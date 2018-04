I Tryg har vi ad flere omgange mærket på egen krop, hvor skadeligt et hackerangreb kan være for en virksomhed. Vi har både været udsat for kryptering af data, phishingmails og såkaldte »spearphishing«-angreb. Sidstnævnte vender jeg tilbage til.

Omkring 95 procent af de mails, vi får tilsendt, bliver sorteret væk, fordi de indeholder spam eller ondsindet indhold. Og lige nu ser vi en markant stigning af en nyere type angreb, nemlig spearphishing-angreb, som vi senest blev ramt af fredag den 23. marts i forbindelse med vores regnskabsaflæggelse. Her nåede vi heldigvis at standse et angreb rettet mod ledende medarbejdere, der sad med fortrolige regnskabsinformationer takket været nogle vågne medarbejdere.

Angrebet var specifikt rettet mod to nøglepersoner i vores Invester Relations afdeling og kommunikationscheferne i henholdsvis Danmark og Norge.

Spearphishing er mere sofistikerede angreb end de traditionelle phishingmails. De mere avancerede angreb benytter en strategi, hvor de falske mails er rettet mod bestemte medarbejderne, der ligger inde med væsentlige data af forretningsfølsom karakter.

Hvis de IT-kriminelle for eksempel ved hjælp af det målrettede angreb kan få adgang til ledende personer i virksomheden, kan de i tiden op til offentliggørelsen af et regnskab »aflytte« de ledende medarbejderes kommunikation, og dermed få fingrene i børsfølsom information før et regnskab eller andre vigtige begivenheder. Et andet eksempel kunne være en forskers resultater i en medicinalvirksomhed.

Det kan potentielt være katastrofalt for virksomhedens kurs, hvis den slags oplysninger falder i forkerte hænder.

Det er formentlig de færreste, der er klar over, at de IT-kriminelle holder godt øje med rigtig mange virksomheder. De kriminelles strategi er som regel at udnytte det svageste led til at trænge ind i virksomhedernede – nemlig de ansatte.

Derfor er der al mulig grund til at fokusere på de ansattes bevågenhed over for de kriminelles forsøg. IT-afdelingen gør deres for at sikre virksomheden teknisk og lykkes ofte godt med det. Men forsøgene på at stjæle data sker som oftest via tilsendte e-mails eller i form af telefonopkald, hvor ansatte udsættes for såkaldt »Social Engineering«, hvor svindleren indleder en troværdig samtale og vinder modtageres tillid. Når den er opnået lokker de den ansatte til – uden dennes bevidsthed – at installere såkaldte Remote Access Tools – også kaldet RAT’s. Herefter har angriberen fuld adgang til den ansattes computer og kan i princippet aflæse alle tastetryk der udføres – helt uden den ansatte bemærker det. Og så har vi balladen.

Mit bedste råd er derfor, at man træner sine kolleger og sin organisation i at blive angrebet.

Det gør vi meget ud af i Tryg ved brug af et særligt phishing system, hvor vi bevidst sender vellignende »phishing mails« ud til medarbejderne for på den måde at lære dem at skelne de rigtige fra de falske. Fremadrettet bliver vi også nødt til at holde særligt fokus på nøglepersoner, der ligger inde med sensitive oplysninger og sandsynligvis træne dem særskilt.

Jeg kan derfor kun opfordre alle virksomheder, store som små, til at tage de nye spearphishing-angreb meget alvorligt. Dæm op for dem, så godt I kan – for eksempel med træning i phishing. Passivitet kan være katastrofalt og de kriminelle vil fortsætte med at konstruere de samme typer af angreb, så længe de virker.