Dersom vi skal ha en sjanse til å løse den sikkerhetstrusselen som cyberangrep og hacking utgjør må det forskes mer grunnleggende på menneskelige ferdigheter, og interaksjoner i de systemene og miljøene hvor sikkerhetstrusler oppstår og håndteres.
Det sier hjerneforsker Torvald Fossåen Ask som forsker på informasjonssikkerhet.
- Vi trenger mer fokus på det menneskelige aspektet om hvordan man møter cybertrusler, mener han.
«Det er masse som må gjøres. Problemet er at man ikke har forstått hva menneskets rolle i nettsikkerhet er.»
Torvald Fossåen Ask, hjerneforsker og doktorgradsstipendiat HiØ
Ifølge forskeren handler problematikken knyttet til mennesker og sikkerhet veldig enkelt forklart om to aspekter.
- Er vi bevisst de potensielle sikkerhetstruslene vi står overfor og er vi i stand til å takle dem?
- Hvordan kan man påvirke et menneske eller en gruppe med mennesker til å handle på en måte som forverrer eller forbedrer sikkerhetsatferden deres?
Manipulerer deg til å svare
Cybertruslene finnes overalt og angrepene blir stadig mer avanserte. Ifølge Fossåen Ask mangler vi kunnskap til å holde tritt med de som planlegger og utfører angrepene.
Hvem er det som står bak?
- Det foregår på alle nivå. Du har kriminelle som har lyst på penger, du har statlige aktører som vil svekke infrastruktur eller rett og slett endre adferden til mennesker i landet som de vil angripe, så du finner hele spekteret av folk. Så lenge du har tilgang til internett så er du et potensielt mål, det er bare kreativiteten til den som vil ha informasjonen din som setter grenser, sier forskeren.
Statistikk på cyberkriminalitet fra Purplesec viser at 98 prosent av alle cyberangrep i 2020 begynte med påvirkning, mesteparten ved bruk av såkalte phishing emails. Purplesec publisererer statistikk over globale trender i cyberangrep og tallene er estimert ut fra aggregerte rapporter fra privat og offentlig sektor.
Deepfake-videoer brukes nå i større grad enn tidligere som phishing-metode.
KJEKT Å VITE
CYBERANGREP: Kan i bred forstand forstås som alle angrep som skjer via et digitalt verktøy der noen prøver å få tak i informasjon som de ikke skal ha, eller gjøre skade på en helt eller delvis digital ressurs.
DEEPFAKES: Deepfakes utnytter kunstig intelligens for å lage videoer og lydinnhold det er svært vanskelig å avsløre som falskt, inkludert etterligning av andres identitet. (Kilde:Medietilsynet)
PHISHING: En form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning. (Kilde: Datatilsynet)
Dersom du utsettes for hacking begynner det gjerne med at du manipuleres til å respondere på en phishing-melding. For meldingen du mottar er designet nettopp for å trigge en reaksjon fra deg.
- Emosjoner skal jo egentlig signalisere at nå skjer det noe som er relevant for deg og det krever en handling. Og det er derfor de prøver å få deg til å føle en spesifikk følelse så du skal ta beslutninger på bakgrunn av magefølelsen din og handle impulsivt, forklarer Fossåen Ask.
Må bygge en sikkerhetskultur
Dersom cyberkriminelle har lyst på for eksempel kontoinformasjonen din er det ifølge forskeren vanlig at de benytter seg av en phishing email. Du får da gjerne en beskjed om at du har lite tid på deg til å oppdatere kontoen din og at du må klikke på en lenke og gi fra deg informasjon.
Lenken kan utløse nedlastning av spionvareprogram, løsepengevirus eller skadevareprogram. Det kan føre til at aktørene får tak i sensitiv informasjon, at du må betale for å få tilgang på dataen din eller at funksjonen til de digitale enhetene dine blir skadet. Alternativt blir du tatt til en nettside som etterligner en nettside du stoler på, hvor du blir bedt om å fylle inn kontoinformasjonen din.
Vet du forskjellen på cyberangrep og hacking? Hør forskeren forklare dette i podcasten Forskningsprek!
Så hva kan vi gjøre i hverdagen i forhold til dette?
- Det er litt det vi forsker på. Man ser at bevissthetskampanjer der man for eksempel har plakater på arbeidsplassen som sier "ikke klikk på linker" - de fungerer ikke. De fungerer kanskje over en veldig kort tidsperiode med en gang de begynner å vises, men så slutter de å funke, forteller Fossåen Ask.
"Du skal være veldig motivert som person selv for å opprettholde en god sikkerhetsatferd, for atferd krever insentiv. Insentivene må derfor være bakt inn i kulturen som atferden skal forekomme i."
Torvald Fossåen Ask
Han mener derfor det må legges bedre til rette for at folk skal kunne oppføre seg sikkert.
- Noe har med hva slags kultur vi har, om vi har en sikkerhetskultur. En kultur er en samling av normer og verdier som man kan identifisere seg med og som samkjører atferden til en gruppe mennesker. En sikkerhetskultur er derfor normer og verdier som optimaliserer for sikkerhetsatferd. Normer kan være eksplisitte (tydelig formulert) eller implisitte (underforstått).
Ifølge forskeren er det spesielt de sistnevnte normene vi må rette oppmerksomheten vår mot.
- For eksempel hvis lederen i en bedrift sier at cybersikkerhet er en viktig verdi i bedriften, men utrykker misnøye når sikkerhetsatferden til ansatte går på bekostning av produktivitet, så har man egentlig ikke en sikkerhetskultur. Hvis ikke man har det så er ikke folk motivert til å gjøre det som trengs på lang sikt, forklarer han.
Overmodige IT-ansatte
Forskeren mener også at vi i større grad også må identifisere hvem som har spesifikke utfordringer innenfor sikkerhet. Dette kan for eksempel gjøres på systemnivå som del av utdanning og skolegang, eller på arbeidsplassen som del av ansettelsesprosessen, sikkerhetstrening, eller gjennom utvidede bevissthetskampanjer.
- Vi har nettopp publisert forskning hvor vi identifiserer overmot eller overdreven selvsikkerhet som predikator for dårligere deepfake-gjenkjenning, og at ansatte innenfor IT er særlig utsatt. De som har for høy selvsikkerhet knyttet opp mot evne til å gjenkjenne phishing-forsøk er blant annet de som utgjør en risiko, forklarer han.
Fossåen Ask er involvert i forskningsprosjektet Advancing Cyber Defence by Improved Communication of Recognized Cyber Threat Situations (ACDICOM) som finansieres av midler fra Forskningsrådet.
«Cybersikkerhet er gjenstand for rask teknologisk fremgang. Det medfører et økende behov for en vitenskapelig forståelse av det enkelte menneskets begrensninger og ytelse i interaksjon med cybertrusler. ACDICOM skal bidra til å øke denne forståelsen og dermed gi grunnlag for bedre beslutningsresultater» heter det på prosjektets hjemmeside.
Veldig enkelt forklart så er det tekniske systemer som avdekker sikkerhetstrusler og cyberangrep, men det er mennesker som beslutter hvordan trusselen skal håndteres. Og her ligger det noen fallgruver ifølge forskeren. For informasjonen som utveksles mellom analytikere og beslutningstakere skjer nemlig ofte under stort tids- og prestasjonspress. Og måten vi formidler informasjon om en cybertrussel er veldig viktig for kvaliteten på det arbeidet som gjøres for å avverge eller begrense angrepet.
Nettopp her kommer fokuset på hjernen inn, deriblant den enkeltes kommunikasjonsmessige og psykologiske ferdigheter.
- Du har folk som driver med nettsikkerhet og sikkerhetsoperasjoner, IT-folk som oppdager trusler og så skal de for eksempel kommunisere det til en person som ikke har teknisk innsikt. Da slutter det å være et spørsmål om personen er kompetent på det tekniske, men handler mer om du forstår hvordan du kan gi avansert informasjon til en person som ikke har teknisk innsikt, forklarer hjerneforskeren.
Humøret spiller inn
Da Fossåen Ask startet opp sin forskning på menneskelige faktorer knyttet opp mot kommunikasjon av cybertrusselinformasjon fant han overraskende lite om temaet. Selv forsker han nå blant annet på fagmiljøer som jobber med informasjonssikkerhet.
- Hvis du snakker med folk som jobber innenfor nettsikkerhet og hva slags utfordringer de står overfor så er mange av dem knyttet opp mot menneskelige aspekter, sier han.
Det handler blant annet om hvordan man skal kommunisere trusselinformasjon effektivt når de som kommuniserer har forskjellig bakgrunn og kompetanse.
Forskningsarbeidet er fortsatt i en tidlig fase, men flere artikler er på trappene. Ifølge forskeren har det kommet noen resultater, blant annet om hva som får folk til å prestere bedre under en cybertrussel-situasjon.
- Tilsynelatende er det bedre å være i et nøytralt humør enn et negativt eller positivt humør når man skal danne seg oversikt over cybertrussel-situasjonen. Hvorfor det er tilfellet må vi forske mer på, men det kan ha noe med ’kognitive bias’ (et mønster av systematiske avvik fra rasjonelle vurderinger red.anm.) å gjøre, forteller han.
Cybertrusler forekommer altså i et veldig komplekst miljø hvor mennesker og maskiner interagerer med hverandre, og hvor hastigheten på informasjonen og mengden av denne overgår den kognitive kapasiteten som vi mennesker har.
- Forskning på hvordan hjernen fungerer i de komplekse miljøene, spesielt knyttet opp mot situasjonsbevissthet, teamarbeid og kommunikasjon må til for at vi skal håndtere cybertruslene, hevder hjerneforskeren.
Hva kan få folk til å prestere bedre?
- Det starter med å erkjenne for seg selv at man er like utsatt for kognitive bias og for påvirkning som andre mennesker. Selv de som driver med cybersikkerhet blir offer for phishing; de som tror de ikke kan bli utsatt for et angrep er ofte de som ikke er forberedt på et angrep. Og motivasjons-baserte intervensjoner, f.eks. de som baserer seg på en spillifisert struktur.
Hans råd er derfor følgende:
- Prøv å observer følelsene dine og tankene dine og se hva slags type informasjon og hendelser i hverdagen som får deg til å tenke negativt eller positivt. Da er det lettere å ta et skritt tilbake når noen prøver å få deg til å føle spesifikke følelser.
Har vi sovet i timen?
- Det er veldig lett å se tilbake igjen å si at vi burde visst hva dette kom til å bli, men det kan man selvfølgelig ikke gjøre. Vi har vært på etterskudd og det at vi fortsetter å være på etterskudd på mange ting er på en måte der problemet ligger. Og de som er motiverte til å bruke de svakhetene som finnes der ute de jobber aktivt for å finne de mulighetene mens vi gjør litt for lite med å forstå alle måtene som de kan påvirke oss på.