Denne artikkelen er skrevet av Caroline Selte som en del av hennes masteroppgave.
Maskinlæringsalgoritmer tar over sikkerhetsløsninger på e-post – men gjør det sikkerheten bedre? En sikkerhetsløsning for e-post som innebærer avansert analyse av lenker og vedlegg er et sånt system. I tillegg er løsningen en del av en større SIEM-løsning, som innebærer at det er innsamling av store mengder data fra mange systemer som settes sammen for økt sikkerhet. I min masteroppgave har vi sett på hvordan brukeren påvirkes av den nye sikkerhetsløsningen, spesielt med tanke på brukeropplevelse og sikkerhetsbevissthet. Dette er viktig å finne ut av fordi man vil vite om det å innføre systemer som skal være bedre og gjøre mer for brukeren gir bedre sikkerhet for en organisasjon, eller om det gjør brukeren mindre bevisst og dermed kan gjøre den totale sikkerheten dårligere. Vi har studert en organisasjon som har innført nye sikkerhetsløsninger på e-post for å se hvordan endringene har påvirket de ansatte. Vi har hatt intervjuer, sett på e-poster de har rapportert inn som mistenkelig og hatt samtaler med IT-sikkerhetsansvarlig. For mer bakgrunnsinformasjon om prosjektet kan man lese blogginnlegget fra januar her: Blir sikkerheten egentlig bedre med ny teknologi? – SINTEF INFOSEC
Svarene fra undersøkelsene som har blitt gjort er ikke ensidige, men de gir noen indikasjoner. Generelt viser alle de spurte stor kunnskap om trusselbildet for organisasjonen. De har også nøye rutiner for å sjekke e-post de mottar, selv om det virker som om de ikke alltid har tid eller mulighet til å faktisk gjennomføre det. Dette betyr at selv om brukerne vet hva de skal se etter, er det fortsatt behov for gode sikkerhetssystemer som kan hjelpe brukeren i praksis.
Det er tydelig at det er en endring i brukeropplevelse for mange. For noen har endringen ført til bedre brukervennlighet, mens for andre er systemet vanskeligere å bruke nå. Dette skyldes i hovedsak at man enten synes lenkene er enklere å vurdere nå eller at man nå synes det er umulig å selv kunne gjøre en vurdering av selve lenken. Det er også noen som er nøytrale og ikke synes at endringen har påvirket dem noe spesielt. Et funn som støtter opp om god brukeropplevelse, er at brukerne ikke er bekymret for personvernet sitt når de bruker systemet og at de har tillit til systemet. I tillegg er samtlige av de vi har intervjuet fornøyd med filtreringen av spam, noe som også er med på å øke brukeropplevelsen.
Totalt sett antyder resultatene at sikkerheten i organisasjonen er forbedret, selv om det nye systemet har noen begrensninger. Det er noen ansatte som ikke lenger selv gjør en analyse av lenken de mottar, men stoler på at systemet har filtrert alt som er ondsinnet. Dette kan være fordi de ikke vet at ikke alle lenker er trygge å trykke på eller fordi de har fått lavere sikkerhetsbevissthet. Det er også noen som ikke er påvirket av endringen, og dermed er nok ikke sikkerhetsbevisstheten deres endret. Likevel kan det at det er enda en sikkerhetsfunksjon tilstede påvirke sikkerhetsbevisstheten, men dette har vi ikke kunnet konkludere med. Noe annet som gjør at sikkerheten i organisasjonen er noe forbedret er at systemet gir økt beskyttelse mot angrep gjennom e-post. Dette fordi færre ondsinnede e-poster kommer gjennom til brukerens innboks, og dermed synker sannsynligheten for at noen trykker på en ondsinnet lenke. Likevel er det fortsatt en fare for direkte rettede ondsinnet e-post, da disse er vanskeligere for systemet å fange opp og også har større sannsynlighet for å ikke bli oppfattet som ondsinnet av brukeren.
Utifra våre resultater har vi noen anbefalinger til organisasjonen for å forbedre sikkerheten. Hovedbudskapet er at ved innføring av nye systemer er det viktig at alle brukere får tilstrekkelig med kunnskap om systemet. Noen ansatte er ikke klar over at det ikke nødvendigvis er trygt å trykke på de analyserte lenkene, og det utgjør en fare for sikkerheten. I tillegg er det ikke så vanskelig å finne den opprinnelige lenken i den som er omskrevet hvis man har lært hva man skal se etter. Vi syns denne endringen virker fornuftig ut fra våre resultater, og for best mulig effekt bør denne opplæringen gjøres samtidig med implementering av nye systemer. Hovedbudskapet til bruker er at på tross av at nye sikkerhetssystemer innføres, bør man ikke ha full tillit til systemet, men fortsette å være skeptisk til det man mottar og ha gode rutiner på å sjekke e-post. Dette fordi angripere finner alltid nye måter å angripe på, så til tross for et nytt og teknisk sett bedre system, vil det alltid være mulig å finne en vei inn.
Masteroppgaven er tilgjengelig her.
Author: Caroline Selte