­Medarbej­derne er ofte den største sikkerheds­risiko

2016-11-03

Målrettede phishing-angreb mod udvalgte ­medarbejdere i specifikke virksomheder, såkaldt spear phishing, er steget med 55 procent i Danmark i 2015. Det viser Symantecs årlige Internet Security Threat ­Report. Atea har sat Michael Pham fra Symantec i stævne til en snak om phishing anno 2016.

Hackerne er kommet langt siden de første Nigeria­mails, hvor en ukendt onkel på ubehjælpsomt engelsk fortalte, at man havde arvet en stor sum penge. Og det er ikke længere kun mails opsamlet på tilfældige hjemmesider, der udsættes for truslen. Phishing er blevet mere målrettet, ofte med udvalgte medarbejdere i en virksomhed for øje. Udformningen er også blevet mere sofistikeret og sværere at gennemskue. Det fortæller Michael Pham fra Symantec, som er Solution Engineer og til daglig hjælper virksomheder med at undgå de ubehagelige følgevirkninger af phishing.

”Ifølge en undersøgelse blandt amerikanske forbrugere fra Gartner i 2009 brugte de adspurgte kun et eller to passwords til alle websites. Så cloud baserede løsninger, hvor det kun er medarbejderens navn og password, der beskytter virksomhedens data, gør virksomhederne sårbare. Og måske er det derfor, vi ser en stigning i såkaldt spear phishing, hvor hackerne målretter deres angreb,” fortæller Michael Pham.

Michael Pham har gennem sit arbejde som rådgiver testet en række virksomheder i Danmark. Blandt de involverede virksomheder klikker mellem 20-50 procent af it-afdelingernes medarbejdere på ondsindede links.

”Vi hopper ikke længere på Nigeria-mails, men når det ondsindede link forklædes som eksempelvis en LinkedIn-anmodning fra chefen eller en mail fra Helpdesk, så er der stadig alt for mange, som falder for tricket. Og dette er vel at mærke i it-­afdelingen, hvor eksperterne sidder. Tallet er med al sandsynlighed højere i resten af organisationen.”
Det er heller ikke kun de helt store virksomheder men også små og mellemstore virksomheder, som udsættes for angrebene, fortæller Michael Pham. Derfor bør virksomhederne huske at uddanne medarbejderne til at kunne gennemskue en ondsindet mail.

”Vi er nødt til at arbejde med det menneskelige aspekt i organisationen, for det er i sidste ende den enkelte bruger, der klikker på et link. Spamfilter og andre værktøjer rækker en del af vejen, men der er så mange indgange eksempelvis brugerens private konti, som it-afdeling­en ikke kan kontrollere. Derfor er uddannelse afgørende,” forklarer Michael Pham.

Phishing er en millionforretning

Bare i løbet af 2015 registrerede ­Symantec 430 millioner nye unikke typer malware. I følge Michael Pham er det en stigning på 36 procent i forhold til 2014. Han fortæller, at phishing er blevet ’big business’. Især ­ransomware kan have store konsekvenser for virksomheden, hvis det lykkes hackerne at inficere systemet.

”Ifølge FBI mistede ameri­kanske virksomheder 24,1 millioner dollars alene i 2015 som resultat af ransomware. Vi har altså at gøre med strukturerede it-kriminelle. Det er ikke længere bare en teenager, der sidder i en kælder.”

Symantecs Internet Security Threat Report (ISTR) viser en næsten tredobling af ransomware i Danmark i forhold til 2014. Og derfor er det mere relevant end nogensinde at gå sikkerhedsprocedurerne efter i sømmene. Hvis procedurerne ikke er i orden, kan konsekvensen være, at virksomhedens data tages som gidsel, og det kan blive en dyr affære.

It-sikkerhed anno 2016 bør være holistisk

En ny måde at tale om it-sikkerhed i 2016 er ifølge Michael Pham at træde et skridt tilbage og se holistisk på it-sikkerheden. Høj sikkerhed kræver både gode værktøjer, uddannede medarbejdere der ved, hvordan man opfører sig på internettet og en procedure for, hvordan man håndterer angreb.

”It-folk kan have en tendens til at glemme det menneskelige aspekt. Vi er blevet vant til, at systemerne løser problemet. Men hvis du ikke har uddannet dine brugere, så er det lige gyldigt, hvor sikre dine systemer er i øvrigt, og hvor mange procedurer it-afdelingen har indarbejdet.

Beskyt din virksomhed mod phishing

1. People: Er jeres medarbejdere uddannede til at begå sig forsvarligt? Sørg for, at de er tilstrækkeligt klædt på til at gennemskue phishing. Læg desuden op til at jeres medarbejdere bruger forskellige passwords til deres konti.

2. Proces: Har I formuleret en beredskabsplan i tilfælde af et hackerangreb? Det er lige så vigtigt at vide, hvordan I skal agere, når først ulykken er sket. På den måde kan skaden måske begrænses.

3. Tools: Er jeres sikkerhedssystemer opdaterede? Ofte er de indbyggede filtre i skytjenester og mailsystemer ikke tilstrækkelige til at fange de ondsindede mails.  Tjek om de nødvendige sikkerhedsfeatures slået til på jeres endpoint-beskyttelse, som er jeres last line of defense. Afklar hvem der har lokal admin-adgang og om I har værktøjer til at søge efter spor af fjendtlige malware. Måske kan det også give mening at få segmenteret jeres netværk.