Midt i en hybridkrig er det ofte stjålet data og økonomiske tab, der fremhæves som de direkte konsekvenser af altødelæggende cyberangreb. Men hvordan håndterer vi de medarbejdere, der ufrivilligt og ofte i ren uvidenhed kom til at åbne Pandoras æske ved at klikke på et inficeret link?
Alle, der har været udsat for svindel, tyveri, overfald eller cyberangreb, kender den skamfulde følelse, der følger med den ubehagelige oplevelse. Én ting er at skulle forholde sig til selve hændelsen og den ubehagelige knude i maven, der ofte følger med. Noget andet er den skyld og skam, man oplever fra andre efterfølgende.
Det kan på en måde sammenlignes med at være føreren af den bil, der forårsager en flere timer lang kø på motorvejen midt i myldretiden. Et øjebliks uopmærksomhed – eller en uforudset hændelse – kan på et splitsekund ændre orden til kaos. Og når man står i rabatten og forsøger at begribe, hvad der lige skete, må man se på de andre bilister, der snegler sig forbi ulykkesstedet og kigger nysgerrigt og måske endda bebrejdende i din retning. De er blevet forsinket og fanget i en lang kø. På grund af dig. Måske er flere kørt galt og har fået smadret deres køretøjer, og måske er nogen endda kommet slemt til skade. Igen – på grund af dig og dine handlinger.
Det er forholdsvist let at rydde op efter materielle skader. Det tager tid, men redskaberne findes. Desværre er det ikke det samme at feje knust glas op på en skovl og samle det i en spand, som det er at tage hånd om det menneske, der forårsagede ulykken.
Husk mennesket i den digitale lavine
Forestil dig, at de mennesker, der blev fanget i køen eller fik deres biler ødelagt, ikke kører forbi dig og forsvinder – men at du i stedet skal stå ansigt til ansigt med dem hver dag i kantinen, ved kaffeautomaten og i personalemøder. De kigger på dig. Hvad tænker de? Er de vrede? Stoler de ikke længere på dig? Taler de om dig, når du ikke er der? Hvad siger de? Respekterer de dig og din faglighed, når du byder ind med faglige input, nu hvor du har forårsaget en ulykke?
Det er ikke et spørgsmål om, ”hvis” der opstår en lignende situation i fremtiden. Det er et spørgsmål om ”når”.
Martin Kramer.
Når pligtopfyldende, dedikerede og godtroende medarbejdere kommer til at udløse en digital lavine, der munder ud i et altødelæggende cyberangreb, bør virksomheder minde sig selv om de sociale og psykologiske efterskælv, den pågældende medarbejder udsættes for i kølvandet på ulykken.
Et hackerangreb kan let skabe mistillid mellem kollegaer og ledelse og føre til dårligere samarbejdskultur. Særligt når der opstår frustration over forstyrrelser i arbejdsgange og begrænset eller manglende adgang til vigtige, digitale systemer. Derfor bør virksomhedens ledelse gå forrest og statuere et godt eksempel ved at tage hånd om medarbejderne og være opmærksomme på de sociale og psykologiske konsekvenser.
Når frygten tager styringen
Tidligere i medierne har man kunne følge med i, hvordan nogle virksomheder, efter at cybersikkerheden er blev kompromitteret, har orienteret deres ansatte om, at det kan få ”personaleretlige konsekvenser” for de medarbejdere, der uvidende lukkede hackerne ind i virksomhedens systemer.
Hvis de ansatte efter et sådan angreb ikke allerede føler sig mere udsatte, så er en sådan melding fra ledelsen med til at skabe yderligere frygt og utryghed på arbejdspladsen. Det blot et spørgsmål om tid, før effektiviteten vil dale, og de ansatte vil træffe beslutninger baseret på frygt fremfor fornuft. Er det godt for cybersikkerheden i fremtiden? Det tvivler jeg stærkt på.
I stedet bør ledelsen tage hånd om de pågældende medarbejdere og sikre sig, at de får den nødvendige cybersikkerhedstræning, så de ikke begår lignende fejl igen. Ved at fokusere på human risk management-værktøjer kan man styrke sikkerhedskulturen og give medarbejderne de rette redskaber, så de er klædt på til en hverdag, hvor social engineering og phishing angreb stadig er den største trussel i indbakken.
Med træning, tydelig kommunikation og klare sikkerhedsprotokoller bliver det lettere for medarbejderen at genvinde sin selvtillid, hvilket også vil smitte af på kollegerne. For hvorfor skulle medarbejderne stole på nogen, der ikke stoler på sig selv?
Med en empatisk tilgang fjerner man den giftige stemning, der uundgåeligt vil sprede sig efter en ulykke. For det er ikke et spørgsmål om, ”hvis” der opstår en lignende situation i fremtiden. Det er et spørgsmål om ”når”. Og med de snu og effektive cyberkriminelles mange virkemidler, kan selv den dygtigste og mest kritiske medarbejder risikere at gå i fælden. Ingen kan se sig for gode til at begå fejl. Heller ikke chefen.
Martin Kramer er it-sikkerhedsspecialist hos KnowBe4.