London: I februar i år blev der i anledning af Valentinsdag uddelt gratis cd'er med Valentinshilsener i Londons centrale finansdistrikt.
Selv om forretningsfolkene i Londons finansdistrikt normalt har travlt, havde nogle ansatte i en større bank og to forsikringsselskaber tid til at tænke på Valentin og kærlighed.
De tog cd'erne med på arbejde og stak dem ind i deres arbejds-computer.
Senere i år - i juni måned - fandt en række amerikanske medarbejdere i en amerikansk kreditforening USB-memorysticks spredt ud på kreditforeningens område.
De lå på parkeringspladsen, i rygeområder og andre områder tæt på kontorbygningen.
Nogle af medarbejderne var nysgerrige. De tog USB-memorysticksene med ind på arbejde og stak dem i deres arbejds-pc's USB-drev.
Hverken Valentin-cd'erne eller USB-memorysticksene var uskyldige.
De var udstyret med spyware, der indsamlede logins, password og anden information, som blev sendt via mail. Ikke til forbrydere, men til sikkerhedsfirmaer, der testede sikkerheden hos virksomhederne.
Brugernes sikkerhedsbevidsthed skal højnes
Via medarbejderne sneg malwaren sig forbi firewalls, antivirus, anti-spyware og andre tekniske sikkerhedsforanstaltninger.
Var de engelske og amerikanske medarbejdere specielt godtroende eller ubekymrede om sikkerhed?
Nej, det samme kunne højst sandsynligt ske i Danmark.
Preben Andersen fra DK Cert beskæftiger sig indgående med it-sikkerhed og han mener at der lægges for megen vægt på tekniske løsninger og investeres for lidt i uddannelse af brugerne.
- It-afdelingerne er meget fokuseret på firewalls, antivirus, anti-spyware, Intrusion Detection og Prevention Systemer, mens brugernes sikkerhedsuddannelse rangerer lavt på it-afdelingernes sikkerhedsliste – hvis den da overhovedet er med på listen, siger han.
Virksomhederne skal bruge mere energi på at gøre medarbejderne meget bevidste om it-sikkerhed, mener Preben Andersen.
Fokuseres for lidt på blød sikkerhed
Han underkender ikke teknologiens betydning, men mener, at der fokuseres for lidt på den bløde sikkerhed, den menneskelige faktor.
- Selvfølgelig skal de tekniske løsninger også være på plads, men du kan lave alle de tekniske løsninger du vil, men hvis brugerne omgår dem, så er de ikke meget værd. I ledelsen tror man, at det nok skal gå alt sammen så længe man har anti-virus, spam og firewall. Men det er ikke helt rigtigt, mener Preben Andersen.
Billedet ser ud til at være det samme på den anden side af Atlanterhavet.
I det amerikanske forbundspolitis årlige rapport om it-sikkerhed ”CSI/FBI Security Survey” fremhæves sikkerhedsmæssig uddannelse af brugerne som noget centralt.
Vigtigt: Sikkerheds-awareness
- Endnu engang opfatter den store andel af virksomhederne sikkerhedsawareness som vigtig. Gennemsnitligt set mener virksomhederne fra de fleste sektorer, at deres organisation ikke investerer nok i dette område, hedder det blandt andet i rapporten.
Hvis medarbejdere ikke er bevidste om sikkerhedsrisici, er det nemmere for kriminelle at anvende såkaldt social engineering til at lokke adgangskoder og anden vigtig systeminformation ud af folk.
- Det er ikke mit indtryk, at social engineering, hvor man ringer op og beder om user-id og password over telefonen, sker så tit mere, men phishing er en videreudvikling af det kneb. Nu sker udleveringen af information via nettet i stedet for en telefon, siger Preben Andersen.
Halvdelen vil blive ramt
Gartner forudsiger, at halvdelen af alle virksomheder vil blive ramt af social engineering eller virus i løbet af de næste to år, så der er grund til at øge folks bevidsthed.
- De fleste siger, at det kan aldrig finde sted i vores virksomhed, men realiteten er, at der er nogen der hopper på de forskellige tricks, for det bliver ved med at finde sted, mener Preben Andersen.
Social engineering er de kriminelles hemmelige våben, hvis de tekniske sikkerhedsystemer forekommer for uovervindelige.
- Når de automatiske sikkerhedssystemer bliver for gode, så må de kriminelle ty til det bløde punkt, hvilket ofte er mennesker, siger Jay Heiser fra Gartner.
Han er dog lidt mere skeptisk over for, om man kan uddanne problemet væk.
- Jeg ved ikke hvordan man træner folk i at undgå social engineering. Man kan give eksempler på social engineering og man kan lære af de eksempler, men man kan ikke forudsige alle typer af bedrageri, siger Jay Heiser.
Han understreger dog, at højnelse af brugernes sikkerhedsbevidsthed er meget vigtig. Man skal blot ikke tro, det løser alt.