Du kender det sikkert. Du skal logge ind på en computer, website eller app for første gang, og bliver bedt om at oprette et nyt kodeord. Du sukker – endnu et til listen. Du ved godt du ikke bør gøre det, men vælger alligevel at genbruge dit kodeord fra Facebook. Som du faktisk har mistet overblikket over, hvor mange gange du allerede har genbrugt. Men det er nemt, du kan huske det. Det indeholer de obligatoriske versaler, tal, særlige symboler og er mere end 6 cifre langt. Og det er jo gået fint ind til videre. Du er ikke blevet hacket. Ikke endnu.
Phising får dig på krogen
Scenariet ovenfor sætter fokus på et ofte overset eller nedprioriteret element i debatten om cybersikkerhed: menneskelig adfærd. Selvom både private virksomheder og offentlige organisationer har investeret – og fortsat investerer – svimlende summer til at udvikle stadig mere avancerede cybersikkerhedssystemer og processer, formår hackere fortsat at finde en bagdør ind. De bliver nemlig dygtigere og dygtigere til at udnytte menneskets iboende kognitive begrænsninger, når de via social engineering-teknikker hacker selv de mest avancerede systemer.
Mere end 90% af alle virusinfektioner i dag stammer fra netop social engineering – konkret phishing – hvoraf phishingangreb mod især smartphones er steget gennemsnitlig med 85% år til år siden 2011 (ENISA, 2019). Vi er mere digitaliserede end nogensinde før, og derfor mere sårbare end nogensinde før.
Af den grund giver det god mening, at rette blikket mere mod det menneskelige element i bekæmpelsen af cybersikkerhedstrusler.
“Only amateurs attack machines; professionals target people”
– Schneier (2000)
En urhjerne i en digital tidsalder
Et cybersikkerhedssystem er kun så effektivt, som medarbejderne, der bruger systemet, rent faktisk agerer sikkert. Uanset hvor sikkert et system, du har implementeret og undervist dine medarbejderne, i via utallige læringsvideoer på intranettet, så vil scenarier, som det indledningsvis skitserede, stadig hænde. Det er ikke fordi dine medarbejdere er småt begavede, men ganske simpelthen fordi de navigerer i digitale sfære som de ville gøre i den fysiske virkelighed: ved hjælp af hjernens iboende biases og heuristics.
Biases og heuristics skal her forstås som mentale genveje og tommelfingerregler, der skaber systematisk forudsigelige fejl i vores evalueringer og vurderinger, men evolutionært har sørget for, at vi reducerer hjernens energi- og tidsforbrug når den skal træffe et valg. Det bevirker, at vi handler mere effektivt, men ikke nødvendigvis mere optimalt. Og det gælder os alle sammen. Uanset hvor rationel du selv synes du er, så navigerer du også ubevist ved hjælp af biases og heuristics i din hverdag.
I konteksten af cybersikkerhed, kommer de mentale genveje og tommelfingerregler til udtryk på forskellige måder. F.eks. er vi alle sammen underlagt optimism bias, confirmation bias og overconfidence, hvilket betyder, at vi underestimerer risici ved at genbruge et kodeord, overestimerer vores egne evner til at navigere sikkert online, og har tendens til kun at forholde os til informationer, der bekræfter vores egne antagelser om cybersikkerhed (Acquisti et al., 2017).
Med hyperbolic discounting er vi desuden i begrænset omfang i stand til at forstå, hvordan og i hvilket omfang usikker onlineadfærd i en nutidig kontekst kan have fatale fremtidige konsekvenser (Acquisti et al., 2017).
Det gør det derudover ikke bedre, at vi ofte udsættes for social engineering på arbejdspladsen – især på det tidspunkt på dagen og ugen, hvor vi jonglerer med allerflest (komplekse og krævende) opgaver, og derfor har vores mentale barrierer nede (cognitive load). Det fører til en inattentional blindness, altså, at vi fokuserer vores selektive opmærksomhed mod vores primære arbejdsopgaver på bekostning af sikker onlineadfærd (Simons & Jensen, 2009).
Hvis vi derfor effektivt skal bekæmpe cybersikkerhedstruslen fremadrettet, er vi nødt til i højere grad at supplere avancerede sikkerhedssystemer med indsigter fra adfærdsforskningen.
Gamificering af cybersikkerhed
Heldigvis er adfærdsvidenskaben gradvist begyndt at finde vej ind i både offentlige og private organisationer, og forskning i samspillet mellem adfærdsvidenskab og cybersikkerhed boomer ligeledes i disse år.
Det nye sort er nu gamificering af cybersikkerhedsundervisning. Det sikrer, at medarbejderne aktivt engageres i undervisningen, og herigennem kan omgås eller nedbrydes de biases og heuristics, der normalt guider vores onlineadfærd.
Hvor klassisk cybersikkerhedsundervisning typisk foregår via passiv en-vejs-kommunikation i form af kortvarige (online) kurser eller foredrag, cybersikkedskampagner eller læringshåndbøger, nytænker gamification cybersikkerhedsundervisning ved at nudge ønsket adfærd hos medarbejderen over en længerevarende periode via brugerinddragende ‘leg’.
De klassiske tiltag for at lære medarbejderne om cybersikkerhed har nemlig gang på gang vist sig ineffektive (Bada & Sasse, 2014), hvorimod resultaterne fra de første spæde eksempler på gamificering af cybersikkerhedsundervisning allerede er meget lovende. Bl.a. har PwC grebet den nye trend med stor succes.
Det skyldes bl.a., at vores hippocampus aktiveres under gamified læringsprocesser. Vi husker med andre ord informationer bedre og mere når de spilles ind i et sammenhængende narrativ, sammenlignet med når den passivt præsenteres for os på et tætskrevet slideshow.
Derudover affyrer vores hjerne store mængder dopamin-, serotonin- og endorfin, når vi under spillet modtager positiv feedback. Det fremmer yderligere vores indlæringsfokus og motivation for at lære.
Ved derfor at tænke cybersikkerhed som mere end blot avancerede IT-systemer, og istedet antage et holistisk perspektiv, der også inddrager selve brugerne af IT-systemet, kan vi bedre ruste os mod fremtidens hackerangreb.
Referencer
Acquisti, A., Balebako, R., Cranor, L. F., Leon, P. G., Schaub, F. & Wang, Y. (2017). Nudges for Privacy and Security: Understanding and Assisting Users’ Choices Online, ACM Computing Surveys, Vol. 50 (3)
Bada, M. & Sasse, A. (2014). Global Cyber Security Capacity Centre: Cyber Security Awareness Campaigns: Why do they fail to change behaviour?
ENISA (2019). ENISA Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends.
Simons DJ, Jensen MS. 2009. The effects of individual differences and task difficulty on inattentional blindness. Psychon. Bull. Rev. 16, 398–403
