Hr måltavla för cyberattacker


2019-10-07 - TEMA. Hr-data kan vara en guldgruva för nätbedragare. 22 miljoner kostar ett angrepp i snitt. Men det finns svenska exempel i 100-miljonersklassen.

I mitten av augusti uppdagades ett misstänkt intrång i it-systemet Primula från Evry, ett system som hanterar löner för 45 000 statsanställda på över 40 myndigheter. Det misstänkta intrånget kan ha lett till att uppgifter om skyddade personer har läckt. Namn, personnummer, adresser och uppgifter om sjukfrånvaro kan ha hamnat i fel händer, rapporterar Dagens Nyheter.


Jan Olsson vid polisens nationella it-brottscentrum

I en artikel från den brittiska hr-tidningen People Management, som publicerades någon månad före det misstänkta intrånget i Primula, beskrivs cyberattacker som ett växande hot mot hr- och lönefunktioner. ­Anledningen är att hr- och lönefunktionerna ­sitter på mängder av värdefulla data. Namn, ­personnummer och bankuppgifter är hårdvaluta för den som har mörka motiv. Det är inte bara individer som kan råka illa ut om uppgifterna läcker – uppgifterna kan också användas för att utpressa verksamheten.

– Information är guld. Det har ett större värde för en bandit än hela världens oljereserv. Bara fantasin sätter gränser för hur de kan använda informationen för att tjäna ännu mer pengar. Det säger Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på Nationella operativa avdelningen vid polisens nationella it-brottscentrum.

Även om det egna systemet är säkert så finns det svagheter, till exempel när löner ska föras över från lönesystemet till banken. Ett exempel på ett bedrägeriförsök riktat mot hr- eller lönefunktionen kan vara att en medarbetare hör av sig och vill ha nästa lön till ett nytt konto. Det finns också fall där information om anställda används i utpressningssyfte. I mer avancerade fall kan telefon och e-posttrafik kapas så att bedragare får reda på information som bara berör ett par personer, för att på så vis utnyttja detta.

– Man tänker att det här kan ju bara jag och min chef ­veta och därför ifrågasätter man inte en begäran om en ­utlandstransaktion, säger Jan Olsson.


Fredrik Wallin, tf kommunikationschef på FRA

Hur stor omfattningen av cyberattacker och bedrägeriförsök riktade mot hr är i Sverige är svårt att svara på. Jan Olsson menar att mörkertalet är stort. Varken arbetsgivare eller systemleverantörer vill stoltsera med läckor eller att de blivit bedragna, och därför sker ofta uppgörelser ­inom organisationen. Han känner själv till fall där arbetsgivare förlorat belopp i hundramiljonersklassen. Enligt en färsk rapport från IBM och Ponemon Institute kostar ett intrång i snitt 22 miljoner kronor för ett svenskt företag,

Under den senaste tioårsperioden (fram till 2014) har de anmälda bedrägeribrotten ökat med 157 procent. Det framgår av rapporten Nationell lägesbild – Bedrägerier från Nationellt bedrägericentrum från 2014. Enligt rapporten ­beror den lavinartade ökningen till stor del på att internetanvändningen ökar, vilket leder till att allt fler ­typer av ­bedrägerier kan begås mot ett stort antal personer samtidigt. Detta märks inte minst av att det är antalet anmälningar om datorbedrägeri och bedrägerier med hjälp av internet som ökar mest. På en övergripande nivå kan man tala om en tendens till att brottsligheten i stort går från stöldbrott till bedrägeribrott och att bedrägerier därför utgör en ny typ av vardagsbrottslighet.

Just företeelsen som går under klassificeringen business e-mail compromise, enligt FBI, det vill säga att man skickar mejl som ser ut att komma från en betrodd part men som i själva verket kommer från kriminella, den förekommer i hundratal i Sverige, enligt Jan Olsson. Så kallade vd-­bedrägerier – att högsta chefen ser ut att ha bett om en transaktion – är ett problem som dykt upp alltmer på sistone. 2015 hade den svenska polisen ett fåtal ärenden – i dag har de enligt Jan Olsson ökat lavinartat till några hundra.

Att svenska företags hr-data är intressant för obehöriga bekräftas av Fredrik Wallin, tillförordnad kommunikationschef på FRA. Han vill inte säga någonting om enskilda system eller organisationer, men bekräftar att svenska organisationer fortlöpande utsätts för angrepp från främmande makt.

– Det här är ingen teoretisk risk utan något vi ser i vår signalspaning. Det förekommer fortlöpande angrepp från främmande makt, ibland i industrispionagesyfte, ibland för att komma åt myndigheter och försvar. Många av löne- och hr-systemen innehåller information som kan vara av intresse för främmande makt, säger Fredrik Wallin.

Ett sätt att förebygga bedrägeriförsök är att införa en ­verifiering, till exempel genom bank-id eller genom att uppge personlig information för att dubbelkolla identiteten. Men det finns fortfarande glapp, menar Jan Olsson. Han anser att problemet inte tas på tillräckligt stort allvar och konsekvenserna blir att människor och verksamheter skadas.

– Företagen förlorar oerhört mycket pengar. Alla klarar inte en sådan smäll.

Det här är baksidan av den ökande digitaliseringen, och motgiftet finns många gånger i människors beteenden. Jan Olsson poängterar vikten av att jobba platt, det vill ­säga: chansen att upptäcka bedrägeriförsök är större om medarbetare vågar ifrågasätta information som ser ut att komma från högre chefer.

– Hierarkier gör det svårare. Man måste göra det till en självklarhet att man kan fråga sig om det som kommer från chefen eller vd:n är på riktigt och att inte bara göra det som chefen säger.

I hr- och lönesystemen behöver det finnas flaggningar som varnar om någonting misstänkt händer. Dessutom ­behöver det upprättas säkerhetsrutiner som följs – och här har hr en viktig roll, eftersom det handlar om att bygga en stark säkerhetskultur.

– Företagen borde vara på tå för att öka säkerheten ännu mer, även om det betyder att systemen blir krångligare, med två eller, ännu hellre, tre faktorautentiseringar, säger Jan Olsson.

Att stresstesta system – både de mänskliga och de digitala – är vanliga sätt att försöka bygga säkerhet. I så kallade penetrationstest går en extern part in och letar efter svagheter i systemen. Görs det på rätt sätt kan det bidra till att personalen får upp ögonen för möjliga hot, men det kan också upplevas negativt om medarbetaren känner sig testad.

– Underlaget ska inte användas till att hänga ut enskilda som går på mejlet, men man kan prata om att informationen kunde tas för sann, säger Jan Olsson.

JENNIE JENSEN

Läs också:

Håll koll på riskerna med molnlösningen

"Var hälsossamt paranoida"

Hr:s ansvar. Utbilda medarbetarna i säkerhet

Hr behöver lära mer om it-säkerhet


JUST NU PÅ FÖRSTA SIDAN