Læs også:
Er du klar til at modstå truslen fra social engineering?
Telefonen ringer i medicinalfirmaet Lundbecks globale Service Desk. Det gør den ganske mange gange hver dag, så det er vel ikke så underligt.
En Lundbeck-medarbejder besvarer opkaldet. Denne gang er det en lettere stresset marketingmedarbejder, der venligt, men febrilsk, fortæller, at en af virksomhedens direktører står på en konferencescene i udlandet og skal fremvise de nyeste data fra selskabets portefølje.
Uheldigvis har direktøren glemt sit password til Lundbeck-mailen. Så tallene kan ikke vises på den store skærm i konferencesalen, hvor der sidder flere hundrede utålmodige mennesker og venter.
Mon ikke lige Service Desk kan hjælpe med at fremskaffe direktørens login-oplysninger? Og helst lidt hurtigt.
Må ikke udlevere nøglen
I en virksomhed som danske Lundbeck med forretningshemmeligheder i milliardklassen på sit interne netværk skal det være helt klart, hvordan den slags opkald skal håndteres.
For ingen medarbejdere må afgive oplysninger, der kan bruges af it-kriminelle til at tiltuske sig adgang til mere eller mindre forretningskritiske filer.
"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm, om scenariet med at udlevere direktørens brugernavn og passwords til personer med skumle hensigter, mens direktøren fortsat bruger sin mail, ganske uvidende om at andre læser med.
For med kopioplysninger ved tasterne kan de it-kriminelle lydløst tiltuske sig adgang til forretningshemmeligheder, der ellers bliver beskyttet bag et tykt lag firewalls, anti-virusprogrammer, rettighedskontrol og logfiler, som under normale angreb ville have fået sikkerhedsalarmerne til at bimle og bamle hos Lundbeck.
Hamrer på egne vægge
For at imødegå ubudne netværksgæster hyrer Lundbeck såkaldte penetrations-selskaber og kører interne forsøg på at hamre sine egne sikkerhedsvægge ned med list. Og ikke mindst lære noget om eventuelle huller, der måtte blive fundet i væggen.
Udleverer mere end godt er
Medicinalselskabet har gennem en tredjepart blandt andet prøvet at fiske efter medarbejderoplysninger i falske "Vind en iPad"-konkurrencer, afsendt skumle links og forsøgt sig med drevent plattenslageri over telefonen.
Michael Skånstrøm erkender, at det er sket, at medarbejdere i sådanne tests har talt over sig og udleveret, hvad han kalder 'flere oplysninger end godt er'.
"Så kan vi jo bare være glade for, at det var en test. Det, vi desværre ikke kan vide med sikkerhed, er, om nogen lykkes med at komme igennem med den slags uden for vores kontrol. De farligste hackere er jo dem, der kommer hele vejen igennem uden nogensinde at blive opdaget," forklarer Michael Skånstrøm.
Den lille pige og mobiltelefonen
Ganske uvidende om, at han deltog i en sikkerhedstest, blev it-direktør Michael Skånstrøm mellem jul og nytår selv ringet op af en direktørkollega.
Kollegaen havde uden held forsøgt at vride et administrator-password ud af først Service Desk og siden andre it-folk i selskabet for til sidst at prøve med Michael Skånstrøm. Han måtte lægge ører til en opdigtet historie om en "livsvigtig" opsætning af en ny smartphone, som hans datter havde fået i julegave, hvilket åbenbart krævede et administrator-password til Lundbeck.
"Jeg har ikke den slags oplysninger eller rettigheder, og hvis jeg havde, ville jeg selvfølgelig aldrig udlevere dem - heller ikke til en desperat direktørkollega," fastslår Michael Skånstrøm.
Han tilføjer, at der nok ville være en kæmpe forretning i at kende de præcise teknologiske modtræk mod social engineering i alle angrebsteknikkens farver og former.
"Derfor tester vi højt og lavt og på tværs af alle fagområder. Det er selvfølgelig ærgerligt, når en medarbejder 'falder i' i sådan en test, men vi prøver at skabe et overblik på den måde," siger Lundbecks it-direktør.
Finder huller og lapper dem
Lundbeck præsenterer derefter resultaterne af den slags ugelange indbrudstests for sit Information Security Board, hvor der sidder ledende medarbejdere fra alle fagområder.
De forholder sig til faldgruberne, og sammen med it-afdelingen prioriterer de selskabets indsats for at lukke eventuelle sikkerhedshuller, som de sociale ingeniører kunne finde på at bore i.
"Det mest effektive i vores tests er opmærksomheden og den efterfølgende adfærdsændring, når vi opdager en svaghed og gør noget ved det. For angreb med social engineering sker ikke bare for naboen, det sker også for dig og for nogle, der ligner dig."
Læs også:
Er du klar til at modstå truslen fra social engineering?