Hvordan effektivt redusere vellykkede svindelangrep

Over 90% av alle vellykkede svindelangrep starter med et vellykket phishingangrep [KnowBe4, 2020]. Phishing forekommer ofte som et vedlegg med skadevare i en e-post eller som lenke til en ondsinnet nettside. Det er en utspekulert form for sosial manipulering, hvor kriminelle prøver å fiske etter sensitiv informasjon, ofte ved å spille på tillit, frykt og fristelser.

Forfatter: Adshayan Karunananthan (Information Security Specialist)

Sosial manipulering har dessverre vist seg å være effektivt for å åpne dører og tilegne seg uautorisert informasjon, siden vi mennesker er subjektive i vår vurdering av informasjon, i motsetning til godt sikrede datasystemer. Angripere velger alltid minste motstands vei, og slik situasjonen er i dag er det menneskene.

Ofte ser vi at trusselaktører utnytter muligheter i det sivile årshjulet; som skattemeldinger, høytider, og kriser som COVID-19. Det er derfor svært viktig at virksomheten er oppmerksom på den økte trusselen nå som flertallet av norske arbeidstakere jobber hjemmefra. Med gode prosesser og rutiner, oppmerksomme ansatte, og kontinuerlig trening på svindelforsøk, vil virksomheten stå langt bedre rustet mot forsøk på phishing.

Mange virksomheter har etablert definerte prosesser og tiltak for å sikre styring, kontroll og ivaretakelse av informasjonssikkerheten. Vi erfarer at mange virksomheter har utfordringer med å kommunisere disse prosessene til ansatte og at informasjonssikkerheten i stor grad er avhengig av enkeltpersoners kunnskap og kompetanse. Det er derfor spesielt viktig at ansvar og prosedyrer blir tydelig kommunisert gjennom opplæring, slik at ansatte tar med seg god sikkerhetskultur til hjemmekontoret og informasjonssikkerheten blir ivaretatt.

Ett galt klikk er alt som skal til for å bli kompromittert. Et godt og riktig konfigurert e-post filter slipper i gjennomsnitt gjennom 7-10% av all spam [KnowBe4, 2020], så for å effektivt redusere vellykkede svindelangrep, er man avhengig av en godt trent brannmur, den menneskelige brannmuren. Øvelse gjør mester, og kunnskap er ferskvare, så ansatte trenger kontinuerlig oppfriskning og regelmessige øvelser. Vårt råd for å effektivt redusere vellykkede svindelangrep er å gjøre opplæringen engasjerende, mer leken, og variert.

Våre tre råd for å lykkes med sikkerhetsopplæringen av de ansatte er:

  • Månedlige phishing-øvelser
  • Opplæring og bevisstgjøring basert på resultatene fra øvelsene
  • Ta i bruk gode tekniske verktøy for effektiv, moderne og skreddersydd sikkerhetskulturtrening

Watchcom samarbeider med KnowBe4, en full-automatisert plattform for simulering av phishing, deling av e-læring, og for distribusjon av bl.a. policyer og brukerinstrukser. Virksomheten kan fritt benytte materiell fra det utvidede biblioteket i plattformen, eller egenprodusert.