.png?width=336&name=Cyber%20Monday%20Sale!%20(12).png)
Den mänskliga faktorn: Varför Stressade Stina är en säkerhetsrisk
Den mänskliga faktorn är den största anledningen till dataläckor i Sverige. Hur sker dessa dataläckor i praktikten och hur kan vi förhindra dem.
Det råder inga tvivel om att cyberbrott är ett växande problem. Vi har sett flera stora företag, som Coop och Maersk, utsättas för attacker under de senaste åren. Faktum är dock att det största problemet när det kommer till dataläckor inte är hackare eller antagonistiska angrepp. Nej, den vanligaste orsaken till dataläckor kommer inifrån: den mänskliga faktorn.
I den här artikeln kan du läsa varför mänskliga misstag är den främsta orsaken till dataintrång över hela världen, hur dessa vanliga fel ser ut, vad du kan göra för att undvika dessa kostsamma misstag, och hur Maskininlärning spelar en viktig roll i detta sammanhang.
Sex av tio personuppgiftsincidenter orsakas av den mänskliga faktorn
Hela sex av tio personuppgiftsincidenter härstammar från den mänskliga faktorn enligt Integritetsskyddsmyndigheten (IMY) i Rapport om anmälda personuppgiftsincidenter 2022. Detta sträcker sig över perioden 2019–2022. IMY:s diagram tydliggör att den mänskliga faktorn fortfarande är den överlägset vanligaste orsaken till alla inrapporterade fall av personuppgiftsincidenter. Under dessa fyra år utgjorde den mänskliga faktorn varje år över hälften av alla rapporterade händelser.
Incidenter som tillskrivs den mänskliga faktorn beror främst på individers misstag vid hantering av personuppgifter inom verksamheter. Mer än hälften av dessa incidenter är resultatet av felskick, exempelvis felaktigt skickade brev, mejl eller sms. Det kan även involvera individer som medvetet eller omedvetet inte följer interna rutiner för hantering av personuppgifter.
År 2022 låg den mänskliga faktorn bakom 59 procent av alla incidentanmälningar, en ökning med 2 procentenheter jämfört med 2021. Trots denna ökning minskade dock antalet rapporterade personuppgiftsincidenter under 2022 med omkring 140 anmälningar.
Andel anmälningar om personuppgiftsincidenter fördelat på orsak för incident 2019–2022
Källa: IMY | Anmälda personuppgiftsincidenter 2022
Andel dataläckor fördelat på typ av incident 2019 - 2022
63 procent av alla anmälningar under 2022 relaterar till obehörig exponering, antingen på grund av felskick eller andra felaktiga hanteringsmetoder. Därutöver var olovlig självåtkomst av personuppgifter också vanligt förekommande, utgörande 22 procent av incidenterna.
Felskick, som inkluderar brev, mejl eller sms med personuppgifter som felaktigt skickats till fel mottagare, dominerade 38 procent av alla anmälningar 2022. Andelen av övriga fall av obehörigt röjande minskade till 25 procent, vilket motsvarar en minskning med 3 procentenheter jämfört med föregående år.
Inom kategorin oavsettig åtkomst, där någon olovligen skaffar sig tillgång till personuppgifter, stod 22 procent av alla incidentanmälningar under 2022.
Källa: IMY | Anmälda personuppgiftsincidenter 2022
Exempel på ett dataintrång genom mänskliga misstag
Den stora majoriteten av dataläckor orsakas av mänskliga misstag. Så hur kan det se ut i praktiken? Tänk dig in i följande scenario:
Elsa ska skicka ett e-postmeddelande som innehåller integritetskänslig information till revisorn Johan. I fältet för mottagaren börjar hon skriva hans namn, och när hon kommer till "Johan..." trycker hon på enter.
Elsa tror att e-postklienten automatiskt har kompletterat namnet ”Johan” med rätt e-postadress och därför avslutar hon processen genom att klicka på ”skicka”. Vips! Meddelandet är nu på väg till den angivna mottagaren.
Men vad visar sig? E-postmeddelandet skickades till en helt annan Johan. Detta är en klient som Elsa har regelbunden e-postkontakt med. Nu har han fått ett helt meddelande, fullt med känslig information som inte var avsedd för honom.
Elsa, Johan och GDPR
Den allmänna dataskyddsförordningen (GDPR) har nu varit i kraft i nästan fyra år. Införandet av denna lag medförde ett antal förändringar. Organisationer fick till exempel mer ansvar, människor fick mer rätt till personlig integritet och konsekvenserna av att inte följa denna lag registrerades i form av stora böter. Dessutom var organisationerna skyldiga att rapportera i tid om ett dataintrång hade inträffat. Den sistnämnda regeln har lett till en betydande ökning av antalet dataläckor. Därför avslöjades dessa "små" misstag, som Elsas, i större utsträckning.
Totalt inkom 5 330 anmälningar om personuppgiftsincidenter till IMY 2022. Den största orsaken till dataläckor var slående: mänskliga misstag.
Vidta rätt åtgärder nu och se till att du alltid skickar e-post på ett säkert sätt.
Kostnaden för den mänskliga faktorn
Färskt från pressarna är IBMs rapport om Kostnaden för en Databrech 2023 som belyser de ekonomiska följderna av dessa felsteg. Den genomsnittliga kostnaden för en dataläcka år 2023 var 4,45 miljoner USD, en ökning med 2,3 % från 2022. Detta markerar en historisk höjdpunkt i databreach-kostnader och det är en trend som sannolikt kommer att fortsätta i de kommande åren.
De flesta cybersäkerhetslösningar har dock svårt att förhindra mänskliga misstag. I praktiken verkar den mest ultramoderna tekniken inte kunna hantera vardaglig ouppmärksamhet. Och det är synd, för konsekvenserna kan bli stora. Dataskyddsförordningen innehåller två kategorier av överträdelser med tillhörande böter. I båda fallen rör det sig om betydande belopp: högst 20 miljoner euro eller 2-4 % av den globala årsomsättningen. Att behöva betala en sådan summa för ett litet misstag är såklart irriterande för er som organisation, men det är ännu värre för de vars information läcktes.
Det är en tanke, värd att lägga några extra minuter på: Vilka konsekvenser skulle det få för din organisation om integritetskänsliga uppgifter offentliggjordes? Och vilka konsekvenser skulle det få för dina kunder, partners och medarbetare?
Dataläckor påverkar ju inte ert företag bara genom potentiella böter. Det handlar dessutom om förlorat förtroendekapital, missade affärsmöjligheter, resurser som nu arbetar med krishantering i stället för kapitalinkomst… Ja, listan kan göras lång.
Tips för att förhindra dataläckor
Vi är alla människor och vi alla gör misstag, det är orealistiskt att förvänta sig perfektion. Enbart att förlita sig på en IT-avdelning med säkerhets- och dataexperter räcker inte för att förhindra misstag. Din cybersäkerhetsstrategi måste inkludera flera komponenter, från anställda till teknik. Låt dig inspireras av tipsen nedan!
1. Information och utbildning: En gedigen kunskapsbas är avgörande för att förebygga misstag. Ofta har något redan gått snett i försvaret mot nätfiskeattacker innan man klickar på en skadlig länk. Det åligger ledningen och säkerhetsteamet att utbilda hela organisationen om nätfiske. Märkligt nog genomför endast 1 av 5 företag träning om identifiering av nätfiskeattacker.
2. Bättre e-postskydd: Ett förvånande antal företag saknar fortfarande åtgärder för e-postsäkerhet och tror kanske att skräppostfiltren räcker. Genom att välja rätt lösning kan du etablera krypterad meddelandeutbyte för att skydda känslig information. En effektiv lösning ökar medvetenheten vid hantering av känslig information och tillåter till och med återkallande av skickade e-postmeddelanden. Får du notiser när känslig information har lagts till i e-posten? Går det att kontrollera om rätt mottagare eller filer har valts innan du skickar? Genom att införa dessa metoder säkerställer du korrekt säkerhet och noggrann delning av information.
3. Användarfokuserad säkerhet för att erkänna mänskligt beteende som en sårbarhet. Erbjud intuitiva säkerhetslösningar, som användarvänliga krypteringsplattformar, för att säkerställa smidig användning. Främja användarmedvetenhet genom utbildning och påminnelser för att minska risken för intrång och oavsiktlig datadelning. Gör människoelementet till en motståndskraftig del av din säkerhetsstrategi.
4. Maskininlärning: Tänk dig en allierad som kollar dina e-postmeddelanden efter riskfyllda saker. Slutanvändare får en automatisk notifikation när känslig information har lagts till i e-posten, eller när personer utanför ditt företag har lagts till i CC eller BCC, eller till och med skyddar dina e-postmeddelanden i bakgrunden automatiskt utan att användaren märker det. Denna tillämpning av maskininlärning ger dig som slutanvändare möjlighet att vara mindre upptagen av e-postsäkerhet. När en risk upptäcks meddelas du snabbt, vilket säkerställer säker överföring av e-post.
5. Balansera arbetsbelastningar: Som tidigare nämnts är utmattade anställda eller de som är översvämmade av arbetsuppgifter mer benägna att göra misstag, även med grundläggande uppgifter som att skicka e-post. Denna risk förstärks avsevärt vid införandet av nätfiskeattacker. Att skynda igenom och inte noga granska detaljer kan leda till att fel e-post öppnas.
6. Skräddarsydda säkerhetsmetoder: Olika personligheter behöver varierade säkerhetsstrategier. För vissa kan automatisk e-postkryptering vara den perfekta lösningen och skydda deras korrespondens utan ytterligare ansträngning. Andra kan föredra ett mer hands-on tillvägagångssätt. Att erbjuda användarna möjligheten att få notifikationer ger dem möjlighet att aktivt delta i säkerhetsprocessen. Det ger dem möjlighet att snabbt agera baserat på de varningar de får.
7. Skapa en händelsehanteringsplan för att testa och eventuellt skärpa dina datasäkerhetsåtgärder.
Vill du lära dig mer om den mänskliga faktorn och cybersäkerhet? Se vårt webinar med IT-säkerhetsexperten Anne-Marie Eklund Löwinder via länken nedan!