De ansatte må være bedriftens personlige brannmur

Norsk Senter for Informasjons sikring (NorSIS) spurte ansatte i norske bedrifter om hvorvidt de ville sagt ifra hvis de oppdaget at de hadde gått på et svindelforsøk, et løsepengevirus eller phishingangrep på jobben. 37 prosent sier at de ikke ville sagt fra. – Jeg tror dette har med skam å gjøre. Jeg tror også at de rådene vi sikkerhets-folk gir er med på å bygge opp under den skammen. Jeg mener derfor at ett av de viktigste rådene du kan gi, er at hvis du gjør noe galt – så si ifra! Det er viktig for å begrense skadene, uttalte seniorrådgiver i NorSIS, Hans Marius Tessem, under et foredrag på Nasjonal Sikkerhetsdag høsten 2021.

Lett å gjennomføre angrep uten stor risiko for å bli tatt

Sikkerhetsekspert Thomas Tømmernes i Atea sier det er via ansatte at angriperne ofte kommer seg inn i virksomhetens systemer. Ifølge NorSir skyldes over 60 prosent av sikkerhets-hendelsene i en virksomhet feil fra brukere. Enten at man trykker på noe feil, sender data til feil sted, eller rett og slett hendelige uhell. – Derfor er det helt avgjørende at de ansatte føler at det er greit å si fra når de har tabbet seg ut, uten å være redd for at det skal få konsekvenser for dem. De ansatte må være bedriftens personlige brannmur! sier Tømmernes.

Han forteller at løsepengeangrep har blitt mye enklere å gjennomføre, og det er faktisk mulig for ondsinnede aktører å gjennomføre digital utpressing ved å kjøpe løsepengeangrep som en tjeneste. Kombinert med kryptovaluta som betaling, er det mulig å gjennomføre angrep uten stor risiko for å bli tatt. – Dette trusselbildet er den tredje største økonomien i verden for øyeblikket. Det er mange år siden det passerte den verdensomspennende narkotikatrafikken. Det er kanskje ikke så rart når det er så mye penger i omløp og risikoen er såpass liten, sier Tømmernes. Tømmernes forteller at det alltid er noen som betaler.

– Det er en gråsone. Men ved å betale finansierer du kriminalitet, noe som per definisjon ikke er lovlig. Men om barna dine blir kidnappet og du betaler løsepenger, er det ingen som straffe­følger deg for det, sier han. – Betaler du, har du ingen garanti for at du får tilbake noe. Kanskje du får et nytt krav. De fleste anbefaler ikke at man betaler løsepenger. Men det har vært eksempler på at man har vært nødt til å betale.

Mener det er mulig å begrense sosial manipulering

Mange cyberangrep mot bedrifter starter med phishingangrep der det ofte brukes sosial manipulering for å lure for eksempel mottakeren av en e-post til å gjennomføre en eller annen handling. Tessem i NorSIS tror det er mulig å begrense denne formen for sosial manipulering ved å øke bevisst-heten til medarbeiderne, og få dem til å være oppmerksomme på at det faktisk er noen der ute som kan prøve å lure dem.

– Mennesker har en mekanisme som gjør at hvis vi får noe, så føler vi at vi må gi noe tilbake. Det er gjerne slike mekanismer som brukes i phishing-angrep, der du må gi noe for å få noe. – Men det jeg selv har oppdaget, er at når jeg har blitt oppmerksom på disse mekanismene og hvordan jeg vil reagere, så har jeg blitt mer motstands-dyktig. Det å kunne mer om hvordan slik svindel fungerer, gjør oss mer motstandsdyktige, sa Tessem under sitt foredrag på Nasjonal Sikkerhetsdag.

Hans Marius Tessem, NorSIS

Angrepene som baserer seg på sosial manipulering blir mer avanserte, de er mer tilpassede, og bruker gjerne personopplysninger for å virke mer troverdige. Angriperne spiller gjerne på tre ulike ting; enten friste mottakeren til å tro at vedkommende kan få noe, skremme ved å hevde at noe kommer til å slutte å fungere eller at de sitter på informasjon om deg, eller å late som kommunikasjonen kommer fra en troverdig avsender.

– En utvikling vi ser er at angriperne bruker personinformasjon man finner på nettet. Det gjør at sosial manipule-ring kommer til å bli vanskeligere å stå imot, sier Tessem. Ofte prøver angriperne å skape et tidspress og si noe haster, slik at mottakeren kanskje ikke tenker seg godt nok om, og gjør feil. Det viser viktig-heten av å si ifra, men også å trene på å gjenkjenne angrepene, advarer Tessem.

Krev to-trinnspålogging

Mens sosial manipulering er en stadig mer vanlig inngangsport for angripere, er det ifølge Tessem pålogging til ulike tjenester som er den største trusselen. Enten fordi det er brukt svake passord, at samme passord er brukt flere steder, eller at passord har kommet på avveie. Ett av de viktigste tiltakene er totrinns-pålogging, enten totrinnsautentisering der man må inn med en kode hver gang – eller totrinnsverifisering der man må verifisere seg hvis man logger inn på en ny enhet.

– Dette er en minimumssikkerhet. Hvis du bruker en tjeneste som ikke støtter totrinnspålogging eller der det koster ekstra, bør du vurdere å bytte leverandør. Det bør være innebygget, sa Tessem.

Vegard Kjerstad - Leder for Ateas Incident Response Team (IRT)

Vegard Kjerstad, er enig i at tofaktor er et svært viktig tiltak – men påpeker samtidig at det ikke er noen garanti mot angrep. – Tofaktor hjelper veldig mye på sikker-heten, men vi har sett flere eksempler på at angripere likevel har kommet seg inn i systemer med ansattes brukernavn og passord. For eksempel ved at en bruker som mottar tofaktor-varsel på telefonen sin kanskje av ren uvitenhet trykker «ok» på meldingen, sier Kjerstad. Et annet mulig sikkerhetshull kan være eksterne samarbeidspartnere som skal ha tilgang til bedriftens systemer. – Da må du være sikker på at personen hos den eksterne partneren er den som faktisk skal ha tilgang, og ofte kan det være vanskelig.