NIS2: Gør medarbejderne mindre menneskelige
Udgivet: 19. august 2024Menneskelige fejl udgør op mod 95 % af alle sikkerhedsbrud. Derfor har NIS2-direktivet fokus på god cyberhygiejne. Her giver Daniel Appelon Storgaard, sikkerhedsrådgiver hos DBI, gode råd til, hvordan man træner medarbejdere, minimerer risikoen for menneskelige fejl og skaber en god it-sikkerhedskultur.
Hvad går cyberhygiejne og cybersikkerhedstræning ud på i regi af NIS2?
Det handler om at skabe bevidsthed og viden blandt medarbejdere i organisationer om ’best practice’ inden for cybersikkerhed. Formålet er at minimere risikoen for cyberangreb ved at sikre, at alle medarbejdere er opmærksomme på trusler og ved, hvad de kan gøre for at beskytte virksomhedens informationer og systemer.
Hvorfor er det en del af NIS2?
NIS2-direktivet er indført for at styrke cybersikkerheden i EU-landene ved at ensarte cybersikkerheden og modstandsdygtigheden over for cybertrusler på tværs af medlemslandene. Direktivet pålægger mere omfattende sikkerhedskrav til de organisationer, virksomheder og leverandører, som er omfattede af direktivet. Cyberhygiejne og cybersikkerhedstræning er en del af det, fordi menneskelige fejl ofte er en væsentlig årsag til sikkerhedsbrud. De udgør op mod 90-95 % af det samlede antal sikkerhedsbrud. Ved at uddanne medarbejderne kan organisationer og virksomheder reducere risikoen for vellykkede cyberangreb, forbedre deres overordnede sikkerhedsniveau og sikre, at de opfylder NIS2-kravene.
Hvordan skal virksomhederne helt konkret forholde sig til det?
Der er en række tiltag, som organisationerne og virksomhederne skal gennemføre i forbindelse med NIS2. Men mere specifikt inden for cyberhygiejne skal virksomhederne gennemføre awareness-træning som f.eks. at undervise medarbejderne i stærke adgangskoder samt spotte og håndtere phishing. Derudover kræver direktivet, at der bliver gennemført risikoreducerende tiltag. Det kan være andre former for træning eller øvelser med fokus på læring og hændelseshåndtering – f.eks. hvad man skal gøre, og hvem man skal kontakte, hvis et system bliver lagt ned af ransomware.
Hvad skal man have med?
Det er bl.a. vigtigt med stærke adgangskoder for at opretholde en stærk og effektiv cyberhygiejne. Her er det dog forskelligt, hvilke krav virksomhederne stiller til deres ansatte. Center for Cybersikkerhed anbefaler minimum 15 tegn, at man ikke anvender den samme adgangskode på tværs af sine enheder, og at man anvender flerfaktorgodkendelse.
Desuden er det vigtigt, at medarbejderne tænker over deres browsingvaner. Man skal undlade at klikke på usikre links og kun downloade software fra officielle og pålidelige kilder. Derudover har de fleste oplevet at modtage en e-mail fra en suspekt afsender indeholdende et link. Disse afsendere bliver dog stadig mere dygtige og udspekulerede, og derfor kan det være svært at se, at det kommer fra en afsender, man ikke kender.
Man kan med fordel anvende tofaktorgodkendelse, som er et ekstra lag af sikkerhed, når man logger på sine systemer. I praksis betyder det, at der er et ekstra trin i loginprocessen, som gør, at en hacker ikke alene med brugernavn og adgangskode kan skaffe sig adgang.
Så når cybersikkerhedstræning afvikles, er det bl.a. vigtigt at indtænke passwordsikkerhed, phishing, fysisk sikkerhed og andre forhold såsom rapportering. Derudover er det godt at benytte sikkerhedstiltag som stærk firewall, de nyeste opdateringer på enheder og systemer og sidst, men ikke mindst et antivirusprogram.
Hvad er en god fremgangsmåde?
Allerførst skal virksomheden erkende sine behov. Det kan bl.a. gøres ved hjælp af en måling eller en test for at afdække medarbejdernes niveau og kendskab. Derefter kan man planlægge uddannelse og træning ud fra den.
For at det bliver en succes, er det væsentligt, at ledelsen engagerer sig i og aktivt støtter initiativerne til cybersikkerhed. Det kan bl.a. opnås ved at kommunikere vigtigheden af cybersikkerhed, allokere tilstrækkelige ressourcer, inkludere cybersikkerhed i de strategiske planer og etablere klare politikker og procedurer.
Det er ligeledes vigtigt at fremme en it-sikkerhedskultur på arbejdspladsen, hvor alle medarbejdere føler et ansvar for at beskytte virksomhedens data og systemer. Det kan man f.eks. gøre ved at integrere cybersikkerhed i virksomhedens daglige rutiner, så den bliver en naturlig del af arbejdet. Man kan belønne og anerkende medarbejdere, der viser eksemplarisk adfærd, og fremme en kultur med åben kommunikation, hvor medarbejderne føler sig trygge ved at tale åbent om hændelser og fejl og rapportere mistænkelig adfærd.
Er der ’faldgruber’, man bør være opmærksom på?
En af de største faldgruber ved cybersikkerhedstræning er mangel på kontinuitet. Cybersikkerhedstrusler udvikler sig konstant, og derfor er det afgørende, at træningen fra gang til gang udvikler sig og tilpasses det gældende trusselsbillede. Regelmæssig træning hjælper med at forankre sikkerhedsprincipper og sikrer, at medarbejderne er opdaterede og parate til at håndtere aktuelle og fremtidige sikkerhedsudfordringer.
En almindelig faldgrube er desuden at have et ‘overfokus’ på teknologi på bekostning af de menneskelige faktorer. Selvom avancerede teknologiske løsninger er vigtige, kan de som regel ikke stå alene. Menneskelige fejl er en af de største årsager til sikkerhedsbrud, og derfor er medarbejderuddannelse afgørende. Træningen bør fokusere på at skabe bevidsthed om sikkerhedsprocedurer, genkende trusler som phishing og lære, hvordan man reagerer på potentielle sikkerhedshændelser. Ved at prioritere menneskelige faktorer sammen med teknologiske løsninger kan virksomheder opnå en mere holistisk og effektiv sikkerhedsstrategi.