Det svakeste leddet i IT-sikkerheten, er deg og meg. Slik sikrer vi oss

De fleste tenker på god IT-sikkerhet som en god teknisk beskyttelse av bedriftens systemer og maskinvare, men det er faktisk ikke dårlig teknisk beskyttelse som fører til de fleste sikkerhetsbrudd.

Noen fakta om dataangrep

• Opptil 90 prosent av alle suksessfulle dataangrep er forårsaket av en eller annen form for menneskelig feil. 

• I 2020 ble DNBs bedriftskunder forsøkt bedratt for 138 millioner kroner (Kilde: DNB)

• I følge politiet har hele 13 prosent av norske virksomheter opplevd såkalt direktørsvindel. Men det fryktes store mørketall

Sosial manipulasjon. Det er fellesbetegnelsen på det som i svært mange tilfeller er inngangen til cyberkriminelle som er ute etter å tilegne seg virksomhetens verdier. 

For å si det enkelt: Fremfor å prøve å trenge seg gjennom murene i et IT-system, er det ofte enklere å lure noen til å låse opp porten. Det beste forsvaret er i så fall ikke et enda mer robust teknisk system – men kunnskap og bevissthet om sikkerhet blant alle ansatte. 

Sosial manipulasjon går typisk ut på å prøve å lure noen med en henvendelse på e-post eller telefon som tilsynelatende kommer fra noen du stoler på.

Et ofte brukt virkemiddel er å utgi seg for å være daglig leder, økonomisjefen eller lignende, og be en regnskapsansatt om å bytte kontonummer på en faktura eller gjennomføre en hastebetaling. Det er dette som kalles direktørsvindel. Felles for de fleste slike forespørsler er at det haster. Du skal ikke få tid til å tenke deg om, eller lure på hvorfor dette går utenom de vanlige kanalene og rutinene. 

De kriminelle vil ofte gjøre grundig research i forkant: De bruker tid på å få kunnskap om bedriften slik at de vet hvem de skal utgi seg for å være, hvordan vedkommende pleier å uttrykke seg og hva slags henvendelse det kan være troverdig at han eller hun kommer med, samt hvem de skal sende forespørselen til. Noen ganger brukes til og med såkalt deepfake-teknologi for å «stjele» noen sin stemme og gi seg ut for å være dem over telefon. 

Slike angrep er med andre ord blitt svært sofistikerte. 

Det er heller ikke slik at de kriminelle bare går etter de største aktørene. De fleste norske virksomheter er små og mellomstore bedrifter med alt fra en håndfull til et par hundre ansatte, og det er også her de fleste angrep forekommer. 

Et annet ofte sett forsøk er delingsforespørsler i skytjenester. Her sendes det en e-post som tilsynelatende er fra Microsoft og derdu – ved å klikke på en link – blir bedt om å fylle inn brukernavn og passord. Nettsiden du fyller ut passord på er ikke ekte, og du har nå gitt brukernavn og passord til kontoen din til avsenderen. Dersom du ikke har tofaktorautentisering aktivert, vil de nå ha tilgang til å lese og sende e-post på dine vegne.

Dette er bare to av flere eksempler hvor kriminelle forsøker å utnytte mennesker for egen vinning. Det finnes mange andre. De har til felles at de kan forhindres gjennom å bygge opp bevissthet og kunnskap om metodene som brukes. 

Det finnes tekniske løsninger som vil hjelpe i motstanden mot angrep som i eksemplene over. For eksempel avansert spam-filter, men kriminelle utvikler alltid nye metoder for å komme forbi dette. 

Å bygge opp kunnskap og bevissthet blant ansatte innebærer ikke bare å være på vakt mot sosial manipulasjon, men også om å gjøre noen enkle grep som drastisk vil forbedre sikkerheten og tette smutthull inn i virksomhetens IT-systemer:

Uansett hvor sikker deres tekniske løsning er og hvor god passordhygiene dere har, anbefaler vi alltid å sikre bedriften ved å redusere sannsynligheten for at den menneskelige feilen begås. Og som med så mye annet gjøres dette gjennom trening og bevissthet av ansatte.

Her er noen tips som er et godt utgangspunkt:

Det neste steget er å inkludere virkelighetsnære tester av ansatte hvor de blir utsatt for uekte svindel, og får en positiv eller negativ score dersom de gjennomskuer eller faller for det uekte svindelforsøket. 

Det er vanskelig å vite hvor man starter med trening og øker bevisstheten hos de ansatte, men det finnes hjelp. Vår partner CYBR leverer opptil 60 engasjerende videoer og opplæringsmateriell som er klart til å sendes ut til deres ansatte på kort tid - så og si uten menneskelig interaksjon.

Med automatiserte jevnlige utsendinger, minimalt behov for bruk av interne ressurser, samt muligheten for testing av de ansattes kunnskap om IT-sikkerhet kan du som leder enkelt holde oversikten på utviklingen hos dine ansatte.