Haben Sie eine Sitzung von MetaBeat 2022 verpasst? Besuchen Sie die On-Demand-Bibliothek für alle unsere vorgestellten Sitzungen hier.


Traditionell dreht sich bei der Cybersicherheit alles um Technologie – aber in Wirklichkeit ist es ein Problem der Menschen.

Untersuchungen zeigen, dass menschliches Verhalten für die Mehrheit der Cybersicherheitsprobleme verantwortlich ist: 95 % laut Weltwirtschaftsforum; 82 % für Verizons 2022 Untersuchungsbericht zu Datenschutzverletzungen; fast 91 % nach Angaben des Vereinigten Königreichs Büro des Informationsbeauftragten.

Dies liegt nicht an mangelnder Ausbildung, sagte Flavius ​​Plesu, CEO der neuen Software-as-a-Service (SaaS)-Plattform OutThink.

„Arbeiter wurden nicht ignoriert; Schulungen waren schon immer ein wichtiger Bestandteil der Sicherheitslandschaft “, sagte er.

Vorfall

Low-Code-/No-Code-Gipfel

Schließen Sie sich am 9. November virtuell den führenden Führungskräften von heute beim Low-Code / No-Code Summit an. Melden Sie sich noch heute für Ihren kostenlosen Pass an.

Hier registrieren

Er wies jedoch darauf hin, dass diese in erster Linie durch computerbasiertes Security Awareness Training (SAT) vermittelt wurden.

„Der Fokus von SAT lag bisher eher darauf, die Benutzer zu unterweisen, als sie zu verstehen“, sagte er.

Um dem entgegenzuwirken, behauptet OutThink, eine neue Kategorie von Software erfunden zu haben: Die Cybersecurity Human Risk Management-Plattform. Um seine Entwicklung zu unterstützen, gab das Unternehmen heute bekannt, dass es in einer Finanzierungsrunde in der Seed-Phase 10 Millionen US-Dollar aufgebracht hat.

„Bei der gesamten Plattform geht es darum, die menschliche Seite der Sicherheit praktikabel zu machen“, sagte Plesu.

Ständig steigendes Risiko

Cyberangriffe nehmen an Komplexität, Umfang und Kosten weiter zu. Der Durchschnitt Kosten einer Datenschutzverletzung weltweit beträgt 4,35 Millionen US-Dollar; in den USA sind es mit 9,44 Millionen Dollar mehr als doppelt so viel.

Tatsächlich ist das Weltwirtschaftsforum 2021 Globaler Risikobericht zählt Cyberangriffe neben Massenvernichtungswaffen und Klimawandel zu den drei größten Bedrohungen des Jahrzehnts.

Auf den Punkt gebracht: menschliches Verhalten, der Schwerpunkt der diesjährigen Monat des Bewusstseins für Cybersicherheit (Oktober) ist „See Yourself in Cyber“. Gartner identifiziert „Beyond Awareness“-Programme als eines der Top-Trends in der Cybersicherheit im Jahr 2022.

„Fortschrittliche Organisationen gehen über veraltete Compliance-basierte Sensibilisierungskampagnen hinaus und investieren in ganzheitliche Verhaltens- und Kulturveränderungsprogramme, die darauf ausgelegt sind, sicherere Arbeitsweisen zu provozieren“, schreibt Peter Firstbrook, Gartner VP Analyst.

Training auf das nächste Level bringen

Zu den Unternehmen, die Plattformen zu diesem Zweck anbieten, gehören KnowBe4, SoSafe, CybSafe, Cyber-Risikobewusstsein und CyberReadyunter anderen.

Das Tool von OutThink nutzt überwachtes maschinelles Lernen (ML), Verarbeitung natürlicher Sprache (NLP) und angewandte Psychologie, um aufzudecken, was Benutzer wirklich glauben, und ihr Risiko einzuschätzen, erklärte Plesu.

Intelligenz wird mit Daten aus integrierten Sicherheitssystemen – wie Microsoft Defender oder Microsoft Sentinel – kombiniert, um Live-Dashboards zu präsentieren, die das Gesamtbild menschlicher Risiken auf Abteilungs-, Gruppen- oder Organisationsebene sowie die Grundursachen dieses Risikos zeigen, sagte er.

Basierend auf diesen Informationen empfiehlt oder automatisiert die Plattform dann maßgeschneiderte Verbesserungsmaßnahmen.

Alle drei Punkte des Mensch-Prozess-Technologie-Dreiecks seien “besser aufeinander abgestimmt und vernetzt”, sagte Plesu, und “der Mensch ist nicht mehr das Problem: Er wird zur Lösung”.

Die Plattform wird bereits von einer Reihe großer globaler Organisationen genutzt, darunter die Marken Whirlpool, Danske Bank, Rothschild und FTSE 100, sagte er.

Die „menschliche Herausforderung“ angehen

OutThink entstand aus Plesus persönlicher Erfahrung als CISO. Zu Beginn seiner Karriere, erklärte er, leitete er komplexe Programme zur Transformation der Cybersicherheit in großen globalen Organisationen.

„Mir wurde klar, dass wir trotz erheblicher Investitionen in technische Sicherheitsmaßnahmen und Sensibilisierungsschulungen immer noch exponiert waren“, sagte er.

Er begann, Cybersicherheit zu überdenken und sich mit CISO-Kollegen und Mitgliedern der akademischen Gemeinschaft der „Human Risk Challenge“ zu stellen.

Plesu wies darauf hin, dass immer dann, wenn Menschen Computersysteme zur Verarbeitung oder Handhabung von Informationen verwenden, ein inhärentes Risiko besteht, dass jemand einen Fehler macht oder sich gegen das Unternehmen wendet und vorsätzlich Schaden anrichtet. Cybersecurity Human Risk Management zielt darauf ab, drei Schlüsselfragen für CISOs zu beantworten:

  • Menschliches Risiko erkennen: Wer in meiner Organisation verursacht eher eine Datenschutzverletzung?
  • Menschliches Risiko verstehen: Warum sind diese Menschen gefährdet?
  • Management menschlicher Risiken: Wie können wir diese Kollegen besser unterstützen?

„Die Idee für OutThink entstand aus Frustration über die Lösungen der ersten Generation auf dem Markt, aber auch aus einer leidenschaftlichen Überzeugung: Wenn wir Menschen über die Schulung des Sicherheitsbewusstseins hinaus einbeziehen, können wir sie zum stärksten Verteidigungsmechanismus einer Organisation machen“, sagte er Plesu.

Eine FTSE 100-Organisation hat OutThink mithilfe unabhängiger Phishing-Simulationsplattformen (Proofpoint und Cyber ​​​​Risk Aware) bewertet. Nach nur einer individualisierten OutThink-Sitzung zur Sensibilisierung für Sicherheit war die Wahrscheinlichkeit, dass die Mitarbeiter von OutThink auf einen Phishing-Link klickten, um 47,74 % geringer und die Wahrscheinlichkeit, dass sie eine Phishing-E-Mail korrekt identifizierten und meldeten, um 46 % höher, sagte Plesu.

Ein neuer Ansatz

Im Gegensatz dazu bieten Tools der ersten Generation auf dem Markt E-Learning-Module oder Videos und Phishing-Simulationen, die normalerweise für alle Benutzer identisch sind.

Obwohl diese eine mäßige Wirksamkeit haben, leiden sie unter dem gleichen Problem wie jede Trainingslösung: Die überwiegende Mehrheit der Informationen (75 %) wird innerhalb einer Woche vergessen, betonte er.

Neuere Plattformen verwenden ML, um Verhaltensweisen zu verstehen und gezielte Schulungen durchzuführen, insbesondere durch Umfragen. Aber NLP und Data Science werden in der Regel nicht angewendet, um zu verstehen, wie Menschen über Sicherheit denken und denken; Sie sind auf ehrliche Antworten angewiesen.

„Eine große Anzahl kognitiver Vorurteile bedeutet, dass dies ein riskanter Ansatz ist“, sagte Plesu. “Menschen neigen dazu, ihre eigenen Fähigkeiten und ihr Wissen zu überschätzen, insbesondere bei denjenigen mit den schwächsten Kompetenzen.”

Außerdem neigen Menschen dazu, sich selbst als Ausnahmen zu betrachten, und sie werden die Antworten geben, die den geringsten Aufwand erfordern.

Es gibt auch kundenspezifische E-Learning-Assets für Organisationen oder bestimmte Abteilungen in ihnen, sagte er.

„Wir halten dies nicht für eine praktikable Alternative, da es große Unterschiede in der Sicherheitseinstellung – einschließlich Persönlichkeit, Risikowahrnehmung und -absichten – und Verhaltensweisen jedes Mitarbeiters innerhalb einer Organisation gibt; sogar innerhalb derselben Abteilung “, sagte Plesu.

Letztendlich „zeigt das kontinuierliche Wachstum der Cyberkriminalität, dass herkömmliche Ansätze nicht funktionieren“, sagte er. „Es besteht ein dringender Bedarf an effektiven neuen Ansätzen für das Management menschlicher Risiken im Bereich der Cybersicherheit.“

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Entdecken Sie unsere Briefings.

Leave a Comment