att stjäla inloggningsuppgifter via phishing med 400 procent jämfört med samma period 2017.
  3. Antalet mejlbaserade bedrägeriförsök mot verksamheter som är måltavlor för cyberbrott ökade med 80 procent under samma tidsperiod.
  4. Inom skol- och utbildningssektorn nästan tredubblades antalet attacker 2018 jämfört med 2017 – varje verksamhet drabbades i genomsnitt av 40 bedrägeriförsök.
  5. Anställda i roller som har med administration och produktion att göra drabbas av nära en fjärdedel av alla angreppsförsök.
  6. En snabbväxande typ av bedrägeri är personer som utger sig för att vara kundsupport på sociala medier – de ser en person som ställt en fråga till ett företag och tar kontakt via chatten. Denna typ av angrepp ökade nästan femfaldigt 2018 jämfört med 2017.
  7. Personligt riktade attacker överlag, så kallad social engineering, ökade med 233 procent.
  8. Två tredjedelar av attackerna riktade sig mot anställda och mellanchefer.
  9. En tredjedel av attackerna riktade sig mot personer med högre chefsansvar
  10. Fler än 99 procent använde sig av falska avsändarnamn, jämfört med 90 procent föregående kvartal.

Siffrorna varierar en aning från land till land men cyberbrott är inte bara en global marknad utan även extremt trendkänslig, som kan betraktas som lika snabbrörlig som exempelvis mode- eller musikbranschen – de förändringar som sker sprids blixtsnabbt över världen.

Idag är det till exempel nödvändigt för en säkerhetsansvarig att känna till vilka personer inom den egna verksamheten som oftast blir utsatta för angrepp, och som är mest sårbara för dem. Det är nämligen inte alls otänkbart att de brottslingar som utsett verksamheten till måltavla själva vet det – via insamling och bearbetning av information de kunnat hämta in genom vad personerna själva delar med sig av i sociala medier.

För att upprätthålla en hög säkerhet behövs en bättre balans mellan de människocentrerade frågorna och  att utvärdering av brandväggar och infrastrukturskydd. En kedja är som bekant aldrig starkare än sin svagaste länk, och att människan är den potentiellt svagaste länken i den digitala miljön har den andra sidan redan listat ut.

Fredrik Möller