Phishing – forsvar gjennom øvelse

Arbeidsgivere landet over har endret rutiner og arbeidsprosedyrer for å tilpasse seg den nye hverdagen. Det har også de cyberkriminelle. Antall cyberangrep øker dramatisk, og phishing utgjør over 80% av disse. Men hva er phishing, og hvordan bekjemper man det?

like enkelt som å sende en e-post

Det å skrive en e-post er både enkelt og raskt. Det vi kanskje ikke tenker gjennom er at det er like lett å forfalske en e-post, og avsenderadressen til en e-post, slik at det ser ut som om den kommer fra en annen enn den som sender den. Dette kalles for et «phishingangrep», og slike angrep har blitt den vanligste måten for cyberkriminelle å skaffe seg tilgang til informasjon og systemer.

Dagens svindlere bruker automatiserte verktøy for å sende ut falske e-poster til ofrene, og slike «generiske» phishingangrep når ofte flere tusen eller millioner mottagere. Svindlerne kan f.eks. utgi seg for å representere virksomhetens ledelse, en samarbeidspartner, en offentlig myndighet, en bank, politiet, eller andre autoriteter vi vanligvis har høy tillit til.

De cyberkriminelle tilpasser seg

I pressen leser vi om en markant økning i phishingangrep, og i første halvdel av 2020 ble det registrert flere cyberangrep enn for hele 2019 til sammen. Kompleksiteten i angrepene har økt, og cyberkriminelle blir stadig mer sofistikerte. De utnytter usikkerheten og frykten skapt av aktuelle hendelser til egen vinning, som COVID-19 pandemien. Blant annet har vi sett at angrepene konsentreres rundt varsling om videomøter, anmodninger om å laste ned programvare for å delta på møter, informasjon om ulike støtteordninger eller spredning av viruset, og ikke minst henvendelser om mulige vaksiner.

I tillegg spiller trusselaktørene ofte på følelser og forsøker å få ansatte til å handle irrasjonelt og klikke på en link eller respondere på en henvendelse som gir preg av alvor, hastverk, eller som appellerer til samvittigheten eller ansvarsfølelsen til mottakerne.

Alle bransjer er utsatt

Finansnæringen er kanskje den bransjen vi oftest forbinder med svindelforsøk og phishingangrep, f.eks. den omfattende «Norfund-svindelen». DNBs egne rapporter peker også på en økning på 32% av denne typen svindelsaker [2019]. Tapene er omfattende, ikke bare økonomisk men også tap av omdømme, og markedsposisjon.

Tidligere i år pekte også Kai Roer og CLTRe på at utdannings- og transportsektorene er dårligst på sikkerhetskultur, en vesentlig faktor i arbeidet for å bekjempe cyberangrep. 

Dessverre er faktum at alle deler av næringslivet er utsatt for cyberangrep, uavhengig av bransje og størrelse. Spesielt når avstanden mellom de ansatte og virksomheten øker grunnet hjemmekontor, og muligheten for å kontrollere og følge opp den enkelte reduseres.

Trening og opplæring reduserer risikoen

I NorSIS-undersøkelsen «Nordmenn og digital sikkerhetskultur 2020» oppgir 70% av deltakerne at de ikke har fått organisert opplæring i digital sikkerhet de to siste årene. Dette gjenspeiles i at 91% av alle vellykkede cyberangrep starter med et målrettet phishingangrep forkledd som genuine e-poster. Opplæring og trening av ansatte kan være en effektiv måte å redusere risiko for slike cyberangrep.

Med kun 90 dagers trening halveres sannsynligheten for at ansatte klikker på skadelige linker eller åpner feil vedlegg. Øvelse i kontrollerte miljø styrker også virksomhetens sikkerhetskultur og er med på å redusere ansattes barrierer for å rapportere om feil og angrep. En sterkt forankret og utøvd sikkerhetskultur bidrar pro-aktivt til økt sikkerhet. Dette har vi svært god erfaring med på tvers av bransjer og virksomheter.

Målrettet trening, opplæring og evaluering av ansatte er en kostnadseffektiv, helårlig, aktivitet som krever minimalt med ressurser. Gjennom gode plattformer for phishingøvelser vil virksomheten ha full kontroll over opplæringen, automatisere tester og følge opp ansatte basert på resultatene. Planlegging, gjennomføring, og rapportering av sikkerhetstiltak forenkles og arbeidet med informasjonssikkerheten blir mer strukturert. For benchmarking kan også virksomheten sammenlikne egne resultater mot bedrifter av samme størrelse og bransje over tid – et viktig verktøy for kontinuerlig justering av sikkerhetstiltakene.

Øvelsene gir unik innsikt i selskapets sikkerhetsarbeid, og de ansvarlige kan enkelt identifisere risikoområder som trenger ytterligere tiltak. Med denne pro-aktive tilnærmingen til sikkerhetskultur reduseres risikoen for at ansatte blir utnyttet i et phishingangrep.

Våre tre råd for å bekjempe phishingangrep er:

  • Jevnlige phishingøvelser i kontrollerte miljø
  • Opplæring og bevisstgjøring av ansatte
  • Gode tekniske verktøy for effektiv, moderne og skreddersydd sikkerhetskulturtrening

Watchcom leverer rådgivningstjenester knyttet til risikoredusering og bekjempelse av phishingangrep. Vi samarbeider også med en av verdens ledende plattformleverandører for phishingøvelser; KnowBe4. KnowBe4 er en plattform for simulering av phishing, deling av e-læring (quiz, spill, video) og for distribusjon av f.eks. virksomhetens retningslinjer og instruksjoner. KnowBe4 har brukervennlige dashboards for sanntidsrapportering, verktøy for å kontrollere fremdrift og måle effekten av aktiviteter.

Klikk her for gratis phishingtest og mer informasjon om KnowBe4.