Åpenhet om cybertrusler virker

I forsikringsselskapet Skuld jobber alle ansatte aktivt med forebygging av cyberangrep, gjennom bevisstgjøring, gode rutiner og regelmessig testing av organisasjonen. Dette inkluderer styret og ledelsen. Bevisstgjøring om trusler og egen rolle i bekjempelsen av disse, kombinert med eierskap fra toppen og gode rutiner har bidratt til en solid sikkerhetskultur i forsikringsselskapet. I en hektisk hverdag kan det være krevende å forholde seg til sikkerhet og rutiner, men for Skuld er det en selvfølge.

Med ansatte på hjemmekontor øker risikoen for cyberangrep, og truslene har ikke blitt mindre med tiden. Og Skuld har vært utsatt for sikkerhetshendelser, hvor ansatte har blitt forsøkt svindlet, av internasjonale trusselaktører. Det er ved slike hendelser at resultatene av Skulds systematiske arbeid med egen sikkerhetskultur blir tydelige.

Vi ser en mye større bevissthet blant våre ansatte bl.a. når de mottar mistenkelig e-post. Ansatte i Skuld rapporterer i mye større grad om spam, phishing og annen mistenkelig aktivitet, sier David Skog, Assistant Vice President, IT Operations i Skuld.

Trusselbildet til forsikringsselskapet er ganske likt andre finansforetak, og gjengangere er phishing og direktørbedrageri. Norske virksomheter utsettes daglig for stadig mer sofistikerte og smarte angrep, spesielt via e-postkontoene til ansatte. Skuld har selv konkrete eksempler på mer sofistikerte bedrageriforsøk, men disse har blitt avdekket på et tidlig stadium.

En viktig del av sikkerhetsarbeidet er at vi har aktiviteter for alle ansatte gjennom hele året og at dette er forankret i toppledelsen og styret. Vi gjør alt fra phishing øvelser, e-læring, webinar eller live hacker demo med ansatte i Skuld, med mer, sier Skog.

I forbindelse med en cargo claim sak fra et anerkjent forsikringsselskap, ble Skuld forsøkt utsatt for et bedrageriforsøk hvor hackere sendte e-post og utga seg å være representanter fra forsikringsselskapet, og ba om utbetaling til en annen bankkonto enn normalt.

Hackerne benyttet seg av en forfalsket e-postadresse som var tilnærmet identisk til maildomenet fra det reelle forsikringsselskapet (byttet ut punktum med bindestrek i domenenavnet). Utbetaling ble derimot ikke fullført, takket være gode interne rutiner og ikke minst dyktige og bevisste ansatte som avslørte bedrageriforsøket.

Vi opplever langt større åpenhet om trusler og angrep enn for kort tid siden. Tidligere ønsket bedrifter å skjule at de var angrepet, fordi det ville være å innrømme at sikkerheten i bedriften ikke er god nok. Nå har dette snudd.

Vi opplever at flere bedrifter ønsker å dele erfaringer og snakke om opplevde trusler, fordi det bedrer alles sikkerhet. I dag leser ansatte hyppigere om cyberangrep og diskuterer det på tvers av bransjer og sektorer. Denne åpenheten gjør det lettere å skape en felles forståelse av at alle har et ansvar for å ivareta bedriftens sikkerhet – også på hjemmekontor, sier adm.dir. Anette Roll Richardsen i Watchcom.

Skuld har, i samarbeid med Watchcom, jobbet systematisk med et «kulturprogram» målrettet for å styrke virksomhetens cybersikkerhet. Et årshjul bestående av relevant innhold og aktiviteter fungerer som styrende for arbeidet, og sammen har virksomhetene økt bevisstheten rundt egen rolle og ansvar blant ansatte.

Koronapandemien har bidratt til at Skuld måtte endre aktiviteter og fokusere mer på digital læring og gjennomføring, men så langt har virksomheten bare positiv erfaring med dette.

Via verktøy og rådgivere har en f.eks. kontrollert kunne sende ut «falske» phishing-eposter og testet hvordan ansatte reagerer på svindelforsøk. Deretter kan en, i fellesskap, se på resultatene, dele erfaringer, og drøfte hvordan en blir enda bedre og jobber enda mer pro-aktivt med sikkerheten i virksomheten.

Koronapandemien har ført til en spissing av trusselbildet. Det har blitt mer sofistikert og trusselaktørene mer. aggressive. Norske virksomheter er stadig under angrep, og myndigheter, markedet, og kundene stilles stadig strengere krav til sikringen av data og infrastruktur. Det forplikter virksomhetene til å ha en god sikkerhetskultur, som igjen krever at alle ansatte er med. Dette, kombinert med åpenheten om trusler, angrep, og tiltak, bidrar til styrket informasjonssikkerhet på tvers av samfunnet.

Computerworld skriver også om saken, publisert 26.11.2020. LES MER HER.