#1 Jesper Munk
Hvad er en SMV?
menu close Teknologiens Mediehus
person Konto arrow_drop_down
SMV’erne er under konstant beskydning fra ondsindede cyberkriminelle, der på konstant forsøger at bedrage virksomhederne og frarøve dem oplysninger og passwords. Formålet er stadig klart. Når de kriminelle går til angreb, er det i 86 procent af tilfældene med et økonomisk incitament som motiv.
Det viser en ny global undersøgelse fra internetudbyderen Verizon.
Rapporten, der i år udkommer for trettende gang, bygger på indberettede datalæk og brud på sikkerheden på globalt plan. Datagrundlaget bygger på 157.000 rapporterede tilfælde, hvoraf de 32.000 af dem påviseligt bekræfter, at der er blevet stjålet data. Det giver mulighed for at få et indblik i, hvilke typer af angreb, der rammer særligt SMV'erne i EMEA (Europa, Mellemøsten og Afrika), men det er nu knap så kulørt, som man måske forestiller sig.
»Man læser som regel spændende historier i medierne om spionage, hvor statssponserede angreb er blevet udført,« fortæller Jimmy Nilsson, der er direktør for Verizon Professional Security Service og fortsætter:
»Men for små og mellemstore virksomheder ser vi en tendens til, at det i 70 procent af tilfældene drejer sig angreb på webapplikationer, phishing-angreb eller simple fejl.«
Det positive ved angrebenes simple karakter er, at man som virksomhed rent faktisk har mulighed for at sikre sig mod dem. Det kunne vise sig som noget af en opgave, hvis modstanderen var en efterretningstjeneste af israelsk, russisk eller amerikansk karakter.
Ifølge rapporten er angrebene på de små og mellemstore virksomheder ofte med henblik på at stjæle brugernavn og password eller bedrageri via luskede phising-mails eller bare simple menneskelige fejl. Det bør, ifølge Jimmy Nilsson, give anledning til eftertanke hos virksomhederne, når sikkerhedsstrategien så skal lægges.
”Man kan spørge sig selv, om man skal starte med at investere i nogle meget dyre sikkerhedssystemer, eller om man skal være sikker på, at man dækker af på de her tre fronter. Det kræver noget teknologi, men det er relativt simpelt,” slår han fast.
I stedet bør man efter hans mening fokusere på, for få midler, at sikre sig, at man i hvert fald kan modstå de typer af angreb, der udgør 7 ud af 10 af den samlede mængde.
I mange virksomheder oplever man fortsat, at det stadig er et problem, at it-slyngler får adgang til systemerne ved hjælp af stjålne kodeord. Ofte er det ikke virksomhedens skyld, men derimod et uheldigt sammenfald.
"Enten er oplysningerne stjålet, eller også er det den gamle fejl, hvor folk bruger de samme oplysninger som login flere forskellige steder - både privat og på arbejdspladsen. Hvis en af de services, man bruger som privat, pludselig bliver udsat for et læk, kan det være let at finde kodeordet til arbejdspladsen," siger Jimmy Nilsson.
Men selvom denne type af angreb ved hjælp af stjålne passwords er meget typiske, så ligger løsningen lige for.
"Det er let at modgå. Man kan nemt slå to-faktor-godkendelse til, og så er det ligegyldigt, at kodeordet er stjålet, for man skal godkende med en anden enhed eksempelvis en telefon. Det er relativt billigt og let at sætte op,” forklarer Jimmy Nilsson.
Ofte fungerer to-faktor-godkendelsen ved, at man efter at have logget ind med brugernavn og password får tilsendt en kode på sms eller mail, som man derefter skal indtaste. Denne simple funktion kan tilsluttes i eksempelvis mail-programmer og andre applikationer.
En anden type af klassiske angreb, som man fortsat ser i stor stil, iværksættes ved hjælp af phishing-mails, hvor de kriminelle forsøger at få medarbejderne til at klikke på giftige links eller decideret udgiver sig for at være eksempelvis direktøren, der har brug for en straksoverførsel i forretningsøjemed. Her er løsningen dog ikke kun af teknologisk karakter.
”Social attacks som phising mails eller CEO-svindel kan afværges nærmest uden brug af teknologi. Det handler derimod om såkaldt awareness-træning. Man skal uddanne sine medarbejdere til at holde øje med en række særlige faresignaler,” understreger Jimmy Nilsson.
Når angrebet sættes ind er det nemlig som ofte godt kamufleret. Mail-adressen ligner, ordren lyder plausibel, men der er som regel alligevel noget, der lugter i fup-mailen.
”Man skal træne sine medarbejdere til at kigge godt efter, når der kommer mails og beskeder fra personer uden for organisationen. Nogle gange kan de få en besked, om at den kommer fra en person udefra. Det gør det nemt for medarbejderne at vide, at man skal være særligt opmærksom. Derudover skal medarbejderne være gode til ikke bare at klikke på links, der bliver sendt," siger Jimmy Nilsson, der understreger, at man ikke kan nøjes med at træne medarbejderne en enkelt gang.
Awareness-træningen skal ske minimum en gang om året for, at medarbejderne er tilpas opmærksomme på de farlige mails, der kan lande i indbakken.
Den sidste typisk åbne flanke er svær at gøre noget ved. Den dækker nemlig over menneskelige fejl.
”Fejl dækker over hændelser, hvor en medarbejder har begået en ubevist fejl," siger Jimmy Nilsson og giver et eksempel:
"Det kan være, at man laver indstillingerne i en cloud-applikation forkert, så de er pivåbne.”
Det kan vise sig at få alvorlige konsekvenser, fordi man med applikationer i skyen er udsat for særlig risiko, da man er eksponeret over for hele internettet på én gang. Alternativt kan man som virksohmed vælge at fastholde sit it-setup on-premise, men den tilgang kan ikke anbefales, siger Jimmy Nilsson.
"Konsekvensen kan blive meget større, hvis man er i skyen. Der er ingen tvivl om, at man skal rykke den vej for at forblive konkurrencedygtig, men jeg mener, at man skal være opmærksom på governance og konfiguration af cloud-opsætningen,” siger han.
Det er ikke kun hos Verizon, at man anser it-sikkerhed for at være et centralt emne. I bestyrelseslokaler rundt om i erhvervslivet er emnet kommet på dagsordenen, efter man har set de alvorlige konsekvenser et angreb kan få, hvilket man eksempelvis så med A.P. Møller-Mærsk i 2018.
Også hos World Economic Forum mener man, at emnet er mere relevant end nogensinde før.
Georges De Moura fra organisationens center for cybersikkerhed forklarer, at med den seneste tid akutte overgang til digitalt arbejde på grund af coronavirus, er virksomheder og lande blevet mere bevidste, systemernes skrøbelighed.
"Virksomhedsledere bør indarbejde digital modstandsdygtighed i forretningsdriftmodellen og investere i kompetencerne til at forudse, modstå, komme tilbage fra og tilpasse sig ugunstige forhold og cyberangreb,” lyder det fra Georges De Moura.
Truslen er altså alvorlig, men for de danske virksomheder kan en stor del af angrebene afværges, uden at virksomhedens budgetter bliver flået fra hinanden.
