I september 2019 blev høreapparatvirksomheden Demant ramt af et hackerangreb, der kostede dem op mod 650 mio. kroner. Det svarer til ca. 5 procent af virksomhedens årlige globale omsætning –  fratrukket en forventet forsikringsdækning på 100 mio. kroner.

Vi ved ikke, hvad hackerangrebet bestod i, men 2 ud af 3 danske virksomheder har været udsat for hackerangreb. Når et hackerangreb lykkes, er det 9 ud af 10 gange, fordi hackerne går efter mennesket bag skærmen i stedet for maskinen.

Men lykkes hackerangreb, fordi menneskene bag skærmene er “dumme”? Eller er det de it-systemer, politikker og procedurer, der indkøbes og implementeres, den er gal med?

Læs videre og bliv klogere på, hvordan virksomheder kan minimere risikoen for at blive offer for et hackerangreb.

Problemet er (ikke!) 40 centimeter fra skærmen

Du har hørt det tusind gange før: Jeres virksomhed er ikke mere sikker end jeres svageste led. Medarbejderen. 

Én medarbejder skal blot glemme én opdatering, foretage ét træls klik, én dum indtastning eller én fejlagtig overførsel – og så er hele jeres produktionsapparat sat ud af funktion, eller jeres kunders persondata lækket. 

Menneskelige fejl fører til, at alle de gode investeringer i sikre systemer, procesdokumenter og awareness-programmer er spildt. 

Man kan fristes til at tænke, at de menneskelige fejl skyldes dovenskab eller modvilje fra medarbejderens side. At medarbejderen ikke gider eller ikke vil sætte sig ind i virksomhedens procedurer for sikker og ansvarlig databehandling. At problemet befinder sig 40 centimeter fra skærmen.

Men hvad hvis det slet ikke er medarbejderen, der er problemet?

Menneskelige fejl Menneskelige forudsætninger

Kriminelle i cyberspace bliver bedre og bedre til at udnytte smuthuller i den menneskelige psykologi. Men alle os, der arbejder for at forebygge og forhindre it-kriminalitet, har i lang tid ignoreret psykologien og talt om uhensigtsmæssig brugeradfærd som ‘menneskelige fejl’. 

Se f.eks. dette debatindlæg i Altinget fra 2018, hvor borgeren og medarbejderen bliver udråbt til at udgøre “den største digitale sikkerhedsrisiko”.

Jeg mener, det er forkert at tale om menneskelige fejl.

I virkeligheden handler det om menneskets psykologiske forudsætninger for overhovedet at kunne følge virksomhedens komplicerede procedurer og regler og bruge virksomhedens digitale systemer.

Men i alt for lang tid har vi ignoreret menneskets psykologiske forudsætninger. Derfor laver mange virksomheder basale designfejl, når de udvikler og implementerer sikre systemer, procesdokumenter og awareness-programmer. 

Designfejl skyldes en helt særlig forbandelse

Phishing, ransomware, social engineering og direktørsvindel lykkes ikke, fordi medarbejderne er dumme og begår fejl – men derimod fordi vores processer og systemer er designet uhensigtsmæssigt. Designet tager simpelthen ikke højde for menneskers psykologiske begrænsninger. Det er hovedårsagen til, at medarbejderne begår fejl.

Det skyldes, at designerne og indkøberne er eksperter i databeskyttelse. Og de lider af en helt særlig forbandelse: Ligesom alle andre eksperter tror de, at medarbejderne har samme viden, interesse og de samme kompetencer som dem selv. At de kan opfange og reagere på abstrakte og statistiske trusler, følge komplicerede processer, at de kan konstruere og huske mange komplekse kodeord. Og at de vil afsætte en masse tid til at gøre alt dette.

Men det kan de ikke, og det gør de ikke.

Det er farligt at ignorere aben i jakkesættet

En maskine ville kunne alle disse ting, fordi den er programmeret til at følge regler blindt. Men det er et menneske ikke. Vi er aber i jakkesæt, og vi fungerer på en helt anden frekvens end 100 pct. rationelle maskiner.

Når vi bliver præsenteret for uoverskuelige og uforståelige krav, der har til formål at imødegå en fremtidig og statistisk risiko, ender det ofte med, at vi fokuserer vores energi på helt forkerte risici, og at vi er ligeglade med, at hackerne kommer.

Awareness-kampagner er kun første skridt

It-kriminalitet er organiseret big business, og de kriminelle bliver kun bedre til at udnytte psykologiske smuthuller. De er nemlig langt billigere at angribe end de tekniske smuthuller. Af samme årsag har samtlige organisationer ikke råd til at ignorere de psykologiske begrænsninger hos medarbejderne.

I kan sagtens fortsætte med at lave awareness-kampagner, hvor I fortæller medarbejderne, hvor farlig truslen er, og hvor vigtigt det er at handle på den.

Men hvis de systemer og procedurer, som medarbejderne skal bruge, ikke er designet til deres psykologiske forudsætninger, så risikerer I at spilde enorme ressourcer. Og risikoen for at blive lagt ned af et hackerangreb? Den er lige så stor som før.

Vi kan hjælpe dig med at minimere risikoen

For at tage de menneskelige forudsætninger seriøst i en intern indsats for digital sikkerhed, er det nødvendigt at inddrage flere fagligheder: Data science, adfærdsvidenskab og designmetoder.

I /KL.7 er vi eksperter i menneskers digitale adfærd, og vi designer menneskevenlige løsninger på de problemer, der opstår i mødet mellem menneske og maskine.

Vi ved, at enkeltstående kommunikationsindsatser er utilstrækkelige. Nudging er ikke nok. Derfor lancerer vi nu en række ydelser, der gearer jeres organisation, så den enkelte medarbejder rent faktisk kan følge jeres politikker og procedurer og bruge jeres nye it-system i hverdagen – også uden for kampagne-sæsonen. Vi hjælper jer desuden med at måle på, hvad der virker.

Læs mere om vores nye ydelser her.