”Var hälsosamt paranoida”


2019-10-07 - TEMA. Cybersäkerhet är en kulturfråga och hr behöver bli mer medvetna om riskerna. Dessutom måste organisationer inse att deras anställda är både den största tillgången och det största hotet mot företagets säkerhet. Det menar Hanna Ljung och Mats Hultgren på it-säkerhetsföretaget Truesec.

Dagens angrepp mot företag är mer ­sofistikerade än så kallade Nigeriabrev. Skapa förståelse för hur hotbilden ser ut, tydliggör ansvar och bygg en stark säkerhetskultur, råder Mats Hultgren och Hanna Ljung på it-företaget Truesec. Foto: Jennie Jensen

Hur lätt är det att ta sig in – bokstavligen eller digitalt – hos er? Hanna Ljung och Mats Hultgren vet. Deras företag genomför ofta så kallade penetrationstester där man digitalt eller fysiskt och med hjälp av social ingenjörskonst tar sig in på företag i syfte att stresstesta säkerheten. Tyvärr är det ofta enklare än man kan tro. För trots alla insatser för att hålla oönskade personer ute, går det ofta lätt att använda människors godtrogenhet och naivitet för att ta sig förbi hindren.

Ett vanligt tillvägagångssätt är att angripa företaget ­genom e-postsystemen.

– Angriparna lär sig er terminologi och sedan utnyttjar de det faktum att du som mottagare av mejlet inte tycker dig ha anledning att ifrågasätta informationen. Det är ju din CFO eller vd som skickat. Så den här fakturan måste väl stämma. Vad man bör göra om man blir det minsta misstänksam är att ringa upp avsändaren och stämma av, säger Hanna Ljung.

Ett ännu mer skrämmande – och dyrt – exempel är så kallad ransom ware, menar Mats Hultgren.

– Vi hade under en period en våg av ransom ware-­angrepp som träffade både privatpersoner och företag brett. Sedan en tid tillbaka så har detta ändrats en del och fokus verkar nu ligga på specifika bolag eller institutioner.

I USA pågår just nu en våg som inriktar sig primärt på kommuner och skolor där utslagna system får en stor ­påverkan på samhället, berättar Mats Hultgren. På företagssidan ses en tydlig trend kring affärsaspekten på ­cyberbrottslighet.

– Detta är en affär som trenden pekar på att den vid 2021 kommer gå om världens sammanlagda omsättning på drog­relaterad brottslighet. Angriparna anpassar sina ­lösensummor efter värdet på bolaget och tidpunkten för angreppet. Det hela är väldigt professionellt utformat och utfört. Man ser till att backuper förstörs och att det inte går att få tillbaka utan lösen. Att det gör så ont så att man måste agera.

Det händer att angriparna tajmar detta väl med till exempel en due diligence eller vid ett bokslut, då man vet att ­företagen kommer vara extra villiga att betala för att få tillbaka sina data eller inte göra angreppet allmänt känt.

Människor är organisationers största akilleshäl när det kommer till säkerhet, menar Hanna Ljung och Mats Hultgren till. Trots det är det förvånande ofta, menar de, som just hr-chefer ställer sig frågande till varför de ska vara med på ett möte om it-säkerhet.

– Det är en kulturfråga. Vi måste alla förstå att vi arbetar för företagets bästa. Vad lilla jag gör spelar roll. Se bara på flygplatser och i kollektivtrafiken. Hur många gånger ser du inte någon sitta med företagsinformation fullt synlig? En vanligt förekommande observation är när personer åker tunnelbana med sin inpasseringsbricka. Det är så ­enkelt att fota av den eller digitalt kopiera den om man vill, säger Mats Hultgren.

Huruvida hotet mot just hr har förändrats över tid är svårt att säga, men Mats Hultgren och Hanna Ljung ser en stadig ström av angrepp mot företag.

– Det vi ser är inte en ökning eller minskning, det har ­varit ganska mycket i ganska många år. Det som har förändrats är anmälningsplikten i och med gdpr. Du har ­anmälningsplikt så fort det är personuppgifter inblandat. Det är värt att betänka att nästan all data i dag innehåller personuppgifter, säger Mats Hultgren.

Hr blir sårbart därför att det är den funktion som har all den information som krävs för att kartlägga personalen.

– Vilka är det som sitter på uppgifter om CFO eller vd? Jo, hr, säger Hanna Ljung.

Men i dag ska ju alla vara så transparenta och tillitsfulla – blir inte det en krock mot det säkerhetstänkande som ni verkar vilja se?

Jo, medger de båda. Hanna Ljung ger några konkreta ­exempel.

– Linkedin, här godkänner vi kontaktförfrågningar med ett klick och inte alltid med vidare betänkligheter. I platsannonser skriver vi ut precis vilka system vi använder och inte. Det är precis sådan information som en angripare drar nytta av.

Så hur kan man skydda sig då? Grundläggande ordning och reda i information och it-miljö kommer man långt med, tillsammans med en gedigen kravställning mot leverantörer och den egna organisationen. Detta ska formuleras i leverantörsavtal, interna styrdokument och sekretessförbindelser.

– Då står man ganska väl förberedd faktiskt, säger Mats Hultgren.

En sak som Hanna Ljung och Mats Hultgren förvånas över är att många svenska företag förvisso har policys på plats, men när det väl kommer till kritan och en anställd bryter mot sekretess exempelvis, då händer sällan någonting alls.

– Det saknas disciplinära konsekvenser. Det är ett problem. Se till att konsekvenser för vad som sker vid över-­trädelser blir tydliga och faktiskt efterlevs, säger Mats Hultgren.

Deras råd är att se till att utbilda och informera personalen så att varje medarbetare vet vilket ansvar hen har och kan gå vidare vid osäkerhet.

Hr-system utgör en annan säkerhetsrisk.

– Hr vill gärna ha molnbaserade system för att det är det alla säljer i dag. Sedan lägger vi ut all denna känsliga information i tjänster som företaget inte har någon direkt kontroll över utom genom avtal och litar blint på leverantörerna. Men vi bör vara hälsosamt paranoida på det området. Det finns en hotbild mot alla företag i dag, säger Mats Hultgren.

JENNIE JENSEN

Läs också:

Hr är måltavla för cyberattacker

Håll koll på riskerna med molnlösningen

Hr:s ansvar. Utbilda medarbetarna i säkerhet

Hr behöver lära mer om it-säkerhet


JUST NU PÅ FÖRSTA SIDAN