Det är inte datorn som hackas. Det är du!

För att kunna försvara oss mot cyberattacker räcker det inte att bara prioritera tekniska brandväggar. Vi måste samtidigt bli bättre på att förstå hur social engineering, eller social manipulation, fungerar och hur vi förebygger de mänskliga sårbarheterna i våra organisationer.

Länge har det pratats om mänskliga misstag som ett stort säkerhetsproblem, men det är ett uttryck som riskerar att leda tanken fel. Att klicka på en osäker länk, dela med sig av känslig information eller använda sig av svaga lösenord är visserligen inte ett bra säkerhetsbeteende, men för att kunna påverka den här typen av beteenden krävs att vi förstår vad som orsakar dem.

Beror inte på bristande kunskap

För det första: Den mänskliga sårbarheten beror inte på dålig kunskap. Vi vet att man inte ska använda svaga och upprepade lösenord. Vi har lärt oss att man inte ska klicka på länkar eller dela information med någon som inte är behörig.

Anledningen till att det här ändå återkommande händer beror till stor del på att det i många organisationer fortfarande är mycket lättare att göra fel än att göra rätt. De tekniska systemen är inte anpassade till de som ska använda dem, och arbetsrutinerna sätter snarare snabbheten och inte säkerheten först.

I dagens digitala miljöer har det gamla talesättet att ”tillfället gör tjuven” dessutom snarare bytts till att ”tjuven gör tillfället”. De cyberkriminella är experter på att rikta in sig på oss användare när vi är som mest stressade och upplever att det är någon inom organisationen som vi kan lita på. Typexemplet med ett fejkat mejl från en chef som ber att vi ska fixa en ”sak som dykt upp” triggar vårt grundläggande behov av att vilja hjälpa till. Inte att dubbelkolla avsändare och innehåll.

AI-förstärker hoten
Med AI i händerna på de cyberkriminella har dessutom både antalet attacker och graden av personliga anpassningar ökat dramatiskt. Det som tidigare ofta var ganska taffliga och generella phishing-försök, är idag ofta riktade direkt till oss i vår faktiska roll, från en (fejkad) avsändare som vi litar på och dessutom vid ett tillfälle när vi har en hög arbetsbelastning och stressnivå.

Oavsett om de fejkade mejlen är skapade av AI eller inte handlar det i grunden om att skapa motståndskraft genom förändrade beteenden. En organisationskultur där du som medarbetare uppmanas och uppmuntras att stanna upp och tänka efter, ställa frågor, reagera och rapportera om någonting verkar misstänkt, kommer alltid att vara det bästa skyddet mot cyberattacker riktade mot organisationens medarbetare.

Den chef som applåderar medarbetaren som dubbelkollar, knackar på och frågar, eller motringer, är också den som kommer att ha medarbetare som står emot sofistikerade och AI-genererade phishing-mejl.

Bygg mänskliga brandväggar – året runt

Den här typen av säkerhetskultur bygger på alla medarbetares beteenden. Och att skapa beteenden tar tid. Det första steget är insikten om att beteendeförändrande lärande med så kallad awareness training aldrig kan vara ett enstaka event. Att samla alla i aulan i början av hösten är som att träna en gång ett halvår innan man ska åka Vasaloppet.

Det som behövs är ett lärande som bygger på spaced repetition, reflektion och förstärkning av det man lärt sig. Det finns mycket forskning som lyfter fram the spacing effect som en nyckel för att lärande ska fastna och på sikt göra att vi också ändrar våra vanor utifrån vad vi lärt oss.

Låt oss börja använda den vetskapen. Låt oss satsa på lärande som på allvar kan stötta rätt säkerhetsbeteenden. Beteenden som kan öka skyddet mot all den social manipulation som de cyberkriminella kommer att fortsätta utsätta oss och våra medarbetare för.