Det lyder som en gammel kliche, men en kæde er ikke stærkere end det svageste led, og når det kommer til it-sikkerhed hos virksomheder, så er det svageste led stadig – i langt de fleste tilfælde – medarbejderne.
Når det kommer til at få adgang til virksomheders infrastruktur, følsomme data eller systemer, mangler de kriminelle absolut ingen fantasi. De har en kæmpe værktøjskasse, de gør brug af, og hvis de virkelig vil ind i en virksomhed, bruger de masser af tid på research for at finde den bedste måde at angribe virksomheden på.
Det er så her, problemet opstår, for mange virksomheder tror, at hvis de ’bare’ har sat de rigtige sikkerhedssystemer op, så har de også spærret af for de cyberkriminelle. Men sandheden er en helt anden. For selv de bedste og mest sikre it-systemer kan ikke beskytte mod medarbejdere, der omgår dem – som regel fordi de ikke ved bedre.
Nogle af de værktøjer og metoder, de cyberkriminelle bruger, spiller på menneskelige følelser og reaktionsmønstre. Vi ser f.eks., at den såkaldte CEO Fraud er vældig populær. Her har de cyberkriminelle udset sig et eller flere ofre i virksomheden, der får en mail fra ’chefen’. Han beder dem måske om at overføre penge til en bestemt kunde, betale en vedhæftet faktura hurtigst muligt eller lignende. Mailen er udformet, så den ligner noget, chefen ville have sendt. Ofte bliver den sendt, når chefen er på forretningsrejse, og i mailen vil ’chefen’ ofte få det til at lyde som noget, der virkelig haster.
CEO Fraud sker hyppigst der, hvor de cyberkriminelle virkelig vil ind og har brugt masser af tid og ressourcer på at researche virksomheden.
I andre tilfælde er angreb mindre personlige, men stadig udformet, så de forsøger at lokke medarbejdere til at åbne en vedhæftning eller klikke på et ondsindet link. Begge dele noget, der vil svække, eller omgå, virksomhedens it-forsvar og give den kriminelle en vej ind.
Problemet er kun blevet større i takt med, at medarbejdere har private enheder med på arbejde – enheder, der ofte sluttes til virksomhedens netværk – eller måske bruger sociale medier fra virksomhedens computer.
En besked på Messenger kan indeholde et ondsindet link, og en mail fra PostNord det samme, og hvis der klikkes på dem fra virksomhedens computer, kan det give de kriminelle en vej ind.
Det bringer mig tilbage til mit udgangspunkt: uddannelse. Vi er nødt til at uddanne vores medarbejdere. Det betyder ikke, at de skal være eksperter i it-sikkerhed. Men de skal forstå grundprincipperne, de skal forstå, hvordan de cyberkriminelle arbejder, de skal forstå og kende til virksomhedens it-sikkerhedsprincipper, og ikke mindst så skal de forstå, hvilke konsekvenser der kan være, hvis de ikke overholder dem.
Endelig skal virksomhedernes it-afdeling også huske og forstå, at medarbejderne ikke er it-professionelle. Derfor skal uddannelsen tilpasses, så alle kan forstå det uden at føle, at de er dumme. For så lytter de ikke, og så er man ikke kommet længere.
Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.
