Social engineering: del 2 av 2

Del 2: vad kan vi som människor och företag göra för att minska risken för attacker?

Vad är social engineering?

I del 1 av detta inlägg, som du kan läsa här på bloggen, tog vi upp några exempel på former av attacker som en hackare kan ta till för att komma åt känsliga data – oavsett om det är din personliga information eller ditt företagsdata.

De flest av knepen som hackare använder sig av går ut på att manipulera den mänskliga hjärnan på ett eller annat sätt. Och att programmera om en människas hjärna till att stå emot helt normala beteenden, så som att tro på en auktoritet eller att vara nyfiken, är verkligen inte enkelt.

Så vad kan vi då göra för att undvika att hamna i någon av dessa fällor?

Innan vi går in på några av metoderna man kan ta till är det viktigt att förstå att det vi har skrivit här absolut inte garanterar att vi går säkra från attacker, men det kanske kan ge oss lite mer insikt och idéer om vad vi bör göra för att minska riskerna.

Information, utbildning och inställning

Det absolut viktigaste är företagskulturen; närmare bestämt alla medarbetares inställning till alla former av hot och att kontinuerligt träna medarbetarna på att alltid vara vaksamma. Alla måste vara med på, och förstå vikten av, säkerhet - inför detta är vi lika.

Se till att medarbetarna är medvetna om vilka olika metoder en hackare kan använda sig av och att de alltid, både i sitt dagliga yrkes- och privatliv, ska använda sig av den gamla hederliga källkritiken; låter det för bra för att vara sant? Borde jag ringa och dubbelkolla personen som ingen verkar har hört skulle komma och undersöka serverrummet i dag?

Eftertänksamhet

Vi är numera relativt vana vid att hackare använder en positiv ton i exempelvis ett mail de skickar, man har en rik släkting som behöver hjälp eller, av någon outgrundlig anledning, vill någon dela med sig av sina pengar till en. Det många däremot inte tänker på är att hackare numera också har vänt på seglet och istället kan använda sig av en negativ spinn på uttrycket i sitt mail. Och eftersom användaren oftast bara har tränats på att filtrera mail eller samtal med ett positivt innehåll tänker de inte en extra gång på att vara misstänksamma även mot denna form av kontakt.

Under en föreläsning om säkerhet på “Cyber North” i februari 2020 berättades det om en hackare som hade utgett sig för att vara en förskolelärare som skickade personlig information om en anställds barn. Vips hade man en ingång i företagets nätverk, för vem kan stå emot ett mail med ett allvarligt innehåll om sitt eget barn när man är stressad på jobbet?

Praktiska tips

  • Håll informationen till dina medarbetare lättförståelig; om mottagaren inte förstår syftet och det som sägs kommer den heller inte att ta åt sig av informationen.
  • Gör en riskanalys; var finns er data lagrad, hur lättåtkomlig är den och vilken information finns i vilket system?
  • Se till att alltid ha backup på allting och att ni har gällande företagsförsäkringar.
  • En väldigt enkel, men oftast bortglömd säkerhetsåtgärd är att alla medarbetare låser sina datorer när de lämnar sitt skrivbord, även om de bara ska hämta kaffe. I stora organisationer rör det sig som regel också många ”okända” i lokalerna, och vem kan hålla koll på vilka alla besökare och vad deras ärende är?
  • Instruera dina anställda att inte hantera personliga mail på sin arbetsdator. Det är ett relativt enkelt sätt att minska riskerna.
  • På lite större företag kan hackare enklare ta sig in rent fysiskt i lokalerna, utan att någon fattar misstanke. Man kanske utger sig för att vara brandinspektör eller en underleverantör med ett lite diffust namn som vill komma åt att “undersöka” lokaler så som serverrum (metoden syftar till att människor automatiskt litar på personer i en auktoritetsposition). Ett enkelt sätt att motarbeta just en sådan här attack är att ringa upp företaget som personen säger sig komma från och verifiera att personen verkligen ska vara där, att helt enkelt se till att man bekräftar identiteten på personen.

Ta experthjälp

Men utbildningen ska absolut inte sluta vid den preventiva informationen, medarbetarna måste även få kunskap om vad hen ska göra om de upptäcker att de faktiskt har blivit hackade. Och här skiljer sig metoderna såklart åt beroende på hur kulturen ser ut inom just ditt företag. Alla företagslokaler ser olika ut, alla företagsnätverk är byggda på olika sätt, man arbetar på olika sätt osv.

För att lösa just ditt företags specifika behov rekommenderas att du tar hjälp av experter inom säkerhet, både cybersäkerhet men även den fysiska säkerheten inne i ditt företags fysiska lokaler.

Slutledning

Summa summarum kan vi säga att som förebyggande åtgärd är kontinuerlig och aktuell information och utbildning det absolut bästa sättet eftersom det är en människa som i första hand måste stå emot attacken och inte en brandvägg som är enklare att programmera än den mänskliga hjärnan.

Men det finns tyvärr ingen quick fix, ingen lista med punkter som man kan följa med vetskapen om att man sedan går helt säker. För visst kan attacker genomföras oavsett hur mycket information man fått och hur väl man än förberett sig.

En kedja är, som känt, aldrig starkare än den svagaste länken.

Tips på utbildning

Tips på utbildning

MSB:s Informationssäkerhetsutbildning DISA

MSB har tagit fram en ny version av DISA - Digital informationssäkerhetsutbildning för alla. Det är en avgiftsfri digital utbildning som på ett enkelt sätt kan höja din och dina medarbetares medvetenhet om god informationssäkerhetshantering. DISA består av tio avsnitt med filmer och texter. Flera av budskapen i Tänk säkert-kampanjen återfinns i DISA.

Länk till MSBs utbildning finns att hitta på MSBs hemsida eller MSBs YouTube-kanal.