Det svakeste leddet i IT-sikkerheten, er deg og meg. Slik sikrer vi oss

De fleste tenker på god IT-sikkerhet som en god teknisk beskyttelse av bedriftens systemer og maskinvare, men det er faktisk ikke dårlig teknisk beskyttelse som fører til de fleste sikkerhetsbrudd.

Noen fakta om dataangrep

• Opptil 90 prosent av alle suksessfulle dataangrep er forårsaket av en eller annen form for menneskelig feil. 

• I 2020 ble DNBs bedriftskunder forsøkt bedratt for 138 millioner kroner (Kilde: DNB)

• I følge politiet har hele 13 prosent av norske virksomheter opplevd såkalt direktørsvindel. Men det fryktes store mørketall

Sosial manipulasjon. Det er fellesbetegnelsen på det som i svært mange tilfeller er inngangen til cyberkriminelle som er ute etter å tilegne seg virksomhetens verdier. 

For å si det enkelt: Fremfor å prøve å trenge seg gjennom murene i et IT-system, er det ofte enklere å lure noen til å låse opp porten. Det beste forsvaret er i så fall ikke et enda mer robust teknisk system – men kunnskap og bevissthet om sikkerhet blant alle ansatte. 

Sosial manipulasjon går typisk ut på å prøve å lure noen med en henvendelse på e-post eller telefon som tilsynelatende kommer fra noen du stoler på.

Et ofte brukt virkemiddel er å utgi seg for å være daglig leder, økonomisjefen eller lignende, og be en regnskapsansatt om å bytte kontonummer på en faktura eller gjennomføre en hastebetaling. Det er dette som kalles direktørsvindel. Felles for de fleste slike forespørsler er at det haster. Du skal ikke få tid til å tenke deg om, eller lure på hvorfor dette går utenom de vanlige kanalene og rutinene. 

De kriminelle vil ofte gjøre grundig research i forkant: De bruker tid på å få kunnskap om bedriften slik at de vet hvem de skal utgi seg for å være, hvordan vedkommende pleier å uttrykke seg og hva slags henvendelse det kan være troverdig at han eller hun kommer med, samt hvem de skal sende forespørselen til. Noen ganger brukes til og med såkalt deepfake-teknologi for å «stjele» noen sin stemme og gi seg ut for å være dem over telefon. 

Slike angrep er med andre ord blitt svært sofistikerte. 

Det er heller ikke slik at de kriminelle bare går etter de største aktørene. De fleste norske virksomheter er små og mellomstore bedrifter med alt fra en håndfull til et par hundre ansatte, og det er også her de fleste angrep forekommer. 

Et annet ofte sett forsøk er delingsforespørsler i skytjenester. Her sendes det en e-post som tilsynelatende er fra Microsoft og derdu – ved å klikke på en link – blir bedt om å fylle inn brukernavn og passord. Nettsiden du fyller ut passord på er ikke ekte, og du har nå gitt brukernavn og passord til kontoen din til avsenderen. Dersom du ikke har tofaktorautentisering aktivert, vil de nå ha tilgang til å lese og sende e-post på dine vegne.

Dette er bare to av flere eksempler hvor kriminelle forsøker å utnytte mennesker for egen vinning. Det finnes mange andre. De har til felles at de kan forhindres gjennom å bygge opp bevissthet og kunnskap om metodene som brukes. 

Det finnes tekniske løsninger som vil hjelpe i motstanden mot angrep som i eksemplene over. For eksempel avansert spam-filter, men kriminelle utvikler alltid nye metoder for å komme forbi dette. 

Å bygge opp kunnskap og bevissthet blant ansatte innebærer ikke bare å være på vakt mot sosial manipulasjon, men også om å gjøre noen enkle grep som drastisk vil forbedre sikkerheten og tette smutthull inn i virksomhetens IT-systemer:

• Bruk sterke, unike passord for hver tjeneste og nettside der du har en brukerkonto. Bruker du samme passord overalt, og innloggingsinformasjonen din havner på svartebørsen etter et datatyveri på en tilfeldig nettside, betyr det at de kriminelle samtidig får nøkkelen til e-posten din, kontoene dine på sosiale medier, og systemene og tjenestene du bruker på jobb

• Mange velger et enkelt passord fordi det er lett å huske. Da er det også lett å hacke. En såkalt passord-manager – som Bitwarden, LastPass, 1password, Keeper eller lignende – kan hjelpe deg å lage sterke passord og å holde styr på dem for deg, slik at du slipper å huske dem selv

• Aktiver tofaktorautentisering overalt der hvor det er mulig. Det innebærer at du må bekrefte påloggingen med en engangskode, en link på e-posten din, en app eller lignende. Dette enkle grepet stopper alene svært mange angrep, ettersom det betyr at å stjele eller gjette passordet ditt ikke er nok

Uansett hvor sikker deres tekniske løsning er og hvor god passordhygiene dere har, anbefaler vi alltid å sikre bedriften ved å redusere sannsynligheten for at den menneskelige feilen begås. Og som med så mye annet gjøres dette gjennom trening og bevissthet av ansatte.

Her er noen tips som er et godt utgangspunkt:

• Aldri oppgi informasjon som kortdetaljer, personopplysninger, bankID eller lignende til noen som kontakter deg og ber om det 

• Unngå å handle på «autopilot» når du får en forespørsel. Si det kommer en e-post fra en budservice som sier at det er en utestående betaling for frakt på en pakke du venter på. Har du antennene ute, og tenker deg om både to og tre ganger, vil du unngå å gå i fellen og legge inn kortdetaljene dine. For du har ikke en slik utestående betaling, har du vel?

• Hvis du får en hasteforespørsel om for eksempel å endre en betaling eller overføre en sum penger, prøv å ikke la deg stresse. Det står sjeldent om livet, selv om det skulle være reelt. Ta deg tiden til å dobbeltsjekke med den som forespørselen tilsynelatende kommer fra, og se om det er noe som skurrer med adressen eller nummeret til avsenderen

• Ikke stol på en henvendelse selv om det brukes perfekt norsk og avsenderen ved første øyekast ser ut til å være Posten, DNB eller en annen kjent aktør. Svindelforsøkene er blitt svært sofistikerte og kan se overbevisende ut. Hvis du for eksempel blir bedt om å logge inn et sted via en link – som i banken din – skriv heller inn bankens URL i nettleseren din, heller enn å gå via linken

• Vær forsiktig med hva du deler på nettet, og for eksempel hva som deles offentlig eller kun kan sees av venner på sosiale medier. De kriminelle kan bruke åpne profiler til å gjøre research om deg og gi seg ut for å være noen i din krets, og på den måten lure deg når du ikke er på vakt

Det neste steget er å inkludere virkelighetsnære tester av ansatte hvor de blir utsatt for uekte svindel, og får en positiv eller negativ score dersom de gjennomskuer eller faller for det uekte svindelforsøket. 

Det er vanskelig å vite hvor man starter med trening og øker bevisstheten hos de ansatte, men det finnes hjelp. Vår partner CYBR leverer opptil 60 engasjerende videoer og opplæringsmateriell som er klart til å sendes ut til deres ansatte på kort tid - så og si uten menneskelig interaksjon.

Med automatiserte jevnlige utsendinger, minimalt behov for bruk av interne ressurser, samt muligheten for testing av de ansattes kunnskap om IT-sikkerhet kan du som leder enkelt holde oversikten på utviklingen hos dine ansatte.