IT-säkerhetsexperten om det vanligaste intrångssättet hos företag: ”Angriparna väljer den enkla vägen”

2018-dec-20 09:14:43 / av Tess Hamark

Nikka pratar om det vanligaste intrångssättet på företag

Att det absolut vanligaste intrångssättet på företag skulle vara sårbarheter i datorn är felaktigt, enligt F-Secures senaste halvårsrapport. Den svagaste länken är användarna. Något som säkerhetsexperten Karl Emil Nikka vill råda bot på.

– Det är så mycket lättare för dagens angripare att attackera användaren jämfört med systemet. Detta ställer såklart hårda krav på företag att informera och utbilda sina medarbetare om vilket ansvar de har. 

     Karl Emil Nikka som driver utbildningsföretaget Nikka Systems fokuserar på säkerhetsfrågor med slutanvändaren i fokus. Han är mån om att företag och deras medarbetare ska vara införstådda med vilka risker som finns och vilka konsekvenser det kan få om företaget blir infekterat av ett skadeprogram. 

     – Om ett företag skulle bli attackerat av en utpressningstrojan har de förhoppningsvis en bra backup. Dock kan det innebära att företagets verksamhet ligger nere i timmar innan backupen är återställd. Ännu värre blir det om företaget saknar backup. Därför måste användarna få löpande utbildning om olika säkerhetsfrågor och vilka risker de kan tänkas utsättas för.

Även "ointressanta" personer blir intressanta

VD:n, ekonomi- och IT-chefen är intressanta måltavlor för angriparna, enligt Karl Emil Nikka. Därför faller det naturligt att de erhåller bra säkerhetsträning. Desto mindre utbildning får övriga medarbetare. Något som angriparna är medvetna om och utnyttjar.

     – Ponera att angriparna vill nätfiskeattackera VD:n på företaget. Denna person är troligtvis svår att lura med tanke på hans eller hennes säkerhetsmedvetenhet. Istället väljer angriparna att attackera en av företagets övriga medarbetare eller underleverantörer. Detta leder i sin tur till att angriparna kan skicka ett nätfiskemejl från en riktig e-postadress som dessutom är från en avsändare som VD:n har haft kontakt med. På så sätt kan vilken medarbetare som helst omedvetet bli en del av en flerstegsattack. Och här kommer vikten av säkerhetsutbildning in.

”Visa medarbetarna hur ett nätfiskemejl ser ut”

Enligt Karl Emil Nikka räcker det inte att be medarbetarna läsa igenom ett A4-papper innehållande potentiella säkerhetsrisker för att sedan signera att de har tagit del av informationen. Istället bör man visa hur riskerna ter sig i praktiken.

     – Som en del av utbildningen bör man visa medarbetarna hur exempelvis ett nätfiskemejl faktiskt ser ut för att sedan sätta deras kunskaper på prov. Kanske till och med meddela medarbetarna att det kommer att skickas ut ett nätfiskeliknande mejl på test  under månaden. Sedan är det upp till dem att identifiera det misstänkta mejlet. Men för att det ska funka måste samtliga medarbetare ha grundläggande förståelse för hur datorer, mobiltelefoner och inte minst internet fungerar.

Det är inte samhällets ansvar att hålla anställda à jour

Det är inte konstigt att det råder bristfälliga dator- och säkerhetskunskaper bland anställda idag, menar Karl Emil Nikka. Ett datakörkort från grundskolan kan inte likställas med att vara medveten om dagens säkerhetsrisker på internet. Dock ligger ansvaret inte på samhället.

     – Smartphonen har fullkomligt revolutionerat vårt sätt att interagera. Detta har gjort att vårt beteende har förändrats och utbildningsinsatserna har inte hunnit ikapp. Det är dock inte samhällets ansvar att hålla företagets medarbetare à jour. Det ansvaret ligger på företagen. För hur ska medarbetarna kunna identifiera ett falskt mejl om de inte vet hur det ser ut? Det är lite som att jag skulle gå upp på Lunds Universitetssjukhus och få frågan, kan du identifiera det här benet i kroppen? Nä, hur ska jag kunna göra det när jag inte har fått någon utbildning i det? Så arbetsgivaren kan inte ställa krav på användarna att vara skärpta och skeptiska om de inte får rätt förutsättningar. 

     Att det sker dataintrång är ingen hemlighet, men om företag kan minimera risken för intrång via användarna tar de ett stort kliv i rätt riktning och går en säkrare IT-miljö till mötes.

Ämnen: Intervju Säkerhet Dataintrång

Tess Hamark

Skriven av Tess Hamark

Få nyhetsuppdateringar

Senaste inlägg