Skadesreduktion.jpg

Hvordan begrebet ”skadesreduktion” mere effektivt kan påvirke medarbejdernes risikoprofil

Talsmand fra Black Hat foreslår rammer for at reducere de negative konsekvenser af risikable brugerhandlinger og tilskynde dem til at følge sikkerhedsrådene.

De fleste fagfolk inden for it-sikkerhed ved, at uddannelse af medarbejdere til at følge god sikkerhedspraksis, såsom phishing-simuleringer, der som regel får medarbejdere til at falde i overfor overbevisende falske henvendelser, ofte er et frustrerende indslag. Et nyligt eksperiment udført på Baylor University fandt bevis for, at phishing-tests kan skade forholdet mellem en virksomhed og dens medarbejdere, forårsage følelser af forræderi og få dem til at se it-sikkerhed som skadelig.

Kyle Tobener, vicepræsident, chef for sikkerhed og it hos Copado, mener, at han har en bedre løsning til at hjælpe organisationer med at forbedre deres medarbejderes cybersikkerhedsposition: skadesreduktion. Tobener foreslår en ramme for anvendelse af skadesreduktion på cybersikkerhedsrisici, som han har arbejdet på siden 2020.

Anvendelse af en medicinsk model til it-sikkerhed

Begrebet skadesreduktion stammer fra det medicinske samfund, specifikt inden for stofmisbrugsbehandling. Teorien er at møde folk “hvor de er” og acceptere, at visse adfærd ikke kan elimineres helt. I stedet er målet at minimere de skadelige virkninger af den negative adfærd så meget som muligt.

Begrebet skadesreduktion inden for cybersikkerhed er ikke nyt, selv om eksempler på dets anvendelse er sparsomme. For eksempel offentliggjorde Eva Galperin, cybersikkerhedsdirektør for Electronic Frontier Foundation, et stykke i marts med titlen “Telegram Harm Reduction for Users in Russia and Ukraine.” I sin artikel guider Galperin brugerne om, hvordan de mere sikkert navigerer i Telegram-appen, som “bestemt ikke er den mest sikre messaging-app på markedet lige nu,” skrev hun.

Cyberbullying Research Center fremmer også skadesreduktion med hensyn til sexting blandt unge, en anden form for adfærd, der sandsynligvis ikke påvirkes af direkte formaninger. “Vi bruger al vores tid og energi på at kræve, at unge aldrig sender intime billeder til nogen, mens vi skaber en slags politistat for at forsøge at sikre, at det ikke sker (f.eks. Overvågning, spyware osv.),” Ifølge centret.

Fokus på at reducere negative sikkerhedsmæssige konsekvenser

Tobener sagde, at han lærte om skadesreduktion, når han håndterede et familiemedlem, der kæmpede med afhængighed. “Når du lærer om skadesreduktion og ser folk give råd som ‘gør ikke dette’ og begynder at indse, hvor ineffektivt det råd er, ændrer det virkelig din måde at tænke på,” siger han til CSO. “I sikkerhed giver folk en masse råd.”

For eksempel peger han på Coinbase-reklamen under Super Bowl tidligere i år, der lokkede seerne til at bruge en QR-kode til at gå til et Coinbase-websted. “En masse sikkerhedsfolk gik straks til Twitter, gik til blogs og hvad som helst og sagde, ‘brug ikke tilfældige QR-koder. Det er så usikkert,« siger Tobener.

»Det er et forfærdeligt råd. QR-koder og links er, hvordan internettet fungerer. Folk er nysgerrige. De vil gerne lære. Så når du giver dette råd, gør personen det alligevel. Du har mistet en mulighed for at uddanne den person med måske nogle oplysninger, der kunne være nyttige.”

“Skadesreduktion lærer os, at hvis du fokuserer på at reducere de negative konsekvenser eller den risikable adfærd, folk måske tager, snarere end bare at forsøge at reducere mængden af risikovillighed, folk gør, samlet set på lang sigt, vil du give mere effektiv rådgivning.”

Tretrinsramme til håndtering af skadesreduktion

Tobener har udviklet en enkel ramme, som han har destilleret fra et væld af skadesreducerende materialer på sundhedsområdet. Det første skridt i rammen er “at acceptere, at risikovillig adfærd er kommet for at blive,” siger han. “Den medicinske forskning viser, at på trods af alle vores bedste bestræbelser på at fjerne stoffer og slippe af med at drikke, slipper du ikke af med risikovillig adfærdsadfærd.”

Det andet trin er at prioritere reduktionen af negative konsekvenser. “Kernen i skadesreduktion er at fokusere på de negative konsekvenser og reducere dem i stedet for bare at forsøge at reducere adfærden,” siger Tobener.

Tobener mener, at det tredje og mest spændende stykke af hans ramme er noget, han tror, at de fleste cybersikkerhedsfolk ikke fokuserer på: omfavne medfølelse, mens de giver vejledning. “Medfølelse er noget, du kan have for en person som en marketingperson, der gør noget, du måske anser for risikabelt,” siger han. “Der er måder at støtte dem på, der ikke kaster et stigma på de ting, de laver, eller udskammer dem. Men desværre synes mange sikkerhedsfolk, at navngivning og udskamning faktisk er en god idé.”

Medfølelse kan gøre sikkerhedsfagfolk mere effektive

Forskning viser, at medfølelse kan gøre sikkerhedspersonale mere effektive praktikere og reducere udbrændthed, fordi det får folk til at lytte til dem mere omhyggeligt. “Og til sidst, hvis du er medfølende med dem, som det er blevet vist i lægemiddelforskning, kommer de nogle gange til valget om at stoppe med at bruge alene, fordi nogen var søde ved dem og lyttede til dem og hjalp dem.”

En undersøgelse, som Tobener citerer, viser, at medfølende læger for eksempel opnår større succes med at få deres diabetespatienter til at holde sig til vejledning. “Patienter med medfølende læger viste øget overholdelse af vejledning,” siger han. “De var 40% mindre tilbøjelige til at have komplikationer og 80% mere tilbøjelige til at kontrollere deres blodsukker på en optimal måde.”

Tobener finpudsede sin forståelse af vigtigheden af medfølelse på en dybt personlig måde. Han planlagde oprindeligt at præsentere sin skadesreduktionsramme på Black Hat i 2020. Men inden han kunne perfektionere sin tale ved arrangementet, fik han en kræftdiagnose. Han gennemgik efterfølgende operation og kemoterapi og er nu kræftfri.

“Min erfaring med lægestanden og de læger, jeg havde hjulpet med at informere min forskning om slags medfølelsessiden af tingene,” siger Tobener og hjælper hans rammer med at blive meget bedre, end da han først indsendte den til Black Hat. “Jeg oplevede meget af det, jeg taler om på første hånd.”

Tobener understreger, at det stadig er OK at fortælle folk, at de skal stoppe med at engagere sig i usikker praksis. Hans rammer eliminerer ikke at fortælle folk, at de skal stoppe med at engagere sig i risikabel adfærd. “Det er, at ud over rådene om ikke at gøre noget, skal du bare acceptere, at en vis procentdel af befolkningen vil gøre det alligevel og finde ud af en måde at passe på disse mennesker også.”

Kilde: CSOonline

Foto: Pexels

Scroll til toppen