Hvað er öryggisvitund?
Öryggisvitund (security awareness) er þekking, dómgreind og hegðun starfsfólks gagnvart netöryggisógnum: að þekkja veiðipóst, fara rétt með lykilorð og gögn, og vita hvenær og hvernig á að bregðast við. Hún er mannlega hliðin á netöryggi, sú hlið sem tæknin ein ver ekki.
Skilgreiningin
Öryggisvitund er ekki hugbúnaður og ekki eldveggur. Hún er hæfni fólksins í fyrirtækinu til að þekkja tilraunir til svika og bregðast rétt við þeim. Starfsmaður með góða öryggisvitund staldrar við þegar póstur biður um lykilorð, hringir til baka í þekkt númer þegar „forstjórinn“ biður um millifærslu í síma, og lætur vita þegar eitthvað virðist gruggugt.
Andstæðan er ekki heimska heldur einfaldlega þjálfunarleysi. Vel meinandi starfsfólk sem hefur aldrei séð hvernig veiðipóstur lítur út smellir á hann, ekki af kæruleysi heldur af því að hann virtist eðlilegur.
Hvers vegna hún skiptir máli
Langflestar netárásir hefjast hjá fólki, ekki í tækninni. Veiðipóstur, símasvindl, forstjórasvindl og raddklónun með gervigreind beinast öll að starfsmanninum, því það er ódýrara og árangursríkara að plata manneskju en að brjótast í gegnum tæknivarnir. Fyrirtæki getur átt fullkomnar tæknivarnir og samt tapað milljónum á einu símtali, ef starfsmaðurinn sem svaraði hafði aldrei heyrt um svindlið.
Þess vegna er þjálfun starfsfólks ekki viðbót við netöryggi heldur kjarninn í því. NIS2-tilskipun ESB tilgreinir hana enda sérstaklega sem skyldubundna öryggisráðstöfun.
Hvað fellur undir öryggisvitund
Vitundarþjálfun nær yfir þau atriði sem starfsfólk mætir í raunverulegum vinnudegi:
- Veiðipóstur (phishing) og falskar innskráningarsíður
- Sterk lykilorð, lykilorðageymslur og fjölþátta auðkenning
- Símasvindl (vishing), forstjórasvindl og raddklónun með gervigreind
- Meðferð gagna, samnýtingartenglar og ósamþykkt tæknitól (shadow IT)
- Örugg notkun gervigreindar í vinnunni
- USB-lyklar, opin þráðlaus net og öryggi utan skrifstofunnar
- Að þekkja atvik og tilkynna það strax
Hvernig öryggisvitund er þjálfuð svo hún virki
Rannsóknir á öryggisvitund benda samhljóða í eina átt: stutt og endurtekin þjálfun skilar margfalt betri árangri en löng námskeið einu sinni á ári, því heilinn man það sem hann sér oft. Árlegt klukkutímanámskeið uppfyllir kröfu á blaði en gleymist á nokkrum vikum.
Fjögur einkenni skilja virka þjálfun frá formsatriði: hún er stutt (nokkrar mínútur í senn), regluleg (mánaðarlega frekar en árlega), á móðurmáli starfsfólksins með dæmum sem það þekkir úr eigin umhverfi, og hún er mæld, svo stjórnendur sjái hverjir luku þjálfun og hvernig gengur.
Hvernig árangurinn er mældur
Algengustu mælikvarðarnir eru lokunarhlutfall (hversu stór hluti starfsfólks lýkur þjálfuninni), prófniðurstöður og þróun þeirra yfir tíma, og hjá mörgum fyrirtækjum einnig veiðipóstsæfingar þar sem mælt er hversu margir smella á prófunarpóst fyrir og eftir þjálfun. Skjalfestingin skiptir líka máli í sjálfu sér: gagnvart NIS2, endurskoðendum, tryggingafélögum og viðskiptavinum þarf að geta sannað hverjir voru þjálfaðir og hvenær.
Algengar spurningar
- Hvað er öryggisvitund?
- Öryggisvitund er þekking og hegðun starfsfólks gagnvart netöryggisógnum: að þekkja veiðipóst og svindl, fara rétt með lykilorð og gögn, og vita hvernig á að bregðast við. Hún er mannlega hliðin á netöryggi.
- Hvers vegna skiptir öryggisvitund máli?
- Langflestar netárásir beinast að fólki, ekki tækni. Veiðipóstur, símasvindl og forstjórasvindl komast fram hjá tæknivörnum með því að plata starfsmann. Þjálfað starfsfólk er vörnin sem grípur þær árásir.
- Hvernig er best að þjálfa öryggisvitund?
- Stutt og regluleg þjálfun virkar best: nokkrar mínútur í senn, mánaðarlega, á móðurmáli starfsfólksins og með raunhæfum dæmum. Löng árleg námskeið gleymast á nokkrum vikum.
- Er öryggisvitundarþjálfun skylda samkvæmt NIS2?
- Já, fyrir fyrirtæki sem falla undir tilskipunina. Í 21. grein NIS2 er þjálfun starfsfólks í netöryggi tilgreind sem hluti af skyldubundnum áhættustjórnunaraðgerðum, og stjórnendur sitja sjálfir þjálfun samkvæmt 20. grein.
Svona lítur virk öryggisvitundarþjálfun út
Varhugi þjálfar öryggisvitund með fimm mínútna námskeiðum á mánuði, á íslensku og með dæmum úr íslensku vinnuumhverfi. Skírteini og skýrslur fylgja sjálfkrafa.

