National cybersikkerhedsmåned med fokus på phishing og spoofing

Del på linkedin
Del på facebook
Del på email

Skrevet af

6

minutters læsetid

Jeg har i mange år interesseret mig meget for digital sikkerhed. Det er nemlig altafgørende for Acubiz, at vi er en sikker og pålidelig serviceleverandør og samarbejdspartner for vores kunder. Derfor går vi aldrig på kompromis med vores kunders data og den digitale sikkerhed i almindelighed. IT-sikkerhed skal være et stort fokusområde for din virksomhed, når I er på markedet efter en ny SaaS-leverandør. Det har jeg tidligere skrevet mine tanker ned om. Acubiz’ interne IT-sikkerhed og vores egen adfærd ift. at sikre os selv mod kriminelle hackere er også et meget stort fokusområde for os. Det samme skal det være for jer, og det handler dette blogindlæg om.

Vi kan installere nok så mange tekniske sikkerhedsmæssige foranstaltninger (firewalls, antivirus, datakryptering, backup) for at forhindre ondsindede angreb, men det er afgørende, at der hersker en stærk sikkerhedsadfærd- og kultur internt i virksomheden. Et enkelt klik fra en medarbejder på, fx, en phishing e-mail kan desværre resultere i en lang række uheldige konsekvenser for virksomheden. Selvom antivirusprogrammer stopper det meste, er det altså uundgåeligt at noget slipper igennem – spørg bare Mærsk, Nationalbanken, Forsvaret eller Bauhaus. Bare for at nævne et par stykker.

Mit fokus i dette indlæg er derfor hvordan vi kan italesætte vigtigheden af en stærk intern sikkerhedskultur og hvilke tiltag der kan igangsættes.

Styrket fokus på den digitale sikkerhed i hele oktober måned

Oktober måned er national #cybersikkerhedsmåned i Danmark. En måned der skal hjælpe med at ruste danskerne til en hverdag med flere og flere digitale trusler. Informations- og kommunikationsteknologi er en integreret del af vores hverdag og arbejdsliv. Det ved IT-kriminelle godt. Derfor forsøger de hver dag at få adgang til, og misbruge, vores data – både privat og arbejdsmæssigt.

Menneskers adfærd er afgørende for IT-sikkerheden. Vi kan potentielt være en sårbarhed, når det kommer til sikkerhed, men vi er samtidig også et essentielt bolværk mod digitale trusler. IT-sikkerheden vil kunne øges væsentligt, hvis vi kan etablere en stærk sikkerhedsadfærd og komme tættere på en viden om, hvordan vi maksimerer efterlevelsen af gode sikkerhedsråd. Jeg kan kun støtte op om den nationale #cybersikkerhedsmåned og samtidig opfordre til, at den gode sikkerhedsadfærd opretholdes efterfølgende.

I Acubiz arbejder vi kontinuerligt med at uddanne og huske vores medarbejdere på gode sikkerhedsråd. Jeg kommer ind på hvordan lidt senere. Der er mange aspekter og emner at tage fat i, og derfor har jeg afgrænset mig til at skrive om den hyppigst oplevede trussel inden for digital sikkerhed: Phishing.  

Phishing er de kriminelles foretrukne angreb

64 % af alle danskere har oplevet at blive udsat for forsøg på phishing inden for det seneste år ifølge rapporten Danskernes Informationssikkerhed 2020 fra Digitaliseringsstyrelsen. Det gør phishing til den hyppigst oplevede trussel inden for digital sikkerhed. Phishing er en type IT-kriminalitet, hvor kriminelle forsøger at lokke dig til at give dem fortrolige oplysninger – oftest gennem e-mails og SMS’er.

En stor andel af de kriminelle hackeres skadelige software installeres via phishing – og det kan både forvolde stor skade og koste dyrt. Derfor er phishing en væsentlig sikkerhedstrussel, som er nødvendig at være opmærksom, og handle, på. Phishing bruges typisk til at:

  • Fremskaffe brugernavn og kodeord til internettjenester – fx e-mailkonto, sociale medier og webbutikker
  • Fremskaffe NEM-ID og betalingskortoplysninger
  • Installere malware på ofrets enhed (sker gennem klik på links)
  • Få fodfæste i et IT-netværk for yderligere hacking

Det kan være svært at opdage phishing e-mails, men de har alligevel en række kendetegn. Mange phishingangreb forsøger at udnytte følelser som nysgerrighed, bekymringer og et ønske om at ville hjælpe. Samtidig bruger de kriminelle ofte et emne som er oppe i tiden med dertilhørende medieomtale. Oftest vil modtageren blive opfordret til at gøre noget hurtigt – det ”haster” som regel.

Nu skal I også til at forholde jer til spoofing

Den nyeste form for phishingangreb kaldes for spoofing eller spear phishing. De er mere udspekulerede, da de er målrettet bestemte personer. Telefonnummer eller e-mailadresse er maskeret til en kendt person af modtageren. Informationer som de kriminelle kan finde på enten hjemmeside eller sociale medier.

Fx kan en finansmedarbejder risikere at modtage en spoofing e-mail fra en direktør, som beder om at få overført et beløb til sin konto hurtigt pga. en presserende sag. E-mailen ser ud til at komme fra direktøren, da e-mailadresse er rigtig og e-mailen ligner virksomhedens ”normale” design. E-mailen kan også se ud til at komme fra samarbejdspartnere, kunder etc. Det er vitterligt kun fantasien der sætter grænser.

Vi har vænnet os til de ”klassiske” spam e-mails, men spoofing er langt sværere at genkende, da der er lagt meget mere energi i udformningen af e-mailen – både tekstmæssigt og visuelt.

Hjælp dine medarbejdere med at undgå phishing

Formålet med dette blogindlæg er ikke at belære om hvad phishing og spoofing er. Det har mange godt styr på, men jeg vil gerne være med til at sætte fokus på digital sikkerhed – især nu hvor det er national #cybersikkerhedsmåned. Jeg vil dele nogle af de tiltag og initiativer, som vi hos Acubiz gør brug af for at efterleve en stærk intern sikkerhedskultur.

Vi må ikke blive bange for angreb, men vi skal have følerne ude og være klar til at identificere red flags. For red flags er stort set altid til stede i en eller anden form, når det handler om phishing eller spoofing.

Det er ikke nødvendigvis sådan, at en medarbejder har en god og fordelagtig digital sikkerhedsadfærd, blot fordi personen er opmærksom. Men opmærksomhed er dog et rigtigt godt sted at starte ift. at efterleve anbefalingerne til en sikker digital adfærd.

Konkrete budskaber til medarbejdere

Hos Acubiz arbejder vi kontinuerligt med opmærksomhed og vi gentager ofte vores sikkerhedsmæssige budskaber på alle mulige forskellige former. Vi har en GDPR-håndbog, vi holder stormøder med sikkerhed på agendaen, der hænger plakater forskellige steder på kontoret, vi afholder Kahoot-quiz, vi tester løbende vores medarbejdere inden for phishing og meget mere.

Arbejdet går ud på at skærpe vores kritiske sans og vores mavefornemmelse, når vi hver især modtager potentielle ondsindede e-mails. Nogle af de budskaber som går igen og igen er:

  • Giv aldrig følsomme personoplysninger via e-mail, SMS eller opkald
  • Tænk dig om før du klikker på et direkte link i e-mail eller SMS – også hvis afsender er kendt
  • Klik først når du har tjekket om webadressen passer med afsenderen. Et godt tip er at tjekke webadressen ved at holde cursoren over linket og tjekke URL’en.
  • Vær opmærksom hvis din kollega eller chef beder om noget usædvanligt som ”haster”
  • Har du mistanke om svindel, så svar aldrig ”reply”, men start en ny tråd
  • Opdatér din PC. Det er basal IT-sikkerhed. Vent ikke med at gøre det – opdateringen kommer af en årsag
  • Skift kodeord ofte – de skal være unikke og forskellige
  • … og meget mere som fx lås din skærm, husk clean desk etc.


Vi har faktisk besluttet at vi ikke må sende links til kollegaer over e-mail længere. Det skal foregå over Microsoft Teams. Vi skriver heller ikke ”HASTER” eller ”Kommentarer til vedhæftede ønskes” i emnefeltet. Nogle vil mene at vi går med livrem og seler, men vi forsøger egentlig blot at undgå eventuelle brud på sikkerheden den vej igennem.

Digitaliseringsstyrelsens rapport påpeger i øvrigt også, at personer har større tilbøjelighed til at efterleve sikkerhedsanbefalinger, hvis det er godt formidlet hvad der forventes at blive gjort. Derfor gør vi meget ud af at kommunikere budskaberne ud ofte og på forskellige måder.

Vi øver os hver dag

Jeg er stolt over vores tiltag og vores måde at arbejde på for at etablere en stærk sikkerhedskultur. Vi er kommet langt. Er vi i mål? Nej. Det er vi ikke, men vi bliver bedre. Det samme gør de kriminelle i øvrigt. Derfor bliver vi ved med at øve os.

Jeg håber, at du kan bruge nogle af vores erfaringer og råd til at sætte fokus på digital sikkerhed ifm. phishing og spoofing i din virksomhed.

Acubiz bibliotek
Find og download e-bøger, whitepapers, webinarer mm. om alt inden for Expense Management.
Nyhed

Andre blog indlæg

Få en gratis demonstration

Gratis og uforpligtende