Berlingske Business
08:39Netflix fordobler overskud i tredje kvartal

Hvis det ikke var for den menneskelige faktor

billede

Ingen teknologi kan holde hackere ude. Det er et faktum, sikkerhedseksperter i disse år forsøger at få CIOs og CEOs til at indse. Det svage led er den menneskelige faktor.

Virksomhedens teknologiske formåen skal stadig være på omgangshøjde i våbenkapløbet med cyberkriminelle, men det er på medarbejdersiden, der skal sættes ind.
Årsagen hedder ”social engineering,” hvor kriminelle udnytter, at en enkelt menneskelig fejl som regel er nok til at få adgang til et helt netværk. Det er nemt, uden risiko, og hackeren behøver ikke den store tekniske viden. Ifølge Dansk Brand- og Sikringsteknisk Institut, en del af GTS (Godkendte Teknologiske Serviceinstitutter), omfatter cirka 90 procent af samtlige sikkerhedsbrug det menneskelige element.

Internettet med dets mange informationer har gjort disciplinen mere avanceret og dermed sværere at undgå. ”Tidligere handlede Social Engineering meget om det menneskelige møde, men i takt med den samfundsmæssige udvikling har det udviklet sig til en 2.0-version, hvor man forud for mødet benytter sig af informationer fra åbne kilder,” forklarer Dennis Hansen, efterforskningskonsulent hos Dansk Brand- og Sikrings Institut.
Det er således nemt for en angriber at finde informationer som antal ansatte, navne, kontaktdata samt formentlig ansvarsområder.

”Ved hjælp af sociale medier som Facebook, LinkedIn og Twitter kan man kortlægge relationer og bestemme medarbejdernes personlighedstyper. Hvem der er åbne, hvem der er lukkede, hvor længe de har været på arbejdspladsen, er de glade eller utilfredse, hvilke interesser har de, og hvor færdes de. De informationer bruger man til at narre folk til at klikke på links eller indtaste brugernavn og password. Vi deler mere information, den er lettere at få fat på, og dermed lettere at misbruge,” siger Dennis Hansen.

Løsningen for virksomheden er en enkel, men fortløbende proces: Information, uddannelse samt ikke mindst motivation til hele organisationen. Samtidig er det afgørende at tænke proaktivt. ”Vi underviser virksomhedsbrugere i at identificere sociale engineering angreb, inden de når at udgøre en trussel. SVA (Social Vulnerability Assessment) vurderer brugernes udsathed og gennemfører interaktiv awareness-træning,” forklarer Dennis Hansen.
Her er et udvalg af eksempler på social engineering, de fleste organisationer kan komme ud for.

Baiting (bruge madding)
Angriberen udnytter en medarbejders nysgerrighed eller grådighed. Det kan for eksempel være spændende information, som kun er et klik væk. Eller hackeren kan vælge den veletablerede metode med at efterlade en usb-nøgle med det rette firmalogo, for eksempel på virksomheden parkeringsplads. Såkaldte penetrationstest viser en succesrate på over 90 procent.

Phishing
Baiting-teknikken via e-mail, hvor det gælder om at få modtageren til at klikke på et link eller en vedhæftet fil. Med social engineering 2.0 hedder det spear-phishing, hvor angriberen går efter enkeltpersoner med omhyggelige, men falske emails.

Pretexting
Endnu en simpel, men effektiv metode, hvor en hacker udgiver sig for at være fra en anden del af virksomheden, fra en kunde eller samarbejdspartner. En hacker kan således ringe rundt i virksomheden og udgive sig som it-supporter. På et tidspunkt får hackeren fat i en medarbejder, der venter på at høre fra virksomhedens helpdesk. Hackeren kan nu uden at vække mistanke bede om brugernavne, adgangskoder og anden sensitiv information.

Tailgaiting
Her får hackeren adgang til en bygning, og dermed sandsynligvis et netværksstik. Det foregår typisk ved at smutte ind sammen med en autoriseret medarbejder, der kan være en dør på klem, eller virksomheden har placeret netværksstik uden for områder med autoriseret adgang.
Social engineering handler derfor ikke kun om adgang via teknologi, men midlerne er psykologi og menneskelig svaghed. Derfor er løsningen heller ikke teknologisk, men menneskebaseret, gennem ledelse.

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen, investeringsdirektør i Sampension</p>
Sponseret

Aktiemarkederne ligger historisk set forholdsvis højt. Det afspejler, at det går rigtig godt i den underliggende økonomi, forklarer investeringsdirektør.Arbejdsløsheden er rekordlav i både Japan og US...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen