Organisationer bör inta ett ”människa först” tillvägagångssätt vid förberedelser till Direktiv för säkerhet i nätverk och informationssystem (NIS Direktivet), den nya lagen som syftar till att säkerställa att väsentliga tjänster fortsätter att fungera, säger medgrundaren och chefsteknikerna vid Cofense.
Den irländska regeringen har ännu inte omformat NIS direktivet till lag, konsultationsdokument, som de har publicerat och det ser ut som om de kommer att inta en liknande inställning till NIS Dokumentet som den brittiska regeringen har gjort och införlivat det i lagen.
Aaron Higbee sade: ”Huvuddelen av cyberattackerna förlitar sig inte på sofistikerade skadliga eller tekniska sårbarheter utan snarare på psykologi och människors beteende.” Han varnar för människors nyfikenhet, vanor och missriktat förtroende som har gjort det möjligt för socialteknik att blomstra och att organisationernas största prioritet behöver vara utbildning av personalen. Han lägger till ”att människa först” tillvägagångssättet inte bara är en fråga om de anställdas medvetenhet utan också att ändra deras beteende. ”Anställda är smarta och helt kapabla att anpassa sig till nya beteenden”, säger han. ”Förmågan att lära sig ett automatiskt, undermedvetet svar genomsyrar och underlättar våra liv. Vårt beteende gentemot cyberhot borde inte vara annorlunda.
”Nätfiske är nummer ett attackvektor idag därför att det fungerar genom att manipulera det förtroende vi visar vår känslor, särskilt nyfikenhet, rädsla och brådska.”
Vad säger NIS direktivet?
EG Kommissionens Vägledning för NIS direktivet markerar behovet av utbildning av personalen, så detta är definitiv något som måste åtgärdas.
Det är emellertid viktigt att förstå att tekniska och organisatoriska åtgärder arbetar tillsammans. Även om du anser att en socialteknisk attack som tex.nätfiske hjälper personalens medvetandeutbildning dem att upptäcka skadlig e-post bör organisationerna även genomföra policyer för att hjälpa dem att reagera på lämpligt sätt tillsammans med spam-filter och andra kontroller för att hindra dem från att bli bombarderade med bluffpost.
Detta råd gäller för de flesta hot som organisationerna möter. Tex. bör personalen undervisas om farorna med felaktigt placerade känsliga data men organisationerna bär även har policyer på plats för säker hantering av information och att all konfidentiell data i transit ska vara krypterad.
Det är viktigt att organisationerna uppnår den rätta balansen mellan tekniskt och organisatoriskt försvar eftersom straff för överträdelser av förordningarna är hårda. Medlemsstaterna fastställer sina tröskelvärden för böter.
Eventuella disciplinära åtgärder kommer med all säkerhet att ha stor effekt på organisationerna och det skadade anseendet vid överträdelser kan stanna kvar i månader, även år.
Lösningar för efterlevnad av NIS direktivet
Du kan lära dig mer om NIS förordningarna genom att läsa vår kostnadsfria Efterlevnadsguide. Den ger ytterligare information om kraven från Direktivet om vilka organisationer som omfattas av NIS-förordningen, de föreslagna säkerhetskraven och hur du kan implementera dem.
Våra utbildningskurser erbjuder en strukturerad inlärning från Foundation till Advanced nivå för att hjälpa dig att anta ett ”människan först” tillvägagångssätt när du följer NIS-förordningen.
