Dette er din bedrifts største sikkerhets risiko


Når du hører begreper som “IT-sikkerhet”, “Cyber-angrep” og “Cyber-sikkerhetsbrudd” tenker du kanskje ikke i første omgang på de ansatte som problemets primærkilde. Men det er faktisk de ansatte som utgjør den største risikoen for data innbrudd i bedrifter i dag. Mesteparten av sikkerhetsbruddene kan spores direkte tilbake til mangel på kunnskap og/eller bevissthet blant ansatte om sikker og korrekt håndtering av IT- og datasikkerhet i hverdagen.


Når du hører begreper som “IT-sikkerhet”, “Cyber-angrep” og “Cyber-sikkerhetsbrudd” tenker du kanskje ikke i første omgang på de ansatte som problemets primærkilde. Men det er faktisk de ansatte som utgjør den største risikoen for data innbrudd i bedrifter i dag. Mesteparten av sikkerhetsbruddene kan spores direkte tilbake til mangel på kunnskap og/eller bevissthet blant ansatte om sikker og korrekt håndtering av IT- og datasikkerhet i hverdagen.

I dagens digitale verden hvor flesteparten (om ikke alle) organisasjoner er avhengig av sine IT-systemer og data, er risiko for uønskede hendelser mer aktuelt enn noen gang. I utgangspunktet frykter vi alltid eksterne aktører – som hackere, svindlere og andre typer IT-kriminelle, men sjelden tar vi hensyn til rollen og funksjonen til våre egne ansatte i denne sammenhengen.

Trusselen oppstår innenfra i form av tilfeldig eller målrettet angrep mot ansatte, for eksempel i form av lure-epost (phishing) eller sosial ingeniørkunst. I følge KnowBe4 så startet 91% av alle vellykkede datainnbrudd med et phishing angrep.

Hvordan kan du håndtere denne risikoen på best mulig måte? Ved å skape og opprettholde en organisasjonskultur som er basert på delt ansvar og god bevissthet om IT- og cybersikkerhet.

Dette kan bety en lang endringsprosess som krever dedikert arbeid og innsats, i alle virksomhetens nivåer. Hovedmålet er å få denne kulturen naturlig integrert hos alle ansatte – som en del av deres tankesett og daglige jobb.

Opplæring og bevisstgjøring

Opplæring og bevisstgjøring av de ansatte, slik at de kan identifisere et phishing forsøk blir stadig viktigere. Phishing forsøkene blir stadig bedre og i økende grader ser de ut til å være tilsynelatende legitime. Det er ikke lenger nok å se etter dårlig oversatt tekst for å avsløre et phishing angrep.

Gamle anbefalinger om å ikke åpne epost fra ukjente begynner å miste sin effekt ettersom angriperne blir mer sofistikerte. Det kommer oftere angrep hvor det er høy grad av troverdighet. Eksempelvis kommer det nå SMS fra kjente avsendere som DNB med beskjed om at noe er feil og at du må logge inn for å korrigere. Vedlagt i SMS er det en lenke som tar deg til en nettside som ser 100% identisk ut med bankens innloggingsside. Om en ikke følger godt med, er det også lett å overse at nettadressen bare nesten er riktig.

Det er mange metoder for å gjennomføre opplæring og bevisstgjøring på dette, men det viktigste er nok at det må gjøres regelmessig. Det er ikke en opplæring en kan gjennomføre og så er opplæring gitt. Regelmessige nano e-lærings kampanjer kan gjøre seg effektive, i kombinasjon med regelmessig bevisstgjøring på andre møtearenaer i virksomheten.

Det er like viktig at det finnes klare retningslinjer for hva en ansatt skal gjøre om vedkommende fatter mistanke, eller oppdager at den har falt for forsøket. Hvordan skal en ikke data-teknisk person forholde seg dersom den blir litt mistenksom på en epost eller SMS den har mottatt? Og enda viktigere, det må være en god varslings holdning i virksomheten, slik at de ansatte tør å melde ifra, om de oppdager at de har trykket på noe som kanskje kan være noe annet enn det en først trodde.

Brannøvelse

Gjennomfør jevnlig phishing-øvelser, det finnes flere selskaper på markedet som tilbyr løsninger på dette. Det går ut på at man i kontrollert form utsetter virksomhetens ansatte for phishing epost med en lenke og måler hvor mange som “går i fella”. Dette vil gi et godt bilde av hvor gode de ansatte i virksomheten er til å identifisere et phishing angrep og til å se om retningslinjene er gode nok og/eller fungerer som de skal.

For enda bedre effekt av øvelsene, avhengig av virksomhetens størrelse og bransje bør en dele øvelsene litt opp så de blir mer spesifikke for de forskjellige avdelinger. Det er ikke sikkert et HR rettet phishing angrep tester produksjons avdelinger like godt som HR avdelingen.

Målbar effekt

Ved å regelmessig utføre phishing øvelser vil en kunne se klare tegn på forbedring etter hvert som opplæringen pågår og de ansatte blir mer bevisste på hva de skal reagere på ved et angrep. Antallet som klikker på lenken, vil forhåpentlig vis gå ned for hver øvelse.

Samtidig vil virksomheten kunne få verifisert at egne retningslinjer fungere som ønsket ved at antall varslinger i henhold til retningslinjene sammenliknes med antall øvelses eposter som ble sendt inn.

Tekniske tiltak

Det finnes også tekniske grep som kan redusere Phising problemet via email. Se gjerne Nasjonal Sikkerhetsmyndighets råd. DMARC er også aktuelt selv om man f.eks har satt opp epost i O365.

Europa kommisjonen tilbyr en tjeneste på sine side hvor du kan verifisere sikkerhetsnivået på din epost tilbyder.

Erik Wie

Skrevet av: Erik Wie

erik@sicra.no