Det er noen myter rundt IT-kriminalitet som norske virksomheter nå må fjerne en gang for alle. Det ene er at IT-kriminelle går etter store virksomheter. Feil. IT-kriminelle går etter systemer med svakt forsvarsverk, enten det er programvare som ikke er oppdatert, maskinvare som er enkelt å koble seg til eller ansatte som ikke er trent i å oppdage trusler.
Den andre myten er at programvare og maskinvare er det viktigste forsvarsverket. Feil. Igjen, kriminelle går etter det svakeste leddet. Det er som regel medarbeiderne i organisasjonen. Når oljefondssjefen blir lurt av vennligsinnede hackere som en test, kan alle bli lurt. Selv medarbeidere som er litt paranoide, som Nicolai Tangen selv beskrev seg som, kan bli ofre.
Kriminelle går etter det svakeste leddet. Det er som regel medarbeiderne i organisasjonen.
Den tredje myten er at det er enkelt å oppdage IT-kriminelle. Feil. Nigeria-svindelens tid er forbi. Dagens IT-kriminelle er og opererer som store, profesjonelle virksomheter. De har betydelige ressurser og jobber bedre med planlegging og gjennomføring av operasjoner enn mange lovlydige virksomheter. De har tid og ressurser til å gjennomføre angrep, og tid til å vente med å hente ut gevinsten.
I KnowBe4 testet de dyktigste hackerne ut oppmerksomheten til en gruppe ledere i selskaper vi jobber for. Halvparten av dem, 48 prosent, åpnet e-posten de fikk tilsendt. 72 prosent ble lurt av innholdet og trykket på lenken som førte til at hackerne fikk tilgang til deres PC. Ikke ulikt hva Tangen opplevde. Dessverre er han derfor langt fra alene om å ha senket guarden når han blir utsatt for persontilpassede meldinger.
Våre hackere fikk maksimalt bruke en time per leder. Når suksessraten er såpass høy etter en time, kan man tenke seg hvordan den er etter 10 eller 100 timers planlegging og gjennomføring. Dessverre er dagens IT-kriminelle alltid i forkant. Sikkerhetsmiljøene fikser svakhetene som allerede er blitt brukt. Jakten på neste hull allerede i gang og kanskje allerede i bruk for å hente ut data og verdier fra nye virksomheter.
Mellom 80 og 90 prosent av alle vellykkede IT-angrep gjennomføres ved misbruk av ansattes tillit, uoppmerksomhet eller manglende bevissthet.
Det største hullet er dessverre de ansatte. Mellom 80 og 90 prosent av alle vellykkede IT-angrep gjennomføres ved misbruk av ansattes tillit, deres uoppmerksomhet eller manglende bevissthet på hvordan kriminelle opererer. Resten skyldes primært at virksomheter ikke oppdaterer programvaren sin raskt nok. Likevel brukes mindre enn 10% av sikkerhetsbudsjettet på de ansatte!
God IT-sikkerhet i dag har tre pilarer: IT-systemer, gode rutiner og prosedyrer, og kultur. De to første kan kjøpes. Den siste, sikkerhetskultur, må utvikles og trenes. Det er mer tidskrevende for organisasjonen, enn de to første. Derfor investeres det mindre her, enn i de to første. Å bygge og opprettholde en god sikkerhetskultur i en virksomhet handler blant annet om gode retningslinjer, god oppfølging på avvik, god opplæring og jevnlig trening – av alle. Igjen, IT-kriminelle går etter det svakeste leddet, enten det er topplederen, en mellomleder eller en nyansatt.
God IT-sikkerhet i dag har tre pilarer: IT-systemer, gode rutiner og prosedyrer, og kultur.
Målinger av sikkerhetskultur over hele verden viser at ingen bransjer er spesielt gode til dette. Selv om selskaper som arbeider mye med risikostyring, som bank og finans og teknologibransjen er bedre enn snittet. Noen bransjer er ganske dårlige, som hotell- og serveringsbransjen og utdanningssektoren.
Dessverre er Norge som nasjon på ingen måte best i klassen. Vår undersøkelse viser at Bulgaria og Irland er best på sikkerhetskultur i Europa, og i Skandinavia ligger Sverige godt foran Norge og Danmark.
Med tanke på den pågående geopolitiske situasjonen i Europa er risikoen i hvert fall ikke mindre enn før. Norske organisasjoner bør våkne opp og ledere bør lære av Tangen før det er for sent. Å forbedre egen IT-sikkerhetskultur er noe alle virksomheter kan sette på dagsorden, uavhengig av størrelse eller ressurser. En sikkerhetskultur med trente medarbeidere er det beste forsvarsverket når den digitale krigføringen utkjempes. Dessverre utkjempes den hver dag, enten topplederen vet om det eller ikke.
