Er din virksomhet rustet mot phishing-angrep?

For å kunne utføre sine arbeidsoppgaver effektiv, trenger ansatte tilgang til informasjon som ofte er lagret både i virksomhetens egne IT-systemer og skytjenester. Trusselaktørene har erkjent at å tilegne seg en ansatt sin påloggingsinformasjon eller å målrettet manipulere en ansatt til å utføre aktiviteter, er en betydelig mer effektiv måte å få tilgang til informasjon og øvrige verdier – enn å omgå tekniske sikkerhetsløsninger.

90 % av hacking-angrep stammer fra phishing

I en Økokrim-undersøkelse fra 2018 svarte 18 % av virksomhetene at de hadde vært utsatt for phishing eller andre forsøk på sosial manipulasjon. Hele 90 % av all hacking som lykkes globalt beregnes stamme fra phishing.[1] NSM rapporterer at én av 61 eposter i din innboks inneholder skadevare.[2] Angrepet gjøres oftest via epost, og innebærer å lure den ansatte til å besøke en ondsinnet nettside, åpne et ondsinnet vedlegg, oppgi sensitiv informasjon eller utføre andre handlinger på angripers vegne. Motivasjonen bak angrepet er ofte økonomiske.

Dersom selskapets ansatte ikke er kjent med sikkerhetsrisikoen knyttet til epost, så finnes det per dags dato ingen tekniske eller organisatoriske tiltak som kan beskytte virksomheten fra denne trusselen. Et vellykket angrep kan i første hånd lede til at uautoriserte får tilgang til konfidensiell informasjon som personopplysninger eller virksomhetsinterne dokumenter og planer. Et angrep kan også få økonomiske konsekvenser i form av at penger blir stjålet ved bruk av informasjonen som blir delt, og gjennom skade av virksomhetens rykte, som kan lede til tap av kunder, bøter eller sanksjoner.

Phishing brukes også hyppig i ransomware-angrep. I disse tilfellene krypteres virksomhetens systemer og angriperen krever løsepenger for nøkkelen til å dekryptere filene. Tilfellene hvor løsepengevirus benyttes har økt hyppig de siste årene, og mange organisasjoner blir utsatt for tap av kritiske data, penger og større driftsforstyrrelser på grunn av utilgjengelige systemer.

Hva kan du gjøre for å forhindre phishing?

Tekniske tiltak mot phishing, slik som 2-faktorautentisering, spamfilter, antivirus og login-konfigurasjoner, er viktige brikker i virksomhetens tekniske forsvarsverk. Likevel vil det være noe som slipper gjennom sikkerhetstiltakene, og da kan de ansatte være den siste forsvarslinjen.

Phishing-øvelser mot virksomheten kan øke bevisstheten blant de ansatte. En generisk phishing-øvelse gir et godt bilde av hvor høy bevisstheten er per i dag, og kan danne grunnlag for å lage en strategi for hvordan bevisstheten kan økes i fremtiden. Gjennom et kontinuerlig og systematisk arbeid med phishing-øvelser, vil virksomheten aktivt teste ansattes evne til å vurdere om en e-post er troverdig og styrke den siste forsvarslinjen over tid. Et årshjul med fire phishing-øvelser anbefales, men antallet øvelser bør være basert på virksomhetens behov og mål.

Watchcom har lang erfaring med å bistå kunder med phishing, sikkerhetskultur og bevissthet, både i kortere prosjekter og som en langsiktig samarbeidspartner.

Ta gjerne kontakt dersom dere ønsker å øke bevisstheten internt, så kan vi skreddersy et tilbud.  

Les mer om hva vi kan tilby.


[1] Fra «Bedrageri mot næringslivet» fra Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES), 2019

[2] https://www.nsm.stat.no/om-nsm/mediebrief-fra-nsm/