Dette er det svakeste leddet i virksomhetens IKT-sikkerhet

Både GDPR og den nye sikkerhetsloven pålegger virksomhetene ansvar for IKT-sikkerhet. Teknologisk sett har vi aldri vært sikrere, men i en jungel av brannmurer, scannere og antivirusprogrammer befinner det seg både et sikkerhetshull og en sikringsressurs: Den enkelte medarbeideren.

People hacking eller sosial manipulering er trolig de vanligste måtene å skaffe informasjon på. Noen ganger er målet en enkeltperson, men det er ikke uvanlig at flere personer blir manipulert til å oppgi biter av informasjon. Biter som hver for seg ikke gir mening, men blir svært verdifulle når de sammenstilles. 

Som enkeltmennesker er vi lette ofre for eksempel for falske e-poster eller konkurranser i sosiale medier, som gjerne spille på frykt, fristelser eller tillit.

Politets Sikkerhetstjeneste (PST) sin Trusselvurdering for 2019 slår klart fast at utenlandsk etterretning "vil forsøke å skaffe seg urettmessig tilgang til norske virksomheters datanettverk. Formålet vil være å skaffe sensitiv informasjon og å påvirke beslutninger."

I god tro

Poenget er at enkeltpersoner og menneskets natur er de svakeste leddene i sikkerhetskjeden. Et faktum hackere og svindlere ofte utnytter. De fleste mennesker er ukomfortable med konflikter og enten for tillitsfulle eller for villige til å la tvil komme folk til gode. Særlig når det ikke finnes en god grunn til mistanke.

Hvor mange resepsjonsansatte vil nekte en besøkende å skrive ut noen dokumenter fra en medbrakt minnepenn? En klassisk måte å installere malware og stjele informasjon på er å få tillatelse til å koble til en portabel enhet til en datamaskin i virksomheten du vil skade. 

Personlige egenskaper som serviceinnstilling, omgjengelighet og evne til å finne løsninger står her i direkte motsetning til rigide sikkerhetsrutiner.

Flere kulturbærere i samme sjanger er:

  • Sikkerhet er noen andres problem (fraskrivelse)
  • Hvis de virkelig ønsker å komme inn / få informasjon, får de det til uansett (resignasjon)
  • Har vi egentlig noe som er interessant for noen som helst? (uvitenhet)
  • Vi er et lite selskap, og vi holder en lav profil (skylapper)
  • Ingen våger å stille spørsmål (jasså??) 

Hvem vokter verdifull info?

Når du vurderer tiltak, er det lett å tenke at det kun er de mest betrodde medarbeiderne som har tilgang til de mest sensitive opplysningene. Men hva med regnskapsføreren, som ser alle fakturaer som sendes ut; kontormedarbeideren, som er ansvarlig for lagring av alle dokumenter; IT-medarbeideren, som har administrativ tilgang til alle systemene og, til slutt, resepsjonisten, som gjerne vet mest av alle?

Her finner du  Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet

Enhver bedrift bør kartlegge potensielle trusler mot sikkerheten. Du trenger å identifisere hvilke eiendeler du har og deres verdi. Du må identifisere hvem som kan ønske å tilegne seg informasjon, danne deg en mening om deres evne til å skaffe seg den og hva konsekvensene blir dersom de lykkes.

Til slutt trenger du å vurdere hvordan du skal motvirke dette. Det er neppe tilstrekkelig med bare noen formaninger på e-post.

Smidige prosesser

Så, hva gjør du? Sikkerhet er alltid en kostnad, en salderbar post. Jeg mener at å skolere medarbeiderne bare er en del av løsningen. Du må bygge rutiner for å rapportere hendelser, uansett hvor ubetydelige de kan virke, og sikre at medarbeiderne kan gjøre dette uten å risikere negative tilbakemeldinger. 

Og når folk rapporterer hendelser, må noen vurdere dem. Ikke bare enkeltvis, men mot alle rapporterte hendelser. Denne prosessen trenger ikke være krevende eller kostbar, men er avhengig av at en person på konsernnivå eier og støtter den

Forsøk også å etablere prosesser som ikke hindrer det daglige arbeidet i virksomheten, eller fører til merarbeid for de ansatte, men likevel sikrer at sikkerheten ivaretas. For eksempel kan medarbeidere lettere akseptere å innføre ID-kort når kortet også må brukes til å handle i kantinen.

Les mer: 4 tiltak som beskytter virksomheten mot datakriminalitet

En uutnyttet ressurs

Budskapet her er klart: Du kan ikke kun vurdere trusselen fra utenforstående - du må også finne ut hvor sårbare dine ansatte vil være overfor en inntrengers oppmerksomhet. Et angrep / inntrenging er avhengig av tre faktorer for å lykkes:

  1. Noe av verdi (for dem)
  2. Evne til å få tak i den verdien
  3. Fravær av en skikket vokter

Du må med andre ord forstå at medarbeiderne er en sikkerhetsrisiko, men like viktig er det at de er en ressurs som kan løfte sikkerhetsnivået i virksomheten til uante høyder.

Behovet for kontinuerlig bevisstgjøring, øvelse og rapportering er betydelig. Dette er viktige forebyggende tiltak, og må foregå kontinuerlig. Denne kunnskapen og tilhørende ferdigheter er ferskvare ettersom teknologien stadig utvikler seg.

New call-to-action

 

 

Av Jan Terje Sæterbø

Jan Terje er Leder Sikkerhet i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder.

Flere artikler fra denne forfatter

Abonner på bloggen