Alle kan la seg lure. Det må du ta høyde for når du sikrer bedriften
– Det handler om å gjøre det så vanskelig som mulig for angriperne å komme seg inn i bedriftens systemer.
– Selv jeg, som jobber med sikkerhet, kunne gått i denne fella.
Det sier Kjell Kjebekk, Head of Security Portfolio & Market i Telenor.
Når han forteller om hvordan trusselaktører kan gå frem, høres det ikke utenkelig ut at man selv også kunne gått rett på limpinnen:
– Se for deg en løpende e-posttråd mellom deg og en du jobber tett med, for eksempel en underleverandør. I et av svarene ligger et vedlegg, som virker relevant for samtalen. Da er det jo ikke utenkelig at man åpner dette, spør Kjebekk.
– Spesielt sannsynlig blir dette når verken innholdet i e-posten eller navnet på vedlegget tilsier at varsellampene bør blinke.
Mer målrettede angrep
Tenker du at dette scenarioet er urealistisk, må du tro om igjen. Nettopp denne phishing-taktikken har vært en yndet fremgangsmåte for trusselaktører når de har skaffet seg tilgang til IT-systemene i flere store angrep mot norske bedrifter og kommuner de siste årene.
– Her har de skaffet seg full tilgang til avsenders e-postkonto, eller til og med en virksomhets IT-system, og over lengre tid studert det de finner der.
Denne uautoriserte tilgangen kan brukes til å for eksempel utføre spionasje eller installere ransomware – eller selges videre til andre kriminelle grupper.
– Men tilgangen og kunnskapen kan også brukes for å skaffe seg tilgang til andre virksomheter – som kan være det egentlige målet, sier Kjebekk.
Ønsker du å vite mer om hvordan du kan få hjelp til å sikre din bedrift?
– Husk: Vi er bare mennesker, og alle kan la seg lure. Men da gjelder det også å ta høyde for dette når du bygger opp sikkerheten i virksomheten din.
Han peker på utfordringene som følger av at trusselaktørene jobber stadig mer målrettet, med svært personifiserte angrep:
– Ikke bare er språket de bruker i slike e-poster godt, men terminologi og måter å skrive på kan være studert og kopiert fra tidligere utvekslinger mellom de to mottakerne. Hvordan snakker for eksempel sjefen til kollegaen på regnskap? For de kriminelle handler alt om å surfe på tilliten som allerede eksisterer mellom de to mottakerne, slik at terskelen for å trykke på vedlegg blir så lav som mulig, sier Kjebekk.
– Husk: Vi er bare mennesker, og alle kan la seg lure. Men da gjelder det også å ta høyde for dette når du bygger opp sikkerheten i virksomheten din.
Først av alt: Øk bevisstheten!
Hva kan så bedriften gjøre for å heve denne terskelen, slik at det blir vanskeligere for trusselaktører å utsette dine ansatte for utspekulerte angrepsforsøk?
– Generelt handler det om å øke bevisstheten. Mange tror at phishing kommer fra helt tilfeldige avsendere. De fleste er kjent med at de blir truffet av masseutsendelser, og er kanskje oppmerksomme på dårlig språk eller generelle spam-henvendelser, sier Kjebekk.
Men når angrepene blir mer og mer personifiserte, er bare det å vite at dette kan forekomme viktig, påpeker han:
– Det gjør det litt enklere å koble på magefølelsen, og stille seg spørsmålet: Er dette vanlig? Hvis en e-posthenvendelse ber om sensitiv informasjon som skal ut av huset eller etterspør en overføring av penger, kan det være fint å bekrefte med avsenderen om dette faktisk stemmer. Det bør skje via en annen kanal enn e-post, for eksempel SMS eller lignende.
– Du tenker kanskje at «jeg er ikke viktig» i et selskap. Men kanskje kan din rolle som en god og trygg samarbeidspartner gjøre deg nettopp til en viktig brikke inn til det egentlig målet, minner Kjebekk om.
Samtidig som enkelte angrep blir mer målrettede, ser han også at de masseutsendte angrepene dessverre fortsatt også fungerer bra.
– Altfor mange klikker fortsatt ukritisk på lenker de får på SMS eller e-post, eller tillater kjøring av makroer i ukjente Office-dokumenter – som nå seiler opp som en av de viktigste angrepsvektorene.
Tryggere med lagvis sikkerhet
Når selv de med høy bevissthet rundt sikkerhet kan komme til kort i møte med de stadig mer avanserte angrepsverktøy og -metoder, må det derfor sterkere lut til når bedriften skal forsvares.
– Noen virksomheter vil kunne kjenne på behovet for døgnkontinuerlig sikkerhetsovervåking av sine systemer. Men uansett størrelse på bedriften, gjelder det å ha en helhetlig tilnærming til sikkerhet – med flere forskjellige sikkerhetssystemer som spiller på lag, sier Kjebekk.
På den måten reduserer man mengden potensielle sikkerhetshull som de kriminelle kan smette inn gjennom:
– Den lagvise tilnærmingen Telenor har til sikkerhet handler om å gjøre det så vanskelig som mulig for angriperne å komme seg inn i bedriftens systemer. I tilfellet med phishing-angrep handler det om å skåne de ansatte fra så mange svindelforsøk som mulig, sier Kjebekk og fortsetter:
– Det vil likevel aldri være mulig å stoppe 100% av alle phishing-framstøt. Men det er heldigvis mulig å stoppe det aller meste ved dørstokken, med et effektivt filter på bedriftens e-postløsning.
Mange selskaper har i dag Office 365 på plass, noe som stopper mye uønsket e-post. Med tjenesten Sikker E-post fra Telenor kan dette sikkerhetslaget styrkes ytterligere, ettersom tjenesten stanser opp til 90% av uønskede e-poster før de i det hele tatt mottas.
– De aller fleste phishing-forsøk starter med en e-post. Med denne tjenesten på plass etableres den første og viktigste barrieren for å hindre at uvedkommende får tilgang til din informasjon eller dine systemer.
Svindelforsøk har i en årrekke også kommet via telefonanrop – og i stadig større omfang nå også via mobilen og SMS-meldinger. Målet er uansett det samme: å stjele sensitive opplysninger eller å skaffe seg tilgang til dine systemer.
– Bare de siste månedene er tusenvis av nordmenn blitt rammet av Android-viruset Flubot. Her blir folk lurt til å trykke på en lenke, for eksempel om en «pakke til utlevering» – eller noe annet tilsynelatende trivielt og normalt som at du har en telefonsvarerbeskjed på mobilen, forklarer Kjebekk.
Deretter blir brukerne lurt til å installere en ondsinnet programvare på sin Android-mobil, som kan sniffe informasjon offeret mottar og sender fra seg. Til slutt sender viruset ut tusenvis av SMS-meldinger fra telefonen til offeret, for å prøve å infisere enda flere.
Stopper deg før du går i fella
Ifølge Kjebekk er trusselaktørene alt for standhaftige og innovative til at man kan sikre bedriften helt mot angrep.
– Men man kan gjøre det så vanskelig som mulig for dem, slik at innsatsen de må legge i dette ikke er verdt den potensielle gevinsten.
En av de mest effektive måtene å forsvare seg på, er å hindre kjøring av nedlastede filer på de ansattes PC-er –altså å fjerne muligheten for brukeren til å installere programmer og stoppe kjøring av makroer i Office-dokumenter.
Ifølge Kjebekk kan imidlertid et slikt tiltak raskt ende opp med å kreve mye administrasjon for virksomheten.
– Man vil måtte bruke mye tid til å lage lister over tillatte applikasjoner og løsninger etter forespørsler fra brukeren, og konstant passe på at de til enhver tid har den riktige versjon av applikasjoner. Dette kan for mange brukere også oppleves som rigid og lite produktivt.
Et bedre alternativ for de fleste virksomheter vil ifølge Kjebekk være å ta i bruk en sikker nettsurfingstjeneste som Secure DNS fra Telenor.
– Denne blokkerer all trafikk til kjente tvilsomme nettsteder og hindrer forsøk på oppkobling mot antatte skadelige nettsider og domener. Selv om en ansatt skulle gå i fella og bli lurt av en lenke eller et falskt vedlegg, forhindres vedkommende fra å havne på en falsk nettside eller ufrivillig sende fra seg sensitive opplysninger, sier Kjebekk.
Sikre identiteten – alltid!
Kjebekk minner også om verktøyet som alle må kjenne til og bruke aktivt – alltid.
– Selvfølgelig må man ha på plass en autentiseringsløsning, også kjent som multifaktor eller 2-faktor. Det kommer man ikke uten utenom hvis man skal beskytte identiteten til de ansatte og hindre at uvedkommende skaffer seg tilgang til kontoer og enheter.
De mest brukte løsningene og tjenestene som en bedrift benytter seg av krever eller gir muligheten for en slik autentisering.
– I det daglige bruker derfor de fleste ansatte mange slike løsninger for å utføre arbeidet sitt. Telenors autentiseringstjeneste kan brukes på alle løsningene virksomheten benytter. Tjenesten har også single sign-on (SSO), som betyr at brukeren kun trenger å logge inn én gang for å få tilgang til alle applikasjonene man skal ha tilgang til, sier Kjebekk.
Ønsker du å vite mer om hvordan du kan få hjelp til å sikre din bedrift?
Med sikkerhet i flere lag står bedriften og de ansatte bedre stilt i møte med potensielle angrep, forteller Kjell Kjebekk:
Beskytt identiteten med tofaktorautentisering. Dette er det aller viktigste, og noe du må ha.
Et effektivt e-postfilter stopper 90 prosent av all uønsket e-post før de i det hele tatt blir levert til mottakeren. Om du i tillegg har Office365, vaskes ekstra mye bort.
Skulle trusselaktørene komme seg forbi dette, er sjansen stor for at de stoppes av et DNS-filter for sikker nettsurfing. Dette er svært avansert, og stopper deg straks du har trykket på en kjent, farlig lenke. Trykker du på lenken, vil det kjøres en sjekk – og filteret kan deretter oppdateres på få sekunder.
Skulle de to første sikkerhetslagene ikke klare å fange opp alt? Med sikring av endepunkter sørger en klient på mobilen eller maskinen for at du ikke får kjørt malware eller annen skadelig programvare.
Hold deg oppdatert på IT-sikkerhet
Abonnér på vårt nyhetsbrev og motta nyttig informasjon i innboksen én gang i måneden.