Ledelse
– Du kan bli offer for sosial manipulering
I disse smarte it–tider kan du fortsatt bli hacket på gamlemåten – gjennom å bli lurt av folk som tar seg inn på arbeidsplassen. – Vær på vakt, anbefaler sikkerhetsekspert.
Leder for informasjonssikkerhet i it–selskapet Basefarm, Fredrik Svantes, anbefaler bedrifter å gjennomføre tiltak som gjør dem forberedt på sosial manipulasjon og det han kaller the Next Big Corporate Hack. Sistnevnte handler om store konsern som sitter på dine personopplysninger. Når disse blir hacket, slipper heller ikke du unna.
– Opplæring, øving og mottiltak kan forhindre dette. Det gjelder også etter the Next Big Corporate Hack, sier han.
Dobbelautentisering, ulikt brukernavn og passord for ulike tjenester, oppdatering / patching av datasystemer, brannmurer, kontroll på IoT-er (Internet of Things, journ. anm.) og å unnlate å åpne vedlegg eller klikke på lenker fra ukjente avsendere er metoder som virker godt mot hacking, anbefaler han.
– Alle disse metodene er it–baserte og ganske vanlige. Analyser av reelle datainnbrudd viser at disse metodene fungerer preventivt i de aller fleste tilfeller, påpeker Svantes.
Sosial manipulasjon
Har du møtt på håndverkere på vandring i korridorene uten å vite hvor de kommer fra, hvor de skal eller hva de skal gjøre? Er det vanlig med nye mennesker hos dere som for eksempel innleide konsulenter, slik at du ikke stusser ved et nytt ansikt? Dette er spørsmål Svantes mener du må stille deg, fremfor å anta at de sikkert har noe der å gjøre.
– Har du kjørt inn i et lukket garasjeanlegg som mange bruker, og bare nikket vennlig til den velkledde fotgjengeren som tok seg inn mens døren sto åpen? Eller stukket en ukjent USB–pinne inn i datamaskinen for å se hva som var på den? Mange har gjort ting som dette. I informasjonssikkerhets–sammenheng kan det ha handlet om psykologisk manipulasjon som på fagspråket blir omtalt som sosial manipulasjon, forklarer han.
Vær oppmerksom
Sosial manipulasjon handler om å skaffe seg informasjon ved sosiale ferdigheter. Det er en rekke svindelteknikker du må gjøre deg kjent med (se verktøyboks). Teknikkene kan virke både sære og lettere paranoide, og det er lett å tenke at dette er noe som skjer uhyre sjeldent.
Men, det usannsynlige kan bli sannsynlig, mener Svantes. Nettopp på grunn av at vi anser det for usannsynlig, er faren stor for at noen kan prøve seg og samtidig lykkes med å lure oss.
Derfor anbefaler Fredrik Svantes følgende mottiltak:
-
Inkludere sosial manipulasjon i virksomhetens informasjonsikkerhetsrutiner
-
Gi regelmessig opplæring og legge til rette for selvstudier: En måte er å lage e–læringsprogrammer som inkluderer prøver / eksamener (tips: bruk verktøy for spørreundersøkelser) som medarbeidere må bestå
-
Øvelser:
– De fleste av oss synes det er vanskelig å stoppe noen og spørre om hvorfor de er der de er. Øvelse gjør mester. Er det noe som fungerer godt, og som organisasjoner like fullt dropper av en eller annen merkelig grunn, så er det preventive øvelser på krisesituasjoner, sier Svantes.
Beskytt og forebygg
Mange er interesserte i data som gjør deg og arbeidsgiveren din sårbare, inkludert kredittkortinformasjon. Mens vi kan beskytte oss selv, kan vi vanskelig beskytte oss mot angrep som det velkjente innbruddet hos Yahoo i 2013 som berørte tre milliarder brukere.
Fire store lignende angrep har rammet brukere de siste årene: Adobe i oktober 2013, Disqus i oktober 2013, Dropbox i midten av 2012 og LinkedIn i mai 2016. I sistnevnte angrep ble 164 millioner e–postadresser og passord blottlagt for hackere, ifølge tjenesten «Have I Been Pwned», som drives av sikkerhetsanalytikeren Troy Hunt.
– Når disse Big Corporates blir hacket, blir du det også. Det er meget sannsynlig at nye angrep vil skje. Er du ivrig bruker av nettjenester og sosiale medier, vil risikoen øke for at du blir rammet. Enten du blir rammet gjennom phising, spyd–phising eller indirekte gjennom Big Corporate Hacks, bør du aldri gjenbruke passord. Skaff deg i stedet en passord–tjeneste som lar deg etablere unike brukernavn og passord for hver tjeneste du bruker, anbefaler Fredrik Svantes.
Er du ivrig bruker av nettjenester og sosiale medier, vil risikoen øke for at du blir rammet
Slike «password managers» kan gjøre dette for deg, og du identifiserer seg for passord–tjenesten med ett enkelt passord.
– Et slikt hovedpassord kan for eksempel være en lang setning som «jeg liker tog vil du fly med meg til Canada til neste år» (med eller uten mellomrom). En slik setning er både lettere å huske og vanskeligere å knekke enn kryptiske passord som u(!3%N,#. Enkelte passord–tjenester kan også automatisk logge deg på nettsteder som du har registrert deg på, noe som sparer deg for tid, sier han.
Dersom kredittkortet ditt har vært involvert i et eller annet angrep, anbefaler Svantes at du sørger for å blokkere det via utstederens blokkeringstjeneste.