Denne artikkelen er produsert og finansiert av Høgskolen i Østfold - les mer.

– Det er masse som må gjøres. Problemet er at vi ikke har forstått hva som er menneskets rolle i nettsikkerhet, sier hjerneforsker Torvald Fossåen Ask.

Hjernene våre kan ha svaret på hvordan vi kan hindre cyberangrep

PODCAST: Cyberangrep øker. Det truer sikkerheten til både samfunnet og hver enkelt av oss. Foreløpig vet vi for lite om fenomenet til å klare å vinne kampen mot de som står bak.

Deepfakes, phishing og andre former for cyberangrep kommer stadig oftere. Skal vi ha en sjanse til å løse sikkerhetstrusselen fra cyberangrep og hacking, så må det forskes. Forskerne må se mer grunnleggende på hva folk kan og hvordan de arbeider sammen i de systemene og miljøene hvor sikkerhetstrusler oppstår og håndteres.

Det sier hjerneforsker Torvald Fossåen Ask.

– Vi trenger mer fokus på det menneskelige aspektet i hvordan vi møter cybertrusler, mener han.

Ifølge forskeren handler spørsmålene om mennesker og sikkerhet veldig enkelt forklart om to ting:

  • Er vi bevisst på de potensielle sikkerhetstruslene vi står overfor, og er vi i stand til å takle dem?
  • Hvordan går det an å påvirke et menneske eller en gruppe med mennesker til å handle på en måte som forverrer eller forbedrer sikkerhetsatferden deres?

Manipulerer deg til å svare

Cybertruslene finnes overalt, og angrepene blir stadig mer avanserte. Ifølge Torvald Fossåen Ask mangler vi kunnskap til å holde tritt med dem som planlegger og utfører angrepene.

– Hvem er det som står bak?

– Det foregår på alle nivå. Du har kriminelle som har lyst på penger, og du har statlige aktører som vil svekke infrastruktur eller rett og slett endre adferden til mennesker i landet som de vil angripe. Du finner hele spekteret av folk.

– Så lenge du har tilgang til internett, så er du et potensielt mål. Det er bare kreativiteten til den som vil ha informasjonen din, som setter grenser, sier forskeren.

Phisker etter informasjon

Statistikk om cyberkriminalitet fra Purplesec viser at 98 prosent av alle cyberangrep i 2020 begynte med påvirkning. De fleste brukte phishing-eposter, det vil si e-poster som fisker etter for eksempel passord eller kredittkortinformasjon. Purplesec publisererer statistikk over globale trender i cyberangrep. Tallene er anslått ut fra rapporter fra både privat og offentlig sektor.

Dersom du utsettes for hacking, begynner det gjerne med at du manipuleres til å respondere på en phishing-melding. Meldingen du mottar, er designet nettopp for å utløse en reaksjon fra deg.

– Emosjoner skal jo egentlig signalisere at nå skjer det noe som er relevant for deg, og det krever en handling. Det er derfor de prøver å få deg til å få en spesifikk følelse, så du skal ta beslutninger på bakgrunn av magefølelsen din og handle impulsivt, forklarer Ask.

Slik arbeider de cyberkriminelle

Dersom cyberkriminelle har lyst på for eksempel kontoinformasjonen din, er det ifølge forskeren vanlig at de benytter seg av en phishing-epost. Du får da gjerne en beskjed om at du har lite tid på deg til å oppdatere kontoen din og at du må klikke på en lenke og gi fra deg informasjon.

Lenken kan utløse nedlastning av spionvareprogram, løsepengevirus eller skadevareprogram. Det kan føre til at aktørene får tak i sensitiv informasjon, at du må betale for å få tilgang på dataene dine eller at funksjonen til de digitale enhetene dine blir skadet.

Alternativt blir du tatt til en nettside som etterligner en nettside du stoler på, hvor du blir bedt om å fylle inn kontoinformasjonen din.

I podcasten Forskningsprek forklarer forskeren forskjellen på cyberangrep og hacking.

«Ikke klikk»-plakater virker ikke

– Så hva kan vi gjøre med dette i hverdagen?

– Det er litt det vi forsker på. Bevissthetskampanjer der man for eksempel har plakater på arbeidsplassen som sier «ikke klikk på linker» – de fungerer ikke. De fungerer kanskje over en veldig kort tidsperiode med en gang de begynner å vises, men så slutter de å funke, forteller Ask.

Han mener derfor det må legges bedre til rette for at folk skal kunne oppføre seg sikkert.

– Noe har å gjøre med hva slags kultur vi har, om vi har en sikkerhetskultur, sier han.

Da snakker han om normer og verdier som kan være eksplisitte, altså tydelig formulert – eller implisitte, underforstått.

Ifølge forskeren er det spesielt de underforståtte normene vi må rette oppmerksomheten vår mot.

– For eksempel hvis lederen i en bedrift sier at cybersikkerhet er en viktig verdi i bedriften, men uttrykker misnøye når sikkerhetsatferden til ansatte går på bekostning av produktivitet, så har de egentlig ikke en sikkerhetskultur. Hvis ikke de har det, så er ikke folk motivert til å gjøre det som trengs på lang sikt, forklarer han.

Overmodige IT-ansatte

Forskeren mener også at vi i større grad også må identifisere hvem som har spesifikke utfordringer innenfor sikkerhet. Dette kan for eksempel gjøres på systemnivå som del av utdanning og skolegang. Det kan også gjøres på arbeidsplassen som del av ansettelsesprosessen, som sikkerhetstrening, eller gjennom utvidede bevissthetskampanjer.

Torvald Fossåen Ask forteller om ny forskning som viser at overmot og overdreven selvsikkerhet kan forutsi hvem som er dårligere til å kjenne igjen deepfakes – altså video eller lyd som er forfalsket ved hjelp av kunstig intelligens og svært vanskelig å avsløre som falsk.

– Ansatte innenfor IT er særlig utsatt. De som har for høy selvsikkerhet knyttet opp mot evne til å gjenkjenne phishing-forsøk, er blant annet de som utgjør en risiko, forklarer han.

Les mer om forskningen her.

Prosjekt for å øke forståelsen

Ask er med i forskningsprosjektet «Advancing Cyber Defence by Improved Communication of Recognized Cyber Threat Situations» (Acdicom), som finansieres av midler fra Forskningsrådet.

«Cybersikkerhet er gjenstand for rask teknologisk fremgang. Det medfører et økende behov for en vitenskapelig forståelse av det enkelte menneskets begrensninger og ytelse i interaksjon med cybertrusler. Acdicom skal bidra til å øke denne forståelsen og dermed gi grunnlag for bedre beslutningsresultater», heter det på prosjektets hjemmeside.

Veldig enkelt forklart så er det tekniske systemer som avdekker sikkerhetstrusler og cyberangrep, men det er mennesker som beslutter hvordan trusselen skal håndteres. Her ligger det noen fallgruver, ifølge forskeren.

Når analytikere og beslutningstakere utveksler informasjon, skjer det nemlig ofte under stort tids- og prestasjonspress. Og måten vi formidler informasjon om en cybertrussel på, er veldig viktig for kvaliteten på det arbeidet som gjøres for å avverge eller begrense angrepet.

Nettopp her kommer fokuset på hjernen inn; blant annet den enkeltes kommunikasjonsmessige og psykologiske ferdigheter.

– Du har folk som driver med nettsikkerhet og sikkerhetsoperasjoner, IT-folk som oppdager trusler, og så skal de for eksempel kommunisere det til en person som ikke har teknisk innsikt. Da slutter det å være et spørsmål om personen er kompetent på det tekniske. Det handler mer om du forstår hvordan du kan gi avansert informasjon til en person som ikke har teknisk innsikt, forklarer hjerneforskeren.

Humøret spiller inn

Da Ask startet opp forskningen sin på menneskelige faktorer knyttet opp mot kommunikasjon av cybertrusselinformasjon, fant han overraskende lite om temaet. Selv forsker han nå blant annet på fagmiljøer som jobber med informasjonssikkerhet.

– Hvis du snakker med folk som jobber innenfor nettsikkerhet og hva slags utfordringer de står overfor, så er mange av utfordringene knyttet opp mot menneskelige aspekter, sier han.

Det handler blant annet om hvordan de skal kommunisere trusselinformasjon effektivt når bakgrunnen og kompetansen er forskjellig.

Forskningsarbeidet er fortsatt i en tidlig fase, men flere artikler er på trappene. Ifølge forskeren har det kommet noen resultater, blant annet om hva som får folk til å prestere bedre i en cybertrussel-situasjon.

– Tilsynelatende er det bedre å være i et nøytralt humør enn et negativt eller positivt humør når man skal danne seg oversikt over cybertrussel-situasjonen. Hvorfor det er tilfelle, må vi forske mer på, men det kan ha noe med kognitiv bias å gjøre, forteller han. Kognitiv bias er et mønster av systematiske avvik fra rasjonelle vurderinger.

Du er like utsatt som andre

Cybertrusler skjer altså i et veldig komplekst miljø hvor mennesker og maskiner handler sammen. Hastigheten på og mengden av informasjon er større enn det vi mennesker har kapasitet til å håndtere.

– Forskning på hvordan hjernen fungerer i de komplekse miljøene, spesielt knyttet opp mot situasjonsbevissthet, teamarbeid og kommunikasjon, må til for at vi skal håndtere cybertruslene, hevder hjerneforskeren.

– Hva kan få folk til å prestere bedre?

– Det starter med å erkjenne for seg selv at man er like utsatt for kognitiv bias og for påvirkning som andre mennesker. Selv de som driver med cybersikkerhet, blir offer for phishing. De som tror de ikke kan bli utsatt for et angrep, er ofte de som ikke er forberedt på et angrep, sier han.

Tenk på hva du føler

Rådet hans er derfor følgende: Prøv å observere følelsene dine og tankene dine og se hva slags type informasjon og hendelser i hverdagen som får deg til å tenke negativt eller positivt. Da er det lettere å ta et skritt tilbake når noen prøver å få deg til å føle noe spesifikt.

– Har vi sovet i timen?

– Det er veldig lett å se tilbake og si at vi burde visst hva dette kom til å bli, men det kan vi selvfølgelig ikke gjøre. Vi har vært på etterskudd. Det at vi fortsetter å være på etterskudd på mange ting, er på en måte der problemet ligger. De som er motiverte til å bruke de svakhetene som finnes der ute, de jobber aktivt for å finne de mulighetene, mens vi gjør litt for lite med å forstå alle måtene som de kan påvirke oss på, sier Torvald Fossåen Ask.

Referanse:

Stefan Sütterlin mfl.: The Role of IT Background for Metacognitive Accuracy, Confidence and Overestimation of Deep Fake Recognition Skills. Lecture Notes in Computer Science, 2022.

Powered by Labrador CMS