Sikkerhedskultur er kritisk for it-sikkerheden

Det er vigtigt, at man har en politik om, at det er ok at spørge folk om, hvem de er, og hvad de laver her. Og man bør insistere på, at de bærer deres medarbejder-id synligt og så gennemføre det helt op til toppen, så når chefen kommer og har gæster, så har han også sit id-kort på, selvom det ser lidt fjollet ud med sådan et plastikkort på en fin blazer.
Henrik Lund Kramshøj

Ledelsen lader medarbejderne i stikken, hvis ikke de tager ansvar for at udvikle en stærk kultur omkring IT-sikkerhed. Det bør ikke være op til den enkelte medarbejder, at hele virksomhedens har en forsvarlig IT-sikkerhed, mener Henrik Lund Kramshøj, der som Network Security Engineer arbejder med IT-sikkerhed i virksomheden PatientSky Danmark.

Ifølge ham bør ledelsen tager initiativ og indarbejde IT-sikkerhedskultur i sine strategier:

”Man skal få indarbejdet nogle gode eksempler og gå forrest med dem. Det er noget ledelsen skal med ind over og vise, at de tager alvorligt. Det er noget af det, der skal komme oppefra og ned. Og hvis de ikke selv har kompetencerne, skal de hyre nogen udefra.”

Ifølge Henrik Lund Kramshøj er en virksomheds IT-sikkerhedskultur de vaner, som medarbejdere og ledelse opbygger for at beskytte virksomhedens data, netværk og computersystemer. Der er tale om både tekniske og sociale vaner. Det er for eksempel, hvordan man genererer og passer på adgangskoder, såvel som hvem man giver adgang til fortrolige oplysninger om eksempelvis kunder.

Som i militæret

Udover tekniske systemer er it-sikkerhed også en tankegang, der skal omsættes til handling. Først når handlingerne er sat i system og blevet gjort til vaner, er der tale om en egentlig kultur. Et kernebegreb inden for IT-sikkerhedskultur er operationel sikkerhed, der har militær oprindelse, men som er blevet overtaget af sikkerhedseksperter verden over. Hovedreglen for operationel sikkerhed er, at man kun skal dele følsomme oplysninger med de medarbejdere, der skal bruge dem for at kunne udføre deres arbejde. For jo flere der har adgang til information, jo større er risikoen for, at den falder i de forkerte hænder.

Det første skridt hen imod at udvikle sikkerhedskulturen i en virksomhed er, at medarbejdere og ledelse forstår og bakker op om virksomhedens mission, vision og værdigrundlag. Sikkerhed ligger nemlig i direkte forlængelse af resten af virksomhedens strategi. Hvis virksomheden ikke kan håndtere sine sikkerhedsrisici, bliver den nemt forhindret i at opfylde det formål, den ellers er sat i verden til.

Ikke hos medarbejderne

Lige som Henrik Lund Kramshøj mener Lars Syberg, som er chefkonsulent hos IT-sikkerhedsvirksomheden Fort Consult, at udviklingen af en IT-sikkerhedskultur er et strategisk ansvar, der ligger hos ledelsen. Og det er et ansvar, som forpligter:

”Ansvaret ligger overhovedet ikke hos medarbejderne. De er blot gidsler i det her. Man kan ikke forvente, at de er digitale eksperter alle sammen. Og det er de sandsynligvis heller ikke ansat til at være. Man giver dem et værktøj, når man giver dem en computer. Og så må man jo sørge for, at det værktøj fungerer, som det skal, og at de har fået den instruktion, der skal til for at bruge det, inklusiv sikkerhedsbevidsthed,” siger Lars Syberg.

Ifølge ham skal denne kultur gerne blive en så indgroet del af medarbejderne, at de tager den med hjem. For hvis medarbejderne i en virksomhed bliver bedre til at passe på sig selv privat, bliver de også bedre til at passe på virksomheden.

”Det er også noget, som er relevant i folks privatliv, hvor der er flere og flere trusler, som man skal forholde sig til. Og det er jo en fordel for virksomhederne, for de får så nogle medarbejdere, som er lidt mere interesserede i, hvordan de kan gøre tingene rigtigt,” siger Lars Syberg.

For at udvikle sin sikkerhedskultur er det imidlertid nødvendigt at vide, hvem man forsøger at beskytte sig imod.

Man skal kende sin modstander

Og det handler først og fremmest om at kunne vurdere, hvilke digitale trusler virksomheden er omgivet af. Kun på den måde kan man minimere risikoen ved at tage kvalificerede forholdsregler.

For de flestes virksomheder såvel som privatpersoner er IT-kriminalitet den største digitale risiko, og derfor den, som man skal starte med at sikre sig imod.

IT-kriminelle tjener penge på at udnytte almindelige menneskers ofte manglende sikkerhedskultur til at stjæle kreditkortoplysninger, holde vigtige data som gidsel mod betydelige løsesummer, eller overtage computere og bruge dem som platforme for mere kriminalitet, fx i form af spam eller overbelastningsangreb på hjemmesider.

”E-mail er den største angrebsvektor for tiden,” siger Lars Syberg. Phishing-angreb, hvor IT-kriminelle benytter falske emails til at få adgang til computersystemer, er lige nu den største trussel imod organisationers såvel som privatpersoners IT-sikkerhed. De falske e-mails bliver brugt til enten at aflure modtagerens brugernavn og adgangskode og andre følsomme oplysninger, eller til at inficere computersystemer med ondsindet software, populært kaldet malware.

Mennesker er den største sårbarhed

IT-kriminelle angriber aldrig der, hvor sikkerheden er stærkest, men kigger efter det svageste led. Og det er oftest personen bag computeren. Problemet er derfor i sin natur ikke teknologisk, selvom det handler om software og computere. Det er et psykologisk problem. Det er et grundlæggende træk ved mennesker — det at vi i udgangspunktet stoler på hinanden — der gør, at angrebet overhovedet kan lykkes, og at IT-kriminelle derfor overhovedet forsøger det.

Phishing-angreb er en af de typer digitale angreb, der bredt går under betegnelsen social engineering og som har som fællestræk, at de i udgangspunktet ikke benytter tekniske sårheder, men i stedet angriber psykologiske tilbøjeligheder i sociale situationer. Det er relativ nemt at manipulere folk til at afgive information ved at udnytte grundlæggende karakteregenskaber som tillid, nysgerrighed og hjælpsomhed.

Den almindelige tilbøjelighed til i udgangspunktet at stole på andre, er et af de træk, der gør det muligt for mennesker at samarbejde, men hvis man ønsker at gennembryde sikkerheden på et IT-system, er det også en sårbarhed, der kan udnyttes.

Simpel risikovurdering

En anden måde kriminelle får adgang til IT-systemer er ved fysisk at trænge ind i de bygninger, som computere og netværk befinder sig i. I de tilfælde er det oftest ved at snyde sig ind, at de får adgang, gennem såkaldte tailgaiting-angreb, hvor man går ind ad en ellers låst dør lige efter en, der har adgangskort og som af høflighed holder døren. Det øger risikoen for uautoriseret adgang til interne netværk og computersystemer, foruden simpelt tyveri af udstyr.

Når Fort Consult laver sikkerhedstest for virksomheder indgår social engineering som en integreret del i deres anbefalinger, og det er ofte også noget, som kunderne selv efterspørger.

”Det er primært phishing angreb, men vi laver også nogle bredere test hvor usb-nøgler indgår eller ligefrem at trænge ind i bygningen,” siger Lars Syberg. Men for kriminelle indgår der en simpel risikovurdering, når man planlægger et angreb:

”Hvis man er kriminel og vil have data ud af en virksomhed, så handler det om, hvor man har den bedste chance for succes og den laveste risiko. Og man kan opnå fin succes ved for eksempel at trænge ind i en bygning, men så man er der jo rent fysisk, og man er mere i farezonen fremfor bare at kunne sidde bag en computer og sende nogle mails,” siger Lars Syberg.

Medarbejderne er forreste forsvarslinje

”Det er vigtigt, at medarbejderne har en forståelse for denne type angreb. De skal kunne gennemskue de her mails og vide, hvad de må og ikke må med vedhæftede filer og links eller instruktioner om at gøre det ene eller det andet,” siger Lars Syberg.

Til at skabe grundlag for denne forståelse bør virksomheder ifølge Henrik Lund Kramshøj udsætte deres medarbejdere for de selvsamme angreb, som de vil beskytte sig imod:

”Noget af det mest effektive til at stoppe phishing-angreb er, at man selv laver dem på sine medarbejdere, før det sker udefra. Det vil sige, at man laver falske e-mail-kampagner. Så ser man, at der selvfølgelig er nogen, der går i fælden. Dem tager man så en snak med. Bagefter fremhæver man over for alle andre i resten af organisationen, at det her er noget, der sker og kan ske.”

Da det primært ikke er tekniske angreb, er der heller ikke en teknisk løsning, der beskytter imod social engineering:

”Det drejer sig om personer og om at skabe opmærksomhed hos dem, da det er en menneskelig fejl,” siger Henrik Lund Kramshøj. Han fortsætter: ”Man skal gøre opmærksom på nogle af de tricks som social engineering udnytter.”

Når folk dummer sig

Lars Syberg er enig i, at sikkerhedskultur i organisationen er en vigtig del af forsvaret imod social engineering:

”Man skal være god til at respondere på phishing angreb, idet man modtager dem og sørge for, at folk indberetter dem til IT-afdelingen, som så kan tage de relevante forholdsregler. Men det er ikke nok, for det er ikke særligt svært at lave phishing mails, som er umulige at gennemskue. Så det handler også om at have forskellige former for tekniske kontroller, der er effektive, når medarbejderne dummer sig.”

Men de tekniske kontroller giver ikke mening uden en grundlæggende forståelse blandt medarbejderne af risikoen ved social engineering, understreger Lars Syberg:

”Der er en masse tekniske ting, man kan gøre, som ikke fjerner risikoen for, at man trykker på phishing links, men som gør konsekvensen en lille smule mindre. Det er derfor, at det er en helhedsløsning, der skal til,” siger han.

Ligesom det er vigtigt at medarbejderne bliver i stand til bedre at gennemskue falske e-mails, er den fysiske sikkerhed på arbejdspladsen også et vigtigt element i sikkerhedskulturen:

”Det er vigtigt, at man har en politik om, at det er ok at spørge folk om, hvem de er, og hvad de laver her. Og man bør insistere på, at de bærer deres medarbejder-id synligt og så gennemføre det helt op til toppen, så når chefen kommer og har gæster, så har han også sit id-kort på, selvom det ser lidt fjollet ud med sådan et plastikkort på en fin blazer,” siger Henrik Lund Kramshøj.

Sikkerhedskultur skal ikke være en forhindring

Sikkerhed er generelt set en omkostning for virksomheder. Virksomheden skal afveje den direkte omkostning ved øget sikkerhed med risikoen for omkostningen ved sikkerhedshændelser. Ligeledes skal man også vurdere, hvor effektivt medarbejderne er i stand til at udføre deres arbejde under strammere sikkerhedsforanstaltninger. God sikkerhedskultur bør nemlig ikke stå i vejen for den praktiske dagligdag.

”Hvis man bliver for sikkerhedsfokuseret, for paranoid så at sige, så bliver det lige pludselig svært at være effektiv. Der bliver jævnligt sendt mails ud, som folk er i tvivl om, om de kan stole på. Det er selvfølgelig en ultimativ sikkerhedskultur, men det blokerer også for at føre forretning. Så det handler om at nå et fornuftigt bevidsthedsniveau, så man kan fange det værste og så lave et beskyttelsesnet under medarbejderne også,” siger Lars Syberg

Og her kan bedre tekniske løsninger ifølge Henrik Lund Kramshøj spille en rolle:

”Man skal kigge på, hvor man kan gøre sikkerhed mindre omkostningstungt for medarbejderne. For det er et problem, hvis man kigger på en virksomhed i dag, at de skal huske en masse logins til en masse systemer, der er adskilte. Og i nogle tilfælde skal man simpelthen droppe gamle systemer, fordi man ikke kan sikre dem godt nok,” siger han.