Social Engineering – största hotet mot informationssäkerhet?

Säkerhet

4/04 2017

“You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation.” — Kevin Mitnick.

 

En kedja är inte starkare än sin svagaste länk. Som vi alla vet (eller!?) spelar det inte någon roll hur mycket pengar en organisation spenderar på teknologi och infrastruktur för att säkra upp sin IT-miljö om det ändå, precis som det inledande proverbet, räcker med att en enstaka användare utsätts eller blir offer för någon form av skadlig kod.

En studie av cybersäkerhetsföretaget CloudLock (numera en del av Cisco) – baserat på 10 miljoner användare, 1 miljard filer och över 91 000 applikationer – visar på att 1 % av användarna står för hela 75 % av organisationssäkerhetsrisken. 1  Detta inkluderar exempelvis att dela lösenord i klartext via e-post, att av misstag ladda ned malware, klicka på phishing-länkar samt återanvända lösenord i både interna och externa system/tjänster.

Hur angriper man då detta? Nyckelorden är UTBILDNING och MEDVETENHET. Enligt en rapport från 2014, utgiven av Enterprise Management Associates (EMA), saknar 55 % av ett företags personal utbildning och/eller träning i säkerhetsmedvetenhet från sin organisation. 2 Dessutom rapporteras drygt en tredjedel att använda samma lösenord på både sina privata och företagets enheter. Över en tredjedel erkänner att man någon gång klickat på en länk i ett mejl från okänd avsändare. 3, 4

Gå på magkänsla, det kan räcka långt. Vanligaste scenariot är att boven vill stressa dig, på ett eller annat sätt, till att ta (oönskade) beslut. Kom ihåg att vara extra kritisk och tänk efter, före(!) du agerar. Ser du något suspekt eller som ej känns igen, tveka inte att ta kontakt med din IT-avdelning.

Källor:

Normal 0 21 false false false SV X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Normal tabell"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;}

1 CloudLock Inc. The 1% Who Can Take Down Your Organization. Q3 Cybersecurity Report (2015). http://www.cloudlock.com/wp-content/uploads/2015/08/Cloud-Cybersecurity-Report-One-Percent-Who-Can-Take-Down-Your-Organization.pdf (Hämtad 2017-04-04).

2 Lookingglass Cyber Solutions Inc. How to NOT be a Victim of Social Engineering [Infographic]. LookingGlass Blog (2015). https://www.lookingglasscyber.com/blog/cybersecurity/how-to-not-be-a-victim-of-social-engineering/ (Hämtad 2017-04-04).

3 SC Magazine US. Study reveals only 56 percent of employees get awareness training (2014). https://www.scmagazine.com/study-reveals-only-56-percent-of-employees-get-awareness-training/article/537788/ (Hämtad 2017-04-04).

4 EMA, Report Summary - Security Awareness Training: It's Not Just for Compliance (2014). http://www.enterprisemanagement.com/research/asset.php/2734/Report-Summary---Security-Awareness-Training:-It/%27s-Not-Just-for-Compliance (Hämtad 2017-04-04).