Schaffung einer Cybersicherheitskultur am Arbeitsplatz
Top Business Tech hielt Kontakt mit Cybersecurity Specialist für ESET, Jake Moore, der die Notwendigkeit einer Cybersicherheitskultur am Arbeitsplatz betont.
Top Business Tech veranstaltete sein erstes Webinar, „Cybersecurity: Fighting back with AI“, wo wir uns mit Cybersecurity Specialist trafen ESET, Jake Moore.
Moore arbeitete zuvor für die Polizei von Dorset und untersuchte 14 Jahre lang hauptsächlich Computerkriminalität in der Abteilung für digitale Forensik bei einer Reihe von Straftaten, von Betrug bis Mord. Im Rahmen der Strafverfolgungsbefugnisse lernte er, wie man digitale Beweise von allen Geräten abruft und sich gleichzeitig auf verschiedene Weise dafür einsetzt, die Sicherheit zu brechen, um unschuldige Opfer von Cyberkriminalität ethisch zu schützen. Anschließend wurde er Cybersicherheitsberater für die Polizei, der der Öffentlichkeit und lokalen Unternehmen maßgeschneiderte Ratschläge gab, um zum Schutz der Gemeinschaft beizutragen und auf ihren Sicherheitsgrundlagen aufzubauen.
Wie IT-Führungskräfte aus dem letzten Jahr nur allzu gut wissen, haben Cybersicherheitsbedrohungen weiterhin exponentiell zugenommen. Darüber hinaus hat sich die Art der Bedrohungen geändert. Diese Verschiebung wurde den Cybersicherheitsrisiken zugeschrieben, die durch Remote-Arbeit und Cloud-Migrationen entstehen, die Unternehmen in Eile durchgeführt haben.
Cyberangriffe betreffen Unternehmen jeder Größe
„Es kommt immer auf die Größe des Unternehmens an“, sagt Moore, „ein kleineres Unternehmen rechnet nicht damit, Opfer eines Angriffs zu werden, und investiert daher keine Ressourcen in die Cybersicherheit. Auch wenn sie sich der Ressourcen bewusst sind, geben sie kein Geld dafür aus, weil sie sie für teuer halten.“ Er stellt fest, dass Mitarbeiter in kleineren Unternehmen oft „mehrere Hüte“ tragen und oft überfordert sind oder nicht über umfassende Sicherheitskenntnisse verfügen. Er erklärt, dass die Finanzierung und Umsetzung der Cybersicherheitsstrategie für ein kleines Unternehmen oft auf das zweite oder dritte Jahr fällt, aber dies macht Startups und Scale-Ups extrem anfällig für Angriffe. Aus diesem Grund ist es wichtig, dass kleinere Unternehmen von einer reaktiven zu einer proaktiven Denkweise übergehen.
Moore sagt, dass größere Unternehmen oft denken, dass sie eigentlich sicher sind, wenn sie Schulungen anbieten, aber der Belegschaft fehlt die Kultur. „Die Mitarbeiter sind es leid, jedes Jahr die gleiche Schulung zu hören. Es wird einfach zu einer 'Tick-Box'-Übung.“ Mit dieser Trainingsmüdigkeit geht oft ein Rückgang des Bewusstseins für Bedrohungen der Cybersicherheit einher. Wenn dies mit der Bedrohung durch Angreifer gepaart wird, die KI nutzen, um Angriffe auf eine Organisation zu starten, sind Unternehmen jeder Größe gefährdet. Größere Unternehmen müssen dann den ICO nach einem Angriff in Betracht ziehen. Moore räumt ein, dass große Unternehmen für Mängel beim Datenschutz zur Rechenschaft gezogen werden müssen, glaubt aber auch, dass Bußgelder für die Verbesserung der Cybersicherheitsfähigkeiten ausgegeben werden sollten. Das dritte Problem nach einem Angriff ist die Verletzung des Kundenvertrauens und der Verlust potenzieller Kunden.
Kulturbewusstsein
Unternehmen beider Größen müssen ihre Mitarbeiter schulen und für eine aktive Kultur des Bewusstseins für Cybersicherheit sorgen. Moore liebt Angelsimulationen, aber nur, wenn es richtig gemacht wird. „Ich denke, Phishing-Simulationen können ein zweischneidiges Schwert haben.“ Er fährt fort: „Mitarbeiter wissen möglicherweise nicht, wie sie eine Phishing-E-Mail melden sollen, wenn sie ankommt. Für den Fall, dass sie Opfer eines Betrugs werden, sollten sie nicht wegen des Fehlers bestraft werden, da sie sich wahrscheinlich bereits schrecklich fühlen und aufgeklärt statt bestraft werden müssen.“
Moore betont, dass Deepfakes eine „erstaunliche Technologie“ sind und außergewöhnlich raffiniert geworden sind, und der Aufstieg von ML hat es ermöglicht, Angriffe drastisch zu skalieren. Mitarbeiter wissen möglicherweise nicht einmal, dass es Technologien dieser Art gibt, sodass Unternehmen sie nicht für eine Ausbildung bestrafen können, die sie nicht erbracht haben. Maschinelles Lernen bei Cyberangriffen hat auch Organisationen und ihre öffentlichen Daten herausgefordert. Moore verweist auf den Facebook-Angriff, der öffentliche Informationen aus öffentlichen Facebook-Profilen in kolossalem Ausmaß durchforstete. Obwohl Facebook dies als Verstoß bestritt, da die entnommenen Informationen öffentlich waren, wirft dies sicherlich Fragen zum Markenvertrauen und der Notwendigkeit für Unternehmen auf, ihre Mitarbeiter und Kunden aufzuklären.
Kleine Organisationen und Technologieriesen sind nicht immun gegen diese sich ständig weiterentwickelnden Angriffe, und Organisationen und Mitarbeiter müssen bedenken, dass sich dies auch auf Kommunikationsplattformen erstreckt. Zoom, Slack und WhatApp bergen alle unterschiedliche Cybersicherheitsrisiken. Moore empfiehlt Signal, ein nicht plattformübergreifender, zentralisierter, verschlüsselter Instant-Messaging-Dienst, bei dem Benutzer Bilder und Texte so einstellen können, dass sie nach einem bestimmten Zeitraum gelöscht werden. Neben diesen neuen Kommunikationsplattformen bleibt E-Mail das Herzstück sowohl der Kommunikation als auch von Phishing-Angriffen. „Wir verwenden vielleicht nicht alle Signal oder WhatApp, aber wir alle verwenden E-Mail“, sagt Moore. Längst vorbei sind die Zeiten schlecht formulierter E-Mails von nigerianischen Prinzen, in denen Bankdaten abgefragt wurden. Die heutigen Phishing-E-Mails werden aus Algorithmen erstellt und haben oft ein genaues Verständnis der menschlichen Psychologie, von denen die besten sich als Chef eines Mitarbeiters ausgeben oder die persönliche Schwäche eines Benutzers ausnutzen können.
WEITERLESEN:
- Punktieren Sie die I's und kreuzen Sie die T's: Anforderungen an die Datenverwaltung für den Rechtsbereich
- Hacker zielen auf WLAN-Router zu Hause ab, um Daten zu stehlen
- Datensicherheit und Compliance: Warum Vorbeugen besser ist als Heilen
- 4 einfache Tipps, um den Datenschutz zu gewährleisten
Moores Rat ist einfach: „Bleiben Sie vorsichtig.“ Jede Anfrage nach persönlichen Daten sollte immer mit Skepsis betrachtet werden. Wir befinden uns jetzt in einem Zeitalter, in dem Angreifer sogar die Zwei-Faktor-Authentifizierung entfernen können. Ein Angreifer kann einen „Einmalcode“ zur Authentifizierung stehlen, sobald er eingegeben wurde. An diesem Punkt hat der Benutzer in den Glauben investiert, dass dies kein Betrug und authentisch ist, aber Moore fordert, dass selbst ein Anflug von Zweifel dem Einhalt gebieten sollte Benutzer daran hindert, voranzukommen. Das ist natürlich leichter gesagt als getan, wenn Betrug so überzeugend ist, und Moore bekräftigt, dass Mitarbeiter nicht zweimal dafür bestraft werden sollten, dass sie auf einen Phishing-Angriff hereinfallen. „Obwohl sie lästig sein können, sind Quizze eine gute Möglichkeit, Mitarbeiter zu schulen.“ Denken Sie daran, dass ein Unternehmen niemals vollständig geschützt sein wird und sich Bedrohungen ständig weiterentwickeln, sodass sich die Abwehrmaßnahmen mit ihnen weiterentwickeln müssen. Das Engagement einer Organisation für die Sicherheit darf niemals aufhören.
Folge uns auf LinkedIn und Twitter
