Mens vi leser om økningen av cybersikkerhetsrisikoer, ser vi ofte for oss et team av forferdelige hackere gjemt i noen mørk kjeller som venter på den perfekte muligheten til å slå uskyldige internettbrukere og frarøve dem pengene deres. Realiteten er imidlertid ikke like enkel.
Hvis vi søker etter det svakeste leddet innen cybersikkerhet, trenger vi ikke se lenger enn oss selv. Enten det er et privat eller profesjonelt domene, er det mindre sannsynlig at sikkerhetssystemene våre svikter oss enn folk.
Hva er noen av de vanligste cybersikkerhetsrisikoene forårsaket av mennesker?
Teknologi er til for å gjøre livet enklere. Det kan gjøre hverdagsoppgaver mer effektive samtidig som vi sparer tid, krefter og energi. Enten vi bruker det av personlige eller profesjonelle årsaker, spiller vi hovedrollen i å skape nye teknologier og gjøre dem til en del av samfunnet vårt.
For det meste er teknologien forutsigbar, mens folk er utsatt for kaos. Det er ingen overraskelse at vi anses for å være den største trusselen mot ethvert cybersikkerhetssystem.
Her er de vanligste cybersikkerhetsrisikoene som utløses av vår mangel på sikkerhetsbevissthet og dårlig praksis – du kan til og med være gjør noen av disse sikkerhetsfeilene akkurat nå...
Dårlig passordpraksis
I stedet for å lage et unikt passord for hver nettjeneste vi bruker, prøver de fleste å spare litt tid ved å sette opp det samme passordet på alle kontoene sine. Så selv om de bruker et sterkt passord, hvis nettkriminelle klarer å knekke det, vil de også få tilgang til alle kontoene deres.
Hvis en profesjonell konto blir knekt, vil alle et selskaps sensitive data havne i hendene på nettkriminelle og skaden på bedriftens omdømme kan være katastrofal.
For å unngå dette scenariet, ikke bruk det samme passord eller en passordfrase for flere kontoer, og sørg for at alle passordene dine er sterke. Du kan bruke nettbaserte verktøy som sjekker passordstyrken din for å være sikker på at du er på den sikre siden.
Unngå autentisering
Årsakene til å unngå Multi-Factor Authentication (MFA) ligner på årsakene bak dårlig passordpraksis – folk ser ut til å tro at de er bortkastet tid og bremser arbeidsflyten deres. Jo raskere de får tilgang til ressursene sine, jo raskere vil jobben deres bli gjort; UD føles som en unødvendig barriere.
Vi bør også merke oss at selv om folk som bruker MFA har mye mindre sannsynlighet for å bli hacket, gjør ikke autentiseringen i seg selv dem immune mot ødelagte autentiseringssårbarheter som øktkapring, passordspraying og phishing-angrep.
Feilkonfigurasjon av sikkerhet
Selv et selskaps egne cybersikkerhetsmedarbeidere og systemadministratorer er ikke trygge for menneskelige feil. For eksempel, unnlatelse av å oppgradere sikkerhetsprogramvare eller glemme å endre standard passord på selskapets servere øker sjansen for at nettkriminelle finner en måte å knekke systemet på.
Og så er det utilstrekkelig fjerntilgangskontroll, utilstrekkelig maskinvareadministrasjon, deaktivert antivirusbeskyttelse, ubeskyttede filer, kodefeil; og listen fortsetter...
Slike feil skaper alvorlige sikkerhetshull som gjør alle apper, data og selskapet selv til et enkelt mål for nettangrep og datainnbrudd.
Bruke usikrede nettverk
Å bruke ukjente nettverk er en risikabel satsning, men hvis du gjør det med bedriftsenheter, kan det etterlate en hel organisasjon utsatt for cybertrusler. Hvis et ukjent nettverk tilbys på offentlige steder – som kaffebarer, busstasjoner og flyplasser – øker risikoen.
Offentlige nettverk kan være infisert med virus og skadelig programvare, og disse kan komme inn i enheten din mens du prøver å logge på e-postkontoen din eller sosiale medier. Hvis en hacker finner en måte å plassere seg mellom deg og tilkoblingspunktet, det vil si en mann-i-midten (MitM) angrep, vil de få tilgang til påloggingene dine og all annen informasjon du sender og mottar på nett. Når de gjør det, vil de kunne komme inn i systemene dine som om de var deg.
Fysiske sikkerhetsfeil
Selv om mange vanlige årsaker til datainnbrudd kan tilskrives nettangrep, kan selskaper også være i faresonen for fysiske sikkerhetstrusler. For eksempel, hvis en uautorisert person kommer inn i selskapets lokaler, kan de stjele konfidensiell informasjon, brukerlegitimasjon eller andre sensitive data.
Selv om disse typer sikkerhetsfeil kommer i mange former og størrelser, er det vanligste å legge igjen sensitive dokumenter uten tilsyn, la dører være ulåste og slippe fremmede inn i sikre lokaler eller gi dem tilgang til selskap datamaskiner.
Hvordan bruker nettkriminelle menneskelige feil mot deg?
Siden nettkriminelle anerkjenner den menneskelige faktoren som et lett mål, prøver de å utnytte den så mye de kan. Spesielt kan dette være gjennom identitetstyveri, der en nettkriminell stjeler din personlige informasjon for å begå svindel. De kan bruke det til å få pengene dine, søke om kreditt eller få medisinske tjenester. Uansett kan ID-tyveri tømme bankkontoen din og samtidig ødelegge ryktet ditt.
På samme måte kan angripere utnytte menneskelige feil for å utføre løsepenge-angrep, som kan forårsake skade på en enkeltperson eller et selskap på en rekke måter. Men det kommer alltid ned til å låse deg ute fra enheten eller sensitive data og kreve løsepenger for en dekrypteringsnøkkel. Andre typer skadelig programvare stjeler også dataene dine, tar kontroll over enhetene dine eller begynner å "gruve" kryptovaluta.
Det er ikke alt. Det er mange måter hackere kan bruke enkle menneskelige feil mot deg på.
- Intellectual Property (IP) tyveri: Det er så enkelt som å kopiere andres idé, produkt eller tjeneste uten å gjøre det selv. Det er populært fordi det er enkelt og kan være ekstremt lønnsomt. Både enkeltpersoner og bedrifter kan bli ofre for IP-tyveri.
- Bedriftsspionasje: Såkalt industri- eller bedriftsspionasje er det samme som politisk spionasje, men gjøres for kommersielle formål, snarere enn nasjonal sikkerhet. I denne typen nettkriminalitet retter ikke kriminelle seg mot enkeltpersoner med mindre de er en del av konkurrerende selskaper. Tross alt er det primære formålet å finne forretningshemmeligheter og få en fordel over konkurrentene.
- Ødelegge ryktet: Enten det er en offentlig person eller et selskap, er det primære havariet ved et vellykket nettangrep ofte tillit. Selv om dette kan være tilsiktet eller indirekte skade (for eksempel av økonomisk gevinst), kan det sette et varig preg på ens omdømme.
Hvorfor er folk et enkelt mål for nettkriminelle?
Bortsett fra mangelen på cybersikkerhetsbevissthet, er det flere hovedårsaker til at cyberkriminelle finner folk som enkle mål.
I motsetning til teknologi, er folk tillitsfulle av natur. Noen ganger er de også under stress og sosiale ingeniørangrep kan ta dem på vakt og få dem til å falle for svindelen. Hvis de også er uinformerte (eller til og med uansvarlige) om cybersikkerhet, gjør dette dem til det perfekte byttet.
Mennesker er rutinemessige skapninger, og de fleste av oss har ikke noe imot det. Dessverre kan dette gjøre oss til et enkelt mål for hacking som phishing-angrep. For eksempel, hvis du sjekker e-posten din så snart du står opp om morgenen, kan nettkriminelle sende en phishing-e-post på det tidspunktet. Deretter, uten å tenke over det, kan du åpne meldingen, klikke på lenken og få din personlige informasjon stjålet.
Til syvende og sist kan vi være emosjonelle, noe som kan tåkelegge dømmekraften vår og gjøre oss lett påvirket av sosiale ingeniørangrep. Bare ett feiltrinn gjort av oss eller en annen ansatt kan sette hele selskapet og dets brukere i fare.
Kan vi overvinne risikoen for menneskelige feil?
Siden den mest alvorlige cybersikkerhetstrusselen ikke er et sofistikert hack, men en god gammeldags menneskelig faktor, bør vi eliminere den, ikke sant? Det er lettere sagt enn gjort. Imidlertid kan vi finne måter å bekjempe nettkriminalitet ved å overvinne denne faktoren uten å eliminere mennesker fra ligningen. Feil er nødt til å skje. Men vi kan spre cybersikkerhetsbevissthet og sørge for at vi, og menneskene vi er avhengige av, er informert om cybersikkerhetsrisikoer.
Vi kan også bruke sterke sikkerhetsverktøy, søke hjelp fra cybersikkerhetseksperter og skape en kultur der folk kan dele eventuelle problemer eller bekymringer de har angående cybersikkerhet.