Det visar en avhandling från Marcus Nohlberg, forskare vid Stockholms universitet.
Orsaken är att människor inte alltid gör som de lär sig att de ska göra, samtidigt som många företag inte är förberedda på säkerhetsattacker som riktar sig mot mänskliga svagheter, så kallad social engineering.
Problemet blir allt värre i takt med att bedragarna blir allt skickligare i sina attacker. Många använde sig av sociala koder och kunskaper om hur människor beter sig, för att lura dem att göra saker som ur säkerhetssynpunkt är helt fel.
Angriparna lägger ned allt mer engagemang och tid för att sätta upp "fällor" som utnyttjar svagheter i det mänskliga sättet att tänka.
Han ger ett exempel från nyligen, när en person ringde upp ett antal personer och sade sig vara från it-avdelningen på deras bank, varefter de uppringda ombads att identifiera sig med sin bankdosa, varvid koderna användes för att stjäla pengar från offrens bankkonton.
Som en följd av de allt mer sofistikerade attackerna, räcker det inte med vanligt säkerhetstänkande, i form av enstaka utbildningar.
I stället måste företagen arbeta med beteendeförändringar hos personalen, samt att göra interna kontroller, med fiktiva attacker för att identifiera svagheter och att lära sig av erfarenheterna av kontrollerade angrepp.
Avhandlingen heter Securing Information Assets – Understanding, Measuring and Protecting against Social Engineering Attacks.
