*

Opinion
MINE NYHEDER
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Annonce
0

»Den største hackertrussel kan komme fra rengøringshjælpen«

It-sikkerhed handler i stigende grad om mennesker. Hackere bruger rengøringsfolk til at putte usb-sticks i computere, eller de skaffer sig adgang til personlige information om ansatte, som så bruges til at lirke virksomhedens it-systemer op, skriver to eksperter.

Connie Zhou

For de fleste virksomheder handler it-sikkerhed om at holde sikkerhedssoftwaren opdateret. Men truslen fra hackere kan nu ligeså godt komme fra den person, der kommer og vander blomster næste gang. Eller firmaet, der leverer kaffe. De er måske ikke, hvem de giver sig ud for at være; måske er de ude på at skaffe sig plante usb-sticks eller på anden måde skaffe sig adgang til it-systemerne.

It-sikkerhed handler nemlig ikke kun om at hacke sig adgang til it-systemer. Det handler også om mennesker. Begrebet hedder social engineering, og handler grundlæggende om at plante en falsk historie i hovedet på folk, og på den måde skaffe sig adgang til virksomheders sikkerhedssystemer. Omkring 90 procent af alle angreb sker med social engineering, viser de seneste tal. Tal fra Interpol viser også, at denne form for hacking trender blandt kriminelle. De sidste to år er svindlen steget, og det rapporterede tab er fordoblet til næsten en milliard dollar i 2015. Til sammenligning var den globale svindel med kreditkort 16 milliarder dollar sidste år.

Et af de mest anvendte angrebsscenarier er det såkaldte direktørsvindel, hvor svindlere har indsamlet oplysninger om virksomheden og så sender en mail til regnskabsafdelingen, så det ser ud som om, at den kommer fra direktøren. Her står der typisk, at de hurtigt skal overføre penge, som så i sidste ende havner på en udenlandsk bankkonto. Et andet scenarie er, at hackerne ringer op og udgiver sig for at være fra fx Microsoft og siger, at man har et sikkerhedsproblem. Man får besked på at installere deres software, som kan løse problemet, men i virkeligheden er det ondsindet software.

Ansatte i en schweizisk bank modtog også en falsk mail om deres lønbonus. På en vedhæftet fil stod der »bonusberegner«, og når de klikkede for at åbne filen, så aktiverede de en orm, der inficerede bankens computersystemer. To tredjedele af personalet kunne ikke modstå og klikkede.

Nogle kender teknikken fra mails, der udgiver sig for at være fra PostNord, men i virkeligheden er fra kriminelle, der prøver at angribe vores computere. Disse angreb var der mange af op til jul, da mange køber julegaver over nettet, og derfor ikke finder en mail fra PostNord mistænkelig. Det kan dog være en almindelig kedelig oplevelse at blive angrebet af fx en cryptolocker, som krypterer alle filerne på computeren og kræver løsepenge for måske at dekryptere dem igen.

Et af de mest anvendte angrebsscenarier er det såkaldte direktørsvindel.

Gert Læssøe Mikkelsen, ph.d. og Sebastian Cappelen, journalist. Begge fra Alexandra Instituttet.

Et de senest tilkomne værktøjer er smishing. Det er falske SMS’er, som er et af nutidens helt store problemer. Folk stoler nemlig på en SMS modsat falske mails, som de fleste er opmærksomme på. De kriminelle kan i første omgang droppe at bruge for meget tid på teknikken og nøjes med at sende en mail eller SMS, som så gør arbejdet for dem, og når folk hopper på krogen, kan de tage mere tekniske metoder i brug til at stjæle information.

Angrebene kan også være af mere fysisk karakter, hvor man klæder sig ud som den person, der kommer og vander blomster i virksomheden. På den måde kan man bevæge sig rundt i en virksomheds sikrede område og skaffe sig adgang til fritliggende usb-sticks eller andre fortrolige dokumenter. Et mere simpelt scenarium, som folk typisk ryger i, er at man holder døren, og dermed lader som om, at man har adgangskort til en virksomhed. Man kan simpelthen altid finde et hul.

God it-sikkerhed handler ikke om, at vi skal få folk til at gøre det, vi vil. Det handler om at skabe sikkerhedsløsninger, der virker uanset, hvad brugeren gør.

Gert Læssøe Mikkelsen, ph.d. og Sebastian Cappelen, journalist. Begge fra Alexandra Instituttet.

I første omgang er et af de vigtigste råd, at alle, lige fra ledelse til ansatte, tager social engineering seriøst. It-industrien må også kigge indad. Hacking skyldes ikke bare “dumme” brugere. Branchen har et ansvar for at lave sikre systemer, som brugerne trygt kan benytte. Hvis industrien kun fokuserer på at opdrage brugerne, så misser man pointen, og det bliver nemt til et spørgsmål om at pege fingere, i stedet for at vi reelt får hævet it-sikkerheden.

Man kan drage en parallel til færdselssikkerheden. Den er markant forbedret det fleste steder over de seneste 30 år. Men selv om der har været oplysningskampagner, så skyldes det primært at vejene og bilerne er gjort mere sikre. På samme måde skal vi holde op med at prøve at forklare brugeren, hvad de skal gøre for at opnå større it-sikkerhed. God it-sikkerhed handler ikke om, at vi skal få folk til at gøre det, vi vil. Det handler om at skabe sikkerhedsløsninger, der virker uanset, hvad brugeren gør.

Læs også