[Tema] Gästskribent: Genom spel blir informationssäkerheten en fråga för alla

4.6.2018 kl. 10.18

Människornas medvetenhet om informationssäkerheten är viktig inom kemisk industri och processindustri. Om informationssäkerheten sviker kan konsekvenserna vara fatala och gälla även läkemedelssäkerheten eller tillgången till läkemedel. Arbetet med att integrera informationssäkerheten i företagskulturen är en fråga som alla företag bör satsa på. En kontinuerlig utbildning av personal i informationssäkerhet spelar en viktig roll och behöver inte vara ett tråkigt, nödvändigt ont. Nu skriver Ulla Palmila från Orion om cybersäkerhetsaspekter i Cybersäkerhetscentrets nätverk för informationsutbyte och samarbete inom den kemiska sektorn (KEMIA-ISAC).

Ulla Palmila jobbar som informationssäkerhetschef på Orion.

En stor del av infrastrukturen inom den kemiska industrin och processindustrin är redan gammal, och därför ligger informationssäkerheten inte nödvändigtvis på en tillräckligt hög nivå. Särskilt industriautomationen förväntas bli föremål för allt fler attacker i framtiden. Det är viktigt att utveckla informationssäkerheten inom industrin, vilket många företag inom den kemiska sektorn satsar på. Viktiga metoder att förbättra informationssäkerheten är att ge kontinuerlig utbildning i informationssäkerhet och att integrera informationssäkerheten i företagskulturen. Jämfört med kontorsmiljöer är riskerna inom industriautomationen olika, vilket också ska beaktas vid utbildning av personal.

Det är enklare att lura människor än maskiner

De tekniska kontrollerna ska vara i ordning, men de kan inte ensamma skydda mot informationssäkerhetshot. Ofta beror dataintrång på människors misstag och därför är medvetenhet och försiktighet viktigt.

Cyberbrottslingar utnyttjar hänsynslöst människors godtrogenhet för att komma över information eller system som är viktiga för affärsverksamhet.

En brottsling behöver inte ens vara tekniskt skicklig, utan denne kan begära information direkt av en människa. Vi har sett mycket nätfiske av användarnamn och lösenord, och bluffmeddelanden ser numera mycket äkta ut. Om ett meddelande till exempel verkar ha skickats av en kollega ifrågasätter man inte nödvändigtvis om meddelandet är äkta eller avsändaren pålitlig.

Ett riktat nätfiske är en effektiv attackform som utnyttjar social manipulation. Det är möjligt att av en person få väldigt mycket kritisk information om ett företag – bara genom att ringa och fråga. Hur ofta har du exempelvis diskuterat företagets interna ärenden på en flygplats eller hört andra diskutera sitt eget företags ärenden?

Utbildning i informationssäkerhet kan också vara rolig!

Det räcker inte med att vi går igenom informationssäkerhetsfrågor en gång om året, utan utbildningen i informationssäkerhet ska vara kontinuerlig för att vi ska kunna hålla den i minnet varje dag.

På marknaden säljs utbildningsspel som bygger på artificiell intelligens. De simulerar informationssäkerhetsattacker som skickas per e-post och lär dig känna igen olika bedrägerier. Det är särskilt viktigt att personalen får information om just dessa fenomen inom informationssäkerhet, eftersom nätfisket per e-post är mycket vanligt och aktuellt i dag. Cyberbrottslingar försöker utnyttja människosinnet och locka en att klicka på en skadlig bifogad fil eller länk eller att ange sitt lösenord på fel ställe.

Genom spel kan personal bli intresserad av informationssäkerhet. Vid regelbundna korta mikroutbildningar är det enklare att bättre hålla fenomenen inom informationssäkerhet i minnet. Erfarenheterna av pilotförsök med nätfiskespelen har varit positiva och vår personal har prisat spelen. Vi har bland annat fått respons på att simulationerna har gett goda råd och deras längd har varit lämplig. Personalens medvetenhet om e-postattacker har också ökat: 96 procent av deltagarna har ansett att de har lärt sig av simulationerna.

I våras genomförde vi en utbildning i informationssäkerhet i form av ett flyktspel. Jag fick idén om flyktspelet av Tomi Pitkänen i E-CIP-gruppen på Kommunikationsverket.
Vi valde fyra viktiga informationssäkerhetsfrågor som vi ville att vår personal skulle lära sig. Till sist planerade och genomförde vår samarbetspartner utbildningen i form av ett flyktspel. Efter att utbildningen hade lanserats såldes alla spelplatser genast. Personalen ansåg att utbildningen framför allt hade varit kul och att det säkert genom spelet hade varit enklare att hålla det inlärda i minnet än att genom att läsa eller lyssna. Hela organisationen var förtjust!

Allt – även informationssäkerheten – bygger på stöd från ledningen

Om företagsledningen inte visar något intresse för informationssäkerheten eller anser att informationssäkerheten inte är viktig, är det svårt att integrera den i företagskulturen. Det är av avgörande betydelse att ledningen har tillräcklig kännedom om informationssäkerhetsrisker, informationssäkerhetshot och skyddsmetoder. När budskapet om vikten av informationssäkerhet kommer från ledningen kan personalen tillägna sig det enklare och snabbare. På så sätt blir informationssäkerheten också en del av vardagen i arbetet och ett sätt att arbeta.

Informationssäkerhet är en fråga för hela personalen och ska beaktas i all verksamhet i företaget. Personalen bör erbjudas olika möjligheter att lära sig eftersom vi alla lär oss på olika sätt. Det är viktigt att de anställda håller ögonen öppna och rapporterar genast när de har upptäckt en informationssäkerhetsrisk eller informationssäkerhetsincident.


Cybersäkerhetscentret stöder experter på cybersäkerhet inom den kemiska sektorn i deras arbete bland annat genom att samordna gruppen för informationsutbyte KEMIA-ISAC:s verksamhet. I gruppen för informationsutbyte kan branschexperter konfidentiellt diskutera praktiska problem och lösningar på problemen även med kolleger som inte direkt deltar i behandlingen av frågor som diskuteras.

För mer information

Cybersäkerhetscentrets samarbetsnätverk


Den ursprungliga artikeln publicerades 4.6.2018.





Uppdateringshistorik

Ämnesord: Informationssäkerhet , Cybersäkerhet , Nät , Nätverk , Organisation , Riskhantering , Informationssäkerhet nu! , Tema

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248