Mens vi læser om stigningen i cybersikkerhedsrisici, forestiller vi os ofte et team af frygtelige hackere skjult i nogle mørk kælder venter på den perfekte mulighed for at slå uskyldige internetbrugere og berøve dem deres penge. Virkeligheden er dog ikke så enkel.
Hvis vi søger efter det svageste led i cybersikkerhed, behøver vi ikke lede længere end os selv. Uanset om det er et privat eller professionelt domæne, er vores sikkerhedssystemer mindre tilbøjelige til at svigte os end mennesker.
Hvad er nogle af de mest almindelige cybersikkerhedsrisici forårsaget af mennesker?
Teknologi er til for at gøre livet lettere. Det kan gøre hverdagens opgaver mere effektive og samtidig spare os for tid, kræfter og energi. Uanset om vi bruger det af personlige eller professionelle årsager, spiller vi den primære rolle i at skabe nye teknologier og gøre dem til en del af vores samfund.
For det meste er teknologi forudsigelig, mens folk er tilbøjelige til kaos. Det er ingen overraskelse, at vi anses for at være den største trussel mod ethvert cybersikkerhedssystem.
Her er de mest almindelige cybersikkerhedsrisici, der udløses af vores manglende sikkerhedsbevidsthed og dårlige praksisser – du kan endda være laver nogle af disse sikkerhedsfejl i dette øjeblik...
Dårlig adgangskodepraksis
I stedet for at oprette en unik adgangskode for hver online-tjeneste, vi bruger, forsøger de fleste mennesker at spare tid ved at oprette den samme adgangskode på tværs af alle deres konti. Så selvom de bruger en stærk adgangskode, hvis cyberkriminelle formår at knække den, vil de også få adgang til alle deres konti.
Hvis en professionel konto bliver revnet, vil alle en virksomheds følsomme data ende i hænderne på cyberkriminelle, og skaden på virksomhedens omdømme kan være katastrofal.
For at undgå dette scenarie, brug ikke det samme adgangskode eller en adgangssætning for flere konti, og sørg for, at alle dine adgangskoder er stærke. Du kunne bruge onlineværktøjer, der kontrollerer din adgangskodestyrke for at sikre, at du er på den sikre side.
Undgå godkendelse
Årsagerne til at undgå Multi-Factor Authentication (MFA) ligner årsagerne bag dårlig adgangskodepraksis - folk synes at tro, at de er spild af tid og bremser deres arbejdsgang. Jo hurtigere de kan få adgang til deres ressourcer, jo hurtigere vil deres arbejde blive gjort; Udenrigsministeriet føles som en unødvendig barriere.
Vi skal også bemærke, at selvom folk, der bruger MFA, er meget mindre tilbøjelige til at blive hacket, gør autentificeringen i sig selv dem ikke immune over for brudte autentificeringssårbarheder såsom sessionskapring, adgangskodespraying og phishing-angreb.
Sikkerhedsfejlkonfiguration
Selv en virksomheds egne cybersikkerhedsmedarbejdere og systemadministratorer er ikke sikre mod menneskelige fejl. Hvis man for eksempel undlader at opgradere sikkerhedssoftware eller glemmer at ændre standardadgangskoder på virksomhedens servere, øges chancen for, at cyberkriminelle finder en måde at knække systemet på.
Og så er der utilstrækkelig fjernadgangskontrol, utilstrækkelig hardwarestyring, deaktiveret antivirusbeskyttelse, ubeskyttede filer, kodningsfejl; og listen fortsætter...
Sådanne fejl skaber alvorlige sikkerhedshuller, som gør alle apps, data og virksomheden selv til et let mål for cyberangreb og databrud.
Brug af usikrede netværk
Brug af ukendte netværk er et risikabelt foretagende, men hvis du gør det med virksomhedens enheder, kan det efterlade en hel organisation udsat for cybertrusler. Hvis der stilles et ukendt netværk til rådighed på offentlige steder - såsom kaffebarer, busstationer og lufthavne - stiger risiciene.
Offentlige netværk kan være inficeret med vira og malware, og disse kan komme ind på din enhed, mens du forsøger at logge ind på din e-mail-konto eller sociale medier. Hvis en hacker finder en måde at placere sig mellem dig og forbindelsespunktet, dvs. en mand-i-midten (MitM) angreb, får de adgang til dine logins og alle andre oplysninger, du sender og modtager online. Når de gør det, vil de være i stand til at komme ind i dine systemer, som om de var dig.
Fysiske sikkerhedsfejl
Selvom mange almindelige årsager til databrud kan tilskrives cyberangreb, kan virksomheder også være i fare for fysiske sikkerhedstrusler. For eksempel, hvis en uautoriseret person kommer ind i virksomhedens lokaler, kan de stjæle fortrolige oplysninger, brugerlegitimationsoplysninger eller andre følsomme data.
Selvom disse typer sikkerhedsfejl findes i mange former og størrelser, omfatter de mest almindelige efterladelse af følsomme dokumenter uden opsyn, efterlade døre ulåste og lukke fremmede ind i sikre lokaler eller give dem adgang til selskab computere.
Hvordan bruger cyberkriminelle menneskelige fejl mod dig?
Da cyberkriminelle anerkender den menneskelige faktor som et let mål, forsøger de at udnytte den så meget de kan. Dette kan især være gennem identitetstyveri, hvor en cyberkriminel stjæler dine personlige oplysninger for at begå svindel. De kan bruge det til at få dine penge, ansøge om kredit eller få lægehjælp. Under alle omstændigheder kan ID-tyveri tømme din bankkonto og samtidig ødelægge dit omdømme.
På samme måde kan angribere udnytte menneskelige fejl til at udføre ransomware-angreb, som kan forårsage skade på en person eller en virksomhed på en række måder. Men det handler altid om at låse dig ude af din enhed eller følsomme data og kræve en løsesum for en dekrypteringsnøgle. Andre typer malware stjæler også dine data, tager kontrol over dine enheder eller begynder at "mine" kryptovaluta.
Det er ikke alt. Der er mange måder, hvorpå hackere kan bruge simple menneskelige fejl mod dig.
- Intellectual Property (IP) tyveri: Det er så simpelt som at kopiere en andens idé, produkt eller service uden at udføre det arbejde selv. Det er populært, fordi det er nemt og kan være ekstremt rentabelt. Både enkeltpersoner og virksomheder kan blive ofre for IP-tyveri.
- Virksomhedsspionage: Såkaldt industri- eller virksomhedsspionage er det samme som politisk spionage, men udføres til kommercielle formål frem for national sikkerhed. I denne type cyberkriminalitet målretter kriminelle sig ikke mod individer, medmindre de er en del af konkurrerende virksomheder. Det primære formål er jo at komme forbi forretningshemmeligheder og få en fordel i forhold til konkurrenterne.
- Ødelægger omdømmet: Uanset om det er en offentlig person eller en virksomhed, er det primære offer for et vellykket cyberangreb ofte tillid. Selvom dette kan være forsætlig eller indirekte skade (for eksempel af økonomisk vinding), kan det sætte et varigt præg på ens omdømme.
Hvorfor er folk et let mål for cyberkriminelle?
Bortset fra manglen på cybersikkerhedsbevidsthed, er der flere primære årsager til, at cyberkriminelle finder folk som lette mål.
I modsætning til teknologi er folk tillidsfulde af natur. Nogle gange er de også under stress, og sociale ingeniørangreb kan fange dem på vagt og få dem til at falde for fidusen. Hvis de også er uinformerede (eller endda uansvarlige) om cybersikkerhed, gør dette dem til det perfekte bytte.
Mennesker er rutinemæssige skabninger, og de fleste af os har ikke noget imod det. Desværre kan dette gøre os til et let mål for hacking såsom phishing-angreb. For eksempel, hvis du tjekker din e-mail, så snart du står op om morgenen, kan cyberkriminelle sende en phishing-e-mail på det tidspunkt. Så, uden at tænke over det, kunne du åbne beskeden, klikke på linket og få stjålet dine personlige oplysninger.
I sidste ende kan vi være følelsesladede, hvilket kan forplumre vores dømmekraft og gøre os let påvirkede af sociale ingeniørmæssige angreb. Bare et forkert skridt foretaget af os eller enhver anden medarbejder kan sætte hele virksomheden og dens brugere i fare.
Kan vi overvinde risikoen for menneskelige fejl?
Da den mest alvorlige cybersikkerhedstrussel ikke er et sofistikeret hack, men en god gammeldags menneskelig faktor, bør vi fjerne den, ikke? Det er lettere sagt end gjort. Men vi kan finde måder at bekæmpe cyberkriminalitet ved at overvinde denne faktor uden at eliminere mennesker fra ligningen. Fejl er nødt til at ske. Men vi kan sprede cybersikkerhedsbevidsthed og sørge for, at vi og de mennesker, vi er afhængige af, er informeret om cybersikkerhedsrisici.
Vi kunne også bruge stærke sikkerhedsværktøjer, søge hjælp fra cybersikkerhedseksperter og skabe en kultur, hvor folk føler sig fri til at dele eventuelle problemer eller bekymringer, de har om cybersikkerhed.