77 % av lyckade cyberattacker stavas oförsiktiga medarbetare

IT-säkerhet

5/09 2018

Redan i år beräknar FBI att falska VD-mail och e-postintrång har kostat världens företag ca 114 miljarder. Enligt revisions- och rådgivningsföretaget EY:s senaste rapport ”Global Information Survey så anser knappt åtta av tio företag (77%) att den enskilt största anledningen till framgångsrika cyberattacker stavas oförsiktiga medarbetare. I gårdagens upplaga skrev Mattias Malmqvist reporter på Computer Sweden en väldigt bra artikel på ämnet ” 10 saker alla anställda måste lära sig om cyberhot” du hittar hela artikeln i helhet här 

Kort och koncist måste varje företag alliera sina medarbetare i IT-säkerhetsarbetet genom att skapa sunda, smarta och hälsosamma digitala vanor istället för att lejonparten agerar digitala måltavlor.

10 utbildningspunkter som ökar IT-säkerheten och som gör dina medarbetare till svåra måltavlor för bedragare

1. Accepterad användning
De flesta människor ligger inte vakna om natten och funderar över rätt eller fel sätt att använda den laptop deras arbetsgivare precis gav dem. De använder den eftersom de har den. Därför måste man vara tydlig med vad som är accepterat användande och vad som inte är tillåtet när det gäller en företagsenhet.

 

2. Patchmedvetande.
Mjukvara behöver uppdateras ofta. Annars kan vilken maskin som helst bli en farlig accesspunkt för elak kod och andra hot. Opatchad mjukvara är en av de viktigaste förklaringarna till varför företag kan attackeras. Det här vet alla som arbetar med it-säkerhet, men för den genomsnittlige anställde är patchning ett irritationsmoment som snabbt hamnar längst ner på att-göra-listan. Därför är patchmedvetande en viktig del av en säkerhetsutbildning. Man bör som anställd känna till de stora dragen och veta vad företaget förväntar sig av en själv, vad gäller att installera patchar. Vem gör det? Hur ofta? Vad ska de anställda inte göra?

 

3. Medvetenhet om social ingenjörskonst.
De flesta it-relaterade incidenter börjar med en framgångsrik ”social attack”. Med detta menas att en hackare får tillgång till nätverket genom att förmå en person att göra något eller lämna ifrån sig något. De behöver inte ens ha direktkontakt med varandra – det kan ske via mejl, en webbsida, telefon eller sms. Ibland kallas det social ingenjörskonst. Ditt utbildningsprogram bör ta upp vanliga sätt som illasinnade människor kan luras på för att komma åt viktig information.

 

4. Lösenordshantering.
Även om en stor del av världen snabbt rör sig mot flerfaktorsautentisering så är det forfarande många webbplatser och tjänster som bara använder lösenord. Därför måste användare kunna skapa, komma ihåg och använda lösenord på ett säkert sätt och så att de inte utsätter informationen för risker. Använd minst åtta tecken och undvik alla ”qwerty” eller liknande som en illasinnad person kan testa sig fram till.

 

5. Hantera e-post.
Många digitala smittor börjar med ett mejl med en bifogad fil eller länk, som mottagaren klickar på eller öppnar. Här gäller det att göra gruppen medveten om vad som gäller vid oönskad e-post, och hur man hanterar meddelanden utan att utsätta företaget för risker. Det handlar om att coacha människor och lära dem rätt beteende, att vara försiktiga och inte klicka på bilagor eller länkar som de inte vet vad de är, utan hellre ringa upp avsändaren och fråga vad det är för något.

 

6. Säkert surfande.
Att surfa på nätet är alltid förknippat med risk. Alla på ditt företag måste lära sig att surfa på ett säkert sätt utan att smittas av skadlig kod. Ge instruktioner hur man försäkrar sig om att webbläsaren är patchad mot kritiska sårbarheter. Varna för att installera onödiga tillägg eller för att surfa med viktiga konton, som till exempel administratörens.

 

7. Dataskydd.
Det här är ett ämne som hamnat i fokus senaste året med tanke på EU:s nya dataskyddsregler GDPR. Man måste försäkra sig om att de data som samlas in verkligen behövs och används på ett korrekt sätt. Man behöver ge en definition av vilken typ av data som måste skyddas, hur man gör sig av med data när de inte längre behövs, vikten av att backa upp data, eventuellt kryptera dem – och inte minst uppmuntra de anställda att diskutera de här frågorna med ansvariga.

 

8. Skärmlåsning.
Även om de har lärt sig att vara medvetna om riskerna så är många som inte tänker på att låsa sin dator innan de går från den. Men faktum är att det innebär en risk, både för individen och för företag, att lämna datorn öppen för vem som helst. Olåsta datorer har en historia av att skapa trubbel hos företag. Det här måste användarna helt enkelt lära sig – och göra till en rutin.

 

9. Riktad utbildning.
Särskilda användare behöver särskild utbildning för att förstå vilka hot som riktas just mot dem. Till exempel måste ekonomianställda förstå varför de kan vara potentiella måltavlor, och kanske hur transfereringsbedrägerier brukar gå till. Vd och personer med särskilda behörigheter måste förstå sina roller i det här, och vilka bluffar de kan utsättas för.

 

10. Rapportera incidenter.
Den genomsnittliga tiden det tar för ett företag att upptäcka att de utsatts för en hackaraktivitet är faktiskt åtta månader – och då är det ofta någon utanför företaget som gör upptäckten. Sorgligt nog så är det ofta någon på företaget som lagt märke till incidenten långt innan att säkerhetsteamet blir varse om den. Principen som måste gälla är: ”om du ser något, säg något”. Anställda behöver veta hur de känner igen och rapporterar säkerhetsincidenter. Det gäller att skapa en kultur där människor inte är rädda för att säga till om de ser något som inte stämmer.