Interessenter og CISOs har en tendens til at have forskellige perspektiver på at vurdere risikoen for en potentiel cybersikkerhedshændelse. Forståelse af de psykologiske aspekter kan dog hjælpe med at bygge bro over kløften.
Næsten fire årtier er gået siden udgivelsen af Brain, en af de første computervira, der gik verden rundt. Siden da har vi været vidne til en lang række angreb: Stuxnet ødelagde næsten en femtedel af Irans nukleare centrifuger, WannaCry inficerede computere i 150 lande, ransomwarebander stjal millioner af amerikanske dollars, og tusindvis af virksomheder er blevet påvirket af brud på datasikkerheden. Men på trods af det undervurderer mange organisationer stadig risikoen for en potentiel cybersikkerhedshændelse.
Faren for cyberangreb
Som mennesker har vi udviklet et faredetekteringssystem for at beskytte mod konkrete trusler, såsom ulve, bjørne og andre rovdyr. Når det kommer til det relativt nye område cybersikkerhed, er det anderledes. “Risikoen for et cyberangreb synes at være et ret abstrakt begreb,” siger Ralf Schmälzle, adjunkt ved Michigan State University. “Vi kan ikke mærke faren.”
Schmälzle, der studerer hjernen mekanismer vellykket risikokommunikation, siger, at fare betyder forskellige ting for forskellige mennesker. Det er en “usikker dom”, hvilket betyder, at det er meget subjektivt. “Problemet med computersikkerhed og virus er, at du ikke føler nogen risiko,” siger han.
I mange organisationer synes der at være to sider: interessenter og CISOs. “Interessenter, der aldrig har kigget på firewall-logs for at se, hvor mange angreb der konstant sker, har tendens til at være alt for afslappet og mener, at CISOs er alt for paranoide,” siger Stefan Tanase, cyberintelligence ekspert på CSIS Group. “De to sider, interessenter og CISOs, har forskellige meninger, og det er svært for dem at forstå det andet perspektiv.”
Akademikere med speciale i risikovurdering og ledelse sagde barrierer forhindre os i at forstå risiko, herunder vores fordomme, vores erfaring med lignende hændelser, og selv vores opfattede præstationer på arbejdspladsen, som kan påvirke vores vilje til at tage chancer.
Hvad forhindrer os i at vurdere risikoen korrekt?
Når vi vurderer potentielle risici, er vi ofte afhængige af vores intuitive følelse af fare. Vi er tilbøjelige til at være for optimistiske eller overmodige. Vi kan også være genstand for bekræftelsesbias eller har en falsk følelse af kontrol, der kunne skævvride vores perspektiv.
“Folk er forskellige, men der en overvægt af undervurdering om de fleste ting, herunder nødvendigheden for cybersikkerhed,” siger Hersh Shefrin, Mario L. Belotti professor i finansiering ved Santa Clara University’s Leavey School of Business og forfatter til Behavioral Risk Management: Managing the Psychology that Drives Decisions and Influences Operational Risk.
Schmälzle bemærker også, at urealistisk optimisme har tendens til at påvirke vores dømmekraft. “Der er den antagelse, at vi vil være bedre stillet end andre: mindre tilbøjelige til at have kræft, mere tilbøjelige til at have smarte børn, mindre tilbøjelige til at blive offer for et cyberangreb,” siger han. Mens denne tendens er blevet dokumenteret rundt om i verden, synes det at være forstærket i udviklede samfund.
Tæt forbundet med det er illusionen om kontrol, en bias, der kan have forfærdelige konsekvenser i en virksomhed indstilling. Når vi føler, at vi har ansvaret, som mange C-niveau ledere gør, kan vi nedtone risici. For eksempel føler mange mennesker sig sikrere, når de kører deres biler, men er bange for at gå om bord på fly, selvom statistisk flyvning er sikrere.
Schmälzle, der har “en lille smule angst for at flyve,” forstår dette godt. Han tilføjede dog, at vores opfattelse af risiko kan påvirkes af, hvor langt den farlige begivenhed er i fremtiden. Da han booker billetterne et par uger før flyvningen, føler han ingen angst. “Men når vi accelererer på landingsbanen, så er der en smule svedig håndflade følelse snigende i.”
Han mener, at dette eksempel illustrerer en bredere pointe: “I mit tilfælde er det kun den umiddelbare situation (opfattet fare), der fremkalder følelsen – at forestille sig det på afstand ikke gør det,” tilføjer han. “Hvis tingene er for fjerntliggende, for langt fremme, så føler vi ikke risikoen – uanset hvor meget eksperter ønsker at advare os om dette eller det andet.”
Selv når eksperter advarer os, kan vi kassere dette råd, da vi har tendens til at favorisere de oplysninger, vi allerede kender og vil høre og ignorerer resten. Forskere siger, at bekræftelsesbias kan findes i at søge efter information, fortolkning, og hvordan vi husker ting. Realistisk set kan vi ikke helt undgå bekræftelse bias, men vi kan holde det i skak gennem kritisk tænkning, siger forskerne.
Vurdering af cybersikkerhed
Det er en vanskelig opgave at vurdere risikoen præcist, og selv de mindste ting betyder noget, herunder hvordan vi har det med vores jobpræstationer. “Frygt for fiasko og fokus på karriere, gør at folk tager risici,” siger Shefrin. “Det er en væsentlig årsag til underliggende brud på virksomheder som Yahoo og Equifax.”
Hvad forbløffer Schmälzle mest, når det kommer til cybersikkerhed er, at organisationer bliver ramt flere gange i træk-Acer og Olympus er de seneste eksempler. “Normalt, når du bliver brændt, bliver du meget forsigtig,” siger han. “For eksempel at sætte din hånd på et komfur er normalt et eksempel på undgåelselæring.”
Schmälzle siger, at en forklaring på at virksomheder, der bliver angrebet gentagne gange og ikke nævneværdigt retter fejl, er virksomheder, der kun har oplevet småhændelser derfor har svært ved levende forestille sig worst case.
CSIS’s Tanase siger, at erhvervslivet kan lide af alarmtræthed. “Når man læser trusselsrapporter, er mange af dem desværre over-hyped til markedsførings- og PR-formål. Hvordan kan læseren korrekt vurdere risikoen, når hvert cyberangreb er ”det mest komplekse” og enhver trusselsaktør er ”den mest sofistikerede”? Når alt er vigtigt, er intet vigtigt, synes vi at tænke.
Bliver bedre til at forstå risiko for cyberangreb
Selvom vores hjerner ikke nødvendigvis er optimeret til at vurdere risikoen for cybersikkerhedshændelser, kan vi gøre et par ting for at forbedre vores chancer. For det første kunne cybersikkerhed lære af fysisk sikkerhed, som Matt Blaze foreslog i en ikonisk rapport offentliggjort i 2004. Den grundlæggende idé med rapporten er, at med tålmodighed kan næsten alle systemer brydes ned.
Risikovurdering bør være mere almindeligt i cybersikkerhed verden, siger Tom Sammel, en pensioneret US Marine Corps officer, der har arbejdet som en CISO på Secureworks. I de sidste par årtier har han bemærket, at virksomheder har en tendens til at udskyde at have ubehagelige samtaler. “Vi lever i en verden af smerte, som de fleste ledere frygter at gå til,” siger han. “De kæmper med at sidestille en hændelse som datatyveri eller ransomware til, hvordan det kan påvirke virksomhedens omdømme eller operationer. Da denne beregning er hård, har de en tendens til simpelthen at undgå det.”
Lad de bedste få en stemme
Organisationer bør ikke kun fokusere på at have de rigtige værktøjer. De bør også ansætte de bedste folk til jobbet. Det betyder, at du skal inkludere forskellige medarbejdere og give dem en stemme, siger cybersikkerhedsiværksætter jane Frankland, forfatter til bogen IN Security: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe. “Utallige undersøgelser har vist, at kvinder og mænd måler risikoen forskelligt,” siger hun. “Kvinder er typisk mere risikosky, og deres naturlige detaljerede udforskning gør dem mere afstemt efter skiftende mønsteradfærd – en færdighed, der er nødvendig for korrekt at identificere trusselsaktører og beskytte miljøer.”
Kvinder scorer generelt højt, når det kommer til intuition og følelsesmæssig og social intelligens, tilføjer Frankland. Typisk er forskellige grupper klogere og bedre til at reagere i tilfælde af en nødsituation. “Hver gang du har ensartethed i tanke, går du glip af de mest kreative løsninger eller taktikker, der kan hjælpe os med at slå trusselsaktørerne,” siger hun.
Med mere forskelligartede teams, bedre værktøjer og bedre processer kan organisationer være bedre til at vurdere risici. Tingene har ændret sig i det seneste årti, siger Sammel. Risiko er erfaringsbaseret, og mange organisationer, der har været igennem hændelser, har lært af det. Stadig, der er en kløft mellem, hvad interessenter tror kan ske. Kløften kan potentielt afhjælpes, hvis sikkerhedseksperter finder bedre måder at tale om risiko på.
Effektiv kommunikation af cyberrisici
Efter måneder eller år med at leve i risikable situationer er folk ikke længere følsomme over for talvariationer, som COVID-19-krisen har vist. “Hvad betyder det egentlig at sige, at en risiko er 60% eller 80%?” Spørger Schmälzle. “Praktisk talt kan jeg ikke bruge disse oplysninger. Snarere, når det kommer til at vurdere min personlige risiko, hvad jeg gør, er at opdele det i to kategorier: ”kan ske” versus ”vil sandsynligvis ikke ske”.
Derfor skal CISO’erne bruge tid på at forklare interessenterne, at risikoen ikke er abstrakt men konkret. Værste scenarier vil ske givet nok tid, som Blaze’s papir forklarede et årti og et halvt siden.
“CISO er nødt til at tilbringe tid sammen med deres teams, arbejde gennem forskellige scenarier. Så skal de tale igennem, hvordan forskellige hændelser udfolder sig,” siger Sammel. Så, når planen er klar, CISOs “nødt til at tage resultaterne af denne analyse og gå finde de mest hensigtsmæssige interessenter til at hjælpe kvantificere virkningerne af hændelserne.”
Disse bør indeholde specifikke tal og researchere anbefaler at bruge en kombination af sandsynligheden for den uønskede begivenhed og sværhedsgraden af konsekvenserne. CISOs bør advare interessenter om, at det ikke er nok at købe forsikring, kontrollere alle overholdelsesbokse og købe noget teknologi, der kan øge sikkerhedsniveauet. Dette hjælper, men det er ikke nok.
“I det amerikanske marinekorps havde vi det sjovt med at sige: ”En inspektionsklar marinesoldat er aldrig klar til krig, og en kampklar marinesoldat er aldrig klar til inspektion”, fordi der er forskel på funktionelt klar til noget, og så at være klar til en inspektion”, siger Sammel. “Det kræver et godt sikkerhedsteam at gå ind og se på spørgsmålene og derefter dykke ned i, hvad spørgsmålet fremstiller.”
CISOs kan også omsætte risikoen for potentielle cybersikkerhed hændelser til penge. For eksempel, under en pre-ransomware hændelse Sammel arbejdede på, rådede han offeret til at lukke selskabets operationer i et par dage for at løse problemerne. “Jeg brød det ned numerisk for dem. Jeg sagde: Hvis du tager dette udfald, vil det koste virksomheden omkring fem til otte millioner. Omvendt kan du risikere at skulle betale 500 millioner dollars i rekonstruktion og oprydning. Det kræver den grad af ærlighed, brutal forståelse af en situation.”
Stadig, selv når CISOs oversætte risikoen til penge, bør de huske på, at “fakta alene ikke flytte folk”, som Shefrin udtrykker det. I stedet bør hårde fakta suppleres med levende billeder og følelser, der får interessenter til at handle.
Kilde: CSO