Det vækker forståeligt opmærksomhed, når cyberkriminelle de seneste måneder har fået Forsvarsministeriets, Finansministeriets og Nationalbankens hjemmesider til at gå ned.
Ofte er der tale om ufarlige, men voldsomt generende overbelastningsangreb fra opmærksomhedshungrende og ofte politisk motiverede hackergrupper – senest har pro-russiske Killnet hævdet at stå bag cyberangrebet mod Nationalbanken.
Ifølge den seneste Cybercrime Survey fra revisionsselskabet PricewaterhouseCoopers (PwC) har halvdelen af de danske virksomheder været udsat for forsøg på cyberkriminalitet.
Men det er langt fra nok med stærke firewalls og spamfiltre. Hackere går oftest efter virksomheders svageste led – dig som medarbejder.
Hvilke hændelser har din virksomhed oplevet de seneste 12 måneder som resultat af cyberkriminalitet eller informationssikkerhedshændelser:
| Phisingangreb | 76% |
| Hændelser forårsaget af leverandørfejl | 34% |
| Utilsigtet deling af personoplysninger eller anden følsom information | 33% |
| Malware (vira, orme etc.) | 32% |
| Finansiel svindel rettet mod din virksomhed | 25% |
| Social engineering | 25% |
| Uautoriseret adgang til/brug af information, systemer eller netværk | 17% |
| DoS-angreb rettet mod netop din virksomhed | 17% |
| Uautoriseret fysisk adgang | 8% |
| Afpresning, fx hackere, der kræver penge | 7% |
| Identitetstyveri | 4% |
| Andet | 3% |
| Ved ikke | 1% |
Kilde: PwCs Cybercrime rapport 2022
Én sikkerhedsbrist er nok
Den mest almindelige angrebsform er såkaldt phishing. Her forsøger hackeren med fupmails eller sms'er at få fingre i koder, data eller penge ved at udgive sig for at være en person, som modtageren har tillid til – en kollega, en virksomhed eller en myndighedsperson.
Afsenderen beder dig måske om at betale en regning – gerne lidt hurtigt for at undgå konsekvenser – eller forsøger at friste dig til at trykke på et link for at downloade en fil.
Udbredte tegn på phishing er, at mailadressen ser mystisk ud eller mailindholdet afviger fra afsenders normale adfærd og måde at formulere sig på.
Derfor er det vigtigt, at ansatte forholder sig kritisk til de mails og sms'er, de modtager. Men det er langt fra tilfældet, viser ny Norstat-undersøgelse lavet for fagforeningen Business Danmark blandt 1.220 danskere.
Under halvdelen (47%) tjekker konsekvent om afsenderadressen tyder på phishing. Resten gør det sporadisk eller slet ikke, og det gør danske virksomheder sårbare, påpeger Martin Kildgaard Nielsen, CEO i Business Danmark.
Det er overraskende høje tal set i lyset af, hvor meget skade hackere kan forårsage, og der bare skal én sikkerhedsbrist til. Sikkerhed kan ikke overlades til it-afdelingen alene. Det er afsindig vigtigt, at den enkelte medarbejder også tager ansvar og tjekker afsenderen på e-mails og i øvrigt låser computeren, når de forlader kontoret, hvis der er folk i huset udefra, advarer han.
Problematisk it-adfærd
- 53% tjekker ikke systematisk om indkomne mails kan være forsøg på phishing
- 22% bruger eget navn eller på sine nærmeste i deres password
- 22% bruger samme password på jobb og privat
- 20% skifter aldrig password på arbejdscomputeren
Kilde: Norstat-undersøgelse for Business Danmark
Hver tredje medarbejder forsøgt hacket
Undersøgelsen viser også, at mere end hver tredje medarbejder (35%) på et tidspunkt har været udsat for et hackerangreb – som kan få uoverskuelige konsekvenser for virksomheden. Løbende træning af alle medarbejdere i at spotte og undgå hackerangreb er derfor et vigtigt ledelsesredskab, forklarer Martin Kildgaard Nielsen.
Teknologien er i konstant udvikling, og det samme er kompetencerne blandt it-kriminelle. Vi er og vil altid være et skridt bagud. Firewalls og spamfiltre fanger heldigvis det meste, men det forhindrer ikke hackerne i at snige sig ind ved at snyde virksomhedernes medarbejdere. Men med små tiltag kan virksomheder minimere risikoen for cyberangreb betydeligt.
Og han understreger vigtigheden af, at virksomheder løbende italesætter emnet - og ikke mindst laver adfærdstræning.
Det er vigtigt, at it-sikkerheden altid er på agendaen i virksomheden og de ansatte løbende holdes ajour med, hvordan de holder it-kriminelle fra døren. GDPR-reglerne, og konsekvenserne af at bryde dem, har helt sikkert fået mange til at steppe op og udvise rettidig omhu – herunder at orientere medarbejderne om vigtigheden af it-sikkerhed og indføre såkaldt it-awareness-træning, hvor medarbejderne trænes i ikke at falde for de mest udbredte hacker-tricks, fortæller han.
Kommer du i et uopmærksomt øjeblik til at åbne døren for en hacker, vil du typisk få at vide, at du skal være mere påpasselig en anden gang. I gentagne tilfælde kan det udløse en påtale, en advarsel eller i groft uforsvarlige tilfælde en fyring eller et erstatningsansvar.
Michael Krag-Svendsen – LinkedIn
