Den blåøyde nordmann – et lett mål for hackerne?
Den norske sommeren er i plutselig anmarsj, og sene sommerkvelder, saltvannshår og reker på brygga er rett rundt hjørnet. Som vanlig har solstråler og varmegrader en magisk påvirkning på oss nordmenn, og vi senker skuldrene cirka helt fullstendig. Faktisk blir vi så avslappet at vi ikke «gidder» å låse døren hvis vi skal en kjapp tur på butikken og den der ‘jeg legger bare mobilen under sekken mens jeg bader’-tankegangen blir også mer fremtredende. Det kan virker som om sola lokker frem det mest blåøyde i vår tillitskultur. For vi har en dypt forankret tillitskultur her i Norge, og det er bra, for ingen har godt av for mye kynisme. Dessverre kan dette også bli utnyttet på det groveste, og her har det O’ store internett mye av skylden. For i takt med økt fokus på cybersikkerhet de siste årene, har også hackerne blitt smartere – mye smartere. Og når skadelig programvare kan følge med en epost som ser ut til å komme fra sjefen din, hvem kan du stole på da?
Autoritet trumfer årvåkenhet
Vi leser stadig at vi skal dele mindre av vår tillitt til andre på nett. Mange er flinke og tar forholdsregler som å passe på hvilke vedlegg de åpner, nettsider de går inn på eller applikasjoner de tar i bruk. Men fler må bli flinkere. Hackere bruker nemlig sosial manipulering for å lure ansatte. Vi mennesker er skrudd sammen slik at vi vil tilfredsstille de over oss i verdikjeden. Derfor har vi mye lettere for å være mindre mistenksomme og akseptere eposter fra folk vi kjenner til – ikke minst hvis de er over oss i hierarkiet. Ta for eksempel en finansmedarbeider som får beskjed om at noe haster og får en mail fra administrerende direktør som sier at det må utbetales en viss sum til et kontonummer. Det er mye lettere å gjøre dette ukritisk hvis beskjeden kommer fra «høyt oppe», og dette vet hackerne.
Nå er det mange selskaper som foretar stikkprøver hos sine ansatte, der de sender ut «falske» eposter for å sjekke om noen klikker på dem. De ansatte blir så katoegorisert etter hvor ofte de lar seg lure, og de som til stadighet faller for fristelsen, vil også testes oftere. Dette er en god måte å kartlegge hvor det generelle sikkerhets-nivået i bedriften ligger.
«Jeg er jo ikke av verdi for noen hacker»
Jo, du er faktisk det.
Det har blitt veldig vanlig å benytte seg av private verktøy på jobben. Vi bruker telefonen til å ta bilder av en viktig slide på et møte, og datamaskinen drar vi med oss hvor som helst, og logger på nett der det finnes. Og selv om en hacker ikke vil ha tak i akkurat dine bilder, eller dine eposter, kan han bruke dine enheter som et springbrett til serverne på din arbeidsplass. Man kommer langt med god passordhygiene, men det er veldig mye annet som må på plass for å beskytte seg: 2-faktor autentisering (i stedet for bare passord), styring av hvilke tilganger (applikasjoner og data) ansatte skal ha når de er utenfor bedriftsnettet, kryptering av data på enheter og in-transit, og segmentering mellom brukere og servere.
Lær deg å være mer kritisk
Det blir mer og mer vanskelig å se forskjell på ekte og falske eposter. Og det er ikke så rart, når hackerne bruker mye tid på å skreddersy emailen så akkurat du skal åpne den. Ett enkelt grep man selv kan ta er å være litt mer kritisk til e-postens utseende, innhold og avsender. På den måten vil man lettere klare å skille ut de «falske» fra de «ekte» meldingene. I tillegg har Nasjonal Sikkerhetsmyndighet (NSM) også publisert fire effektive tiltak mot dataangrep, som man bør benytte seg av for å beskytte seg mot internett-relaterte dataangrep. De ser at virksomheter enkelt kan stanse opp mot 90 prosent av de vanligste cyberangrepene (e-post, nettside, USB) ved å 1) oppgradere program- og maskinvaren, 2) installere sikkerhetsoppdateringer så fort som mulig, 3) ikke tildele administrator-rettigheter til sluttbrukere, og 4) blokkere kjøring av ikke-autoriserte programmer.
Det er snart sommer, og i år igjen bør vi kunne løpe fra verdisaker for å ta oss en dukkert eller stikke til butikken uten å barrikadere alle vinduer og dører. På internett, derimot, kan vi godt bli litt mer kritiske. For kyniske trenger vi ikke bli, men den blåøyde nordmann kan ha i bakhodet at: Hvis det kommer en email som er for god til å være sann, så er den som regel det.