Den menneskelige faktor og manglende digital hygiejne i systemerne udgør de svageste led i virksomheders cyber-forsvar. Mere hjemmearbejde gør ikke sikkerhedstruslen mindre – tværtimod, advarer Institut for Cyber Risk.
Mere end 90 procent af de cyberangreb på danske virksomheder, vi hører om, skyldes, at medarbejdere er kommet til at foretage sig noget, de ikke burde
De foretrukne veje for kriminelle ind i organisationers IT-systemer er de samme som i de foregående år, og med mere hjemmearbejde som følge af corona er trusselsniveauet for cyberkriminalitet mod danske virksomheder blot blevet endnu højere.
Sådan sammenfatter Jesper Helbrandt situationen på IT-sikkerhedsområdet i et pandemiplaget dansk erhvervsliv anno 2020. Han er direktør og Senior Security Advisor i virksomheden Institut for Cyber Risk, der rådgiver virksomheder om IT-sikkerhed.
Phishing-mails virker stadig
De to mest almindelige årsager til succesfulde hackerangreb handler stadig om den menneskelige faktor og mangelfuld cyber-hygiejne.
I flere år har vi talt om, at man skal have gode digitale vaner og en sund skepsis, når man passer sit arbejde foran skærmen, men de såkaldte phishing-mails, der kan se ægte ud og lokker brugeren til at klikke, er stadig meget effektive.
”Mere end 90 procent af de cyberangreb på danske virksomheder, vi hører om, skyldes, at medarbejdere er kommet til at foretage sig noget, de ikke burde. Typisk sker det i travlhed, et øjebliks uopmærksomhed, eller fordi de simpelthen ikke vidste bedre,” siger Jesper Helbrandt. De IT-kriminelle bliver stadig dygtigere og mere sofistikerede, når de udformer phishing-mails.
”Tidligere var mange phishing-mails håbløst skrevet og grafisk helt ved siden af. I dag er de ofte knivskarpt formuleret og sat meget troværdigt op, så det er let at gå i fælden, hvis ikke man er skeptisk. Når de cyber-kriminelle er særligt nederdrægtige, laver de lidt research på ofret, så de kan tilpasse henvendelsen til ofrets interesser. Så er forsvarsmekanismen for alvor i fare for at svigte.”
Awareness-træning
Ifølge Jesper Helbrandt har virksomhederne forsømt at uddanne og træne deres medarbejdere, så de bliver bedre rustet til de mange udfordringer, de bliver udsat hver dag.
Sund cyber-skepsis kan trænes med e-learning programmer, awareness-træning, videoer, spørgsmål og interne konkurrencer.
”En virksomhed kan for eksempel aftale med medarbejderne, at der bliver sendt 10 eller flere harmløse phishing-mails til virksomheden på tre måneder, og så gælder det om for medarbejderne at finde så mange som muligt. Det er en sjovere måde at skærpe og fastholde opmærksomheden på. Konkurrenceelementet er vigtigt for at motivere medarbejderne.”
Cyber-hygiejne
Men medarbejderne er ikke det eneste svage led. Mange af de succesfulde angreb i de største danske virksomheder kunne ifølge Jesper Helbrandt være undgået eller reduceret væsentligt, hvis virksomhederne havde haft bedre styr på den basale cyber-hygiejne og holdt deres systemer opdaterede og patchede.
”Generelt er problemet, at vi har alt for stor fokus på alle de nye muligheder og funktioner, ny teknologi giver os, men som vi måske ikke har kompetencerne til endnu. Derimod er vi mindre interesserede i at lave alle de almindelige, trivielle og kedelige ting, som dog virkelig betyder noget for virksomhedens IT-sikkerhed.”
Hjemmet skal sikres
Vores mere uformelle arbejdsforhold under coronakrisen gør ikke cybertruslen mindre – tværtimod.
”I de her coronatider er der rigeligt at være stresset over. Vi arbejder i uvante situationer derhjemme med forskellige forstyrrende elementer omkring os, som gør, at vi godt kan blive uopmærksomme i et kort øjeblik, så vores forsvarsværn og skepsis bliver reduceret.”
Det er også et problem, at medarbejderens hjemlige infrastruktur ikke er tiltænkt som arbejdsinfrastruktur.
”Man har på kort tid gjort alverdens krumspring bare for at holde medarbejderne kørende og produktive og ikke tænkt så meget i permanente sikre løsninger. Der er nogle sikkerhedsmæssige udfordringer, som virksomhederne bliver nødt til at kigge på, ikke mindst hvis vi efter corona fortsætter med at arbejde mere hjemme. Der skal være en god VPN-forbindelse, og man skal være opmærksom på, at et trådløst netværk i et privat hjem ikke nødvendigvis er specielt sikkert. Der er også spørgsmålet om det udstyr, der bliver arbejdet på. Vi deler rask væk devices i familierne, men firmaets bærbare bør ikke blive benyttet af børn og andre familiemedlemmer, der kan komme til at klikke på alverdens ting,” siger Jesper Helbrandt.
Rådgiverne i Institut for Cyber Risk (IFCR) har mere end 70 års samlet erfaring inden for cyber risk, hvoraf mere end de seneste 20 år er fra Deloitte Risk Advisory.
IFCR har en dyb forståelse for cyber risk i et forretningsperspektiv og besidder solide kompetencer inden for bl.a. cyber risk, sikkerhedstest, informationssikkerhed, GDPR, Cyber Awareness og ISO.
Se mere på