Sicra Header Logo
  • Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
09.02.2021
min tid å lese

Dette er din bedrifts største sikkerhetsrisiko

Når du hører begreper som “IT-sikkerhet”, “Cyberangrep” og “Cyber-sikkerhetsbrudd” tenker du kanskje ikke i første omgang på de ansatte som problemets primærkilde. Men det er faktisk de ansatte som utgjør den største risikoen for datainnbrudd i bedrifter i dag. Mesteparten av sikkerhetsbruddene kan spores direkte tilbake til mangel på kunnskap og/eller bevissthet blant ansatte om sikker og korrekt håndtering av IT- og datasikkerhet i hverdagen.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Dette er din bedrifts største sikkerhetsrisiko</span>
Sicra_Portrait_Crop_1200x1500px_9480
Erik Feed WieLogg og forensics
Splunk-spesialist med analytiske evner

I dagens digitale verden hvor flesteparten (om ikke alle) organisasjoner er avhengig av sine IT-systemer og data, er risiko for uønskede hendelser mer aktuelt enn noen gang. I utgangspunktet frykter vi alltid eksterne aktører – som hackere, svindlere og andre typer IT-kriminelle, men sjelden tar vi hensyn til rollen og funksjonen til våre egne ansatte i denne sammenhengen.

Trusselen oppstår innenfra i form av tilfeldig eller målrettet angrep mot ansatte, for eksempel i form av lure-epost (phishing) eller sosial ingeniørkunst. I følge KnowBe4 så startet 91% av alle vellykkede datainnbrudd med et phishing angrep.

Hvordan kan du håndtere denne risikoen på best mulig måte? Ved å skape og opprettholde en organisasjonskultur som er basert på delt ansvar og god bevissthet om IT- og cybersikkerhet.

Dette kan bety en lang endringsprosess som krever dedikert arbeid og innsats, i alle virksomhetens nivåer. Hovedmålet er å få denne kulturen naturlig integrert hos alle ansatte – som en del av deres tankesett og daglige jobb.

Opplæring og bevisstgjøring

Opplæring og bevisstgjøring av de ansatte
, slik at de kan identifisere et phishing forsøk blir stadig viktigere. Phishing forsøkene blir stadig bedre og i økende grader ser de ut til å være tilsynelatende legitime. Det er ikke lenger nok å se etter dårlig oversatt tekst for å avsløre et phishing angrep.

Gamle anbefalinger om å ikke åpne epost fra ukjente begynner å miste sin effekt ettersom angriperne blir mer sofistikerte. Det kommer oftere angrep hvor det er høy grad av troverdighet. Eksempelvis kommer det nå SMS fra kjente avsendere som DNB med beskjed om at noe er feil og at du må logge inn for å korrigere. Vedlagt i SMS er det en lenke som tar deg til en nettside som ser 100% identisk ut med bankens innloggingsside. Om en ikke følger godt med, er det også lett å overse at nettadressen bare nesten er riktig (spoofing).

Det er mange metoder for å gjennomføre opplæring og bevisstgjøring på dette, men det viktigste er nok at det må gjøres regelmessig. Det er ikke en opplæring en kan gjennomføre og så er opplæring gitt. Regelmessige nano e-lærings kampanjer kan gjøre seg effektive, i kombinasjon med regelmessig bevisstgjøring på andre møtearenaer i virksomheten.

Det er like viktig at det finnes klare retningslinjer for hva en ansatt skal gjøre om vedkommende fatter mistanke, eller oppdager at den har falt for forsøket. Hvordan skal en ikke data-teknisk person forholde seg dersom den blir litt mistenksom på en epost eller SMS den har mottatt? Og enda viktigere, det må være en god varslings holdning i virksomheten, slik at de ansatte tør å melde ifra, om de oppdager at de har trykket på noe som kanskje kan være noe annet enn det en først trodde.

Brannøvelse

Gjennomfør jevnlig phishing-øvelser, det finnes flere selskaper på markedet som tilbyr løsninger på dette. Det går ut på at man i kontrollert form utsetter virksomhetens ansatte for phishing epost med en lenke og måler hvor mange som “går i fella”. Dette vil gi et godt bilde av hvor gode de ansatte i virksomheten er til å identifisere et phishing angrep og til å se om retningslinjene er gode nok og/eller fungerer som de skal.

For enda bedre effekt av øvelsene, avhengig av virksomhetens størrelse og bransje bør en dele øvelsene litt opp så de blir mer spesifikke for de forskjellige avdelinger. Det er ikke sikkert et HR rettet phishing angrep tester produksjons avdelinger like godt som HR avdelingen.

Målbar effekt

Ved å regelmessig utføre phishing øvelser vil en kunne se klare tegn på forbedring etter hvert som opplæringen pågår og de ansatte blir mer bevisste på hva de skal reagere på ved et angrep. Antallet som klikker på lenken, vil forhåpentlig vis gå ned for hver øvelse.

Samtidig vil virksomheten kunne få verifisert at egne retningslinjer fungere som ønsket ved at antall varslinger i henhold til retningslinjene sammenliknes med antall øvelses eposter som ble sendt inn.

Tekniske tiltak

Det finnes også tekniske grep som kan redusere Phising problemet via email. Se gjerne Nasjonal Sikkerhetsmyndighets råd. DMARC er også aktuelt selv om man f.eks har satt opp epost i O365.

Europa kommisjonen tilbyr en tjeneste på sine side hvor du kan verifisere sikkerhetsnivået på din epost tilbyder.

Les mer om "Sikkerhetsopplæring" her >

Les mer

AI er billig nå. Slik unngår du å bli låst inn i fremtiden.
Blogg

AI er billig nå. Slik unngår du å bli låst inn i fremtiden.

AI er billig nå. Bygg løsninger som tåler høyere priser senere.
Agentiske sikkerhetssentere (SOC) er her. Men hvordan kontrollerer du agentene som tar beslutningene?
Blogg

Agentiske sikkerhetssentere (SOC) er her. Men hvordan kontrollerer du agentene som tar beslutningene?

Cybersikkerhet
SOC
CISO
Agentiske SOC-er er her. Men hvem overvåker agentene som overvåker deg?
Har du forberedt deg på den dagen du ikke kan logge inn lenger?
Blogg

Har du forberedt deg på den dagen du ikke kan logge inn lenger?

Fagblogg
Hva skjer med ditt digitale liv når du ikke kan logge inn lenger?
11 sikkerhetstiltak virksomheten bør ha på plass før ferien
Blogg

11 sikkerhetstiltak virksomheten bør ha på plass før ferien

Cybersikkerhet
CISO
11 tiltak som gjør virksomheten bedre rustet før sommerferien.

Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt
Tel: +47 648 08 488
E-post: firmapost@sicra.no

Posthuset, Biskop Gunnerus' gate 14A, 0185 Oslo

Følg oss på Instagram

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
iso9001-white-removebg-preview
ISO 9001
Sicra Footer Logo
Sicra © 2025
Personvern