Toppledere er hackernes mest verdifulle mål – slik motstår du angrep

Toppledere er mer utsatt for datakriminalitet enn noen andre av bedriftens ansatte. De har stor makt og beslutningsmyndighet, og har tilgang til bedriftens aller mest sensitive informasjon, som strategier, resultater og sensitiv korrespondanse. Derfor er toppledere hackernes mest verdifulle mål.

 

Hva er phishing?

En av de vanligste angrepsformene mot toppledere er såkalt «phishing». Det vil si at et phising-angrep rettet mot bedriftens aller største fisk, der de kriminelle forsøker å tilegne seg sensitiv informasjon eller å lure seg til penger.

For å begå phishing velger hackeren seg ut høytstående personer i næringslivet og samler så mye informasjon om dem som mulig. De bruker denne informasjonen til å sende personlige e-poster som ser ut til å komme fra en person de kjenner, for eksempel andre ledere i bedriften.

E-posten inneholder oftest et ondsinnet dataprogram, eller malware, som installerer skadelig programvare på topplederens maskin, eller fører mottakeren til et nettsted der de lures til å gi fra seg passord, kredittkortdetaljer eller sensitive personlige opplysninger.

 

Hvorfor utøver hackerne phishing?

Selv om «phishing» i seg selv er en betydelig trussel, så stopper de kriminelle sjelden der. Målet er gjerne å få tilgang til lederens e-postkonto, der de finner frem til e-poster som inneholder ord som «faktura», «overførsel», eller andre ord knyttet til betalinger.

De setter så i gang et svindelforsøk; med topplederens e-postadresse som avsender, kontakter de personer i økonomiavdelingen og autoriserer en overførsel til en bankkonto som hackeren selv kontrollerer.

En annen hensikt kan være å få tilgang til bedriftens systemer fra en brukerkonto med høy sikkerhetsklarering for å hente ut finansdata, forretningshemmeligheter eller annen informasjon.

I noen sammenhenger har man også sett at hackerne ønsker å få tilgang til firmaets samarbeidspartnere via kontoer som har tilgang via 3. parts avtaler.

 

Enormt mange rammes av phishing

I følge FBI så rammer e-postsvindel mer enn 40,000 organisasjoner over hele verden, og kostet 5.3 milliarder dollar mellom oktober 2013 og desember 2016. FBI har derfor gjort phising til et prioritetsområde. Martin Licciardo, en FBI-veteran på Washington-kontoret forklarer i en artikkel utgitt på FBI sin nettside: «E-postsvindel er en alvorlig, global trussel.

Kriminelle organisasjoner som utfører e-postsvindler forbedrer hele tiden sine metoder, og deres evne til å utnytte sine offer er svimlende. De er eksperter på bedrag» Det er viktig at forretningsledere tar e-postsvindel på alvor og iverksetter tiltak som hjelper deres bedrifter å forsvare seg mot phising. Teknologi og sikkerhetsløsninger er et naturlig sted å starte.

Samtidig kan man ikke beskytte seg mot e-postsvindel kun med teknologi. Cato Evensen, regional salgssjef i Palo Alto Networks Norge, syntes at toppledere må gjøre mer, fordi den underliggende trusselen ved en e-postsvindel er menneskelig, ikke bare teknologisk.

 

Hvem er hvem, og hva er hva

«En av de mest bemerkelsesverdige tingene med e-postsvindel er at de er avhengige av menneskelige og organisatoriske feil for å lykkes,» sier Evensen. «De mest effektive svindlene bruker kunnskap om målorganisasjonen for å lykkes», forklarer han. «Teknologien er på mange måter sekundær; disse svindlene baseres på å forstå hvem som er hvem og hva som er hva i målorganisasjonen.»

 

Ledere og ansattes bevissthet og kunnskap om phishing bør styrkes

Med det i bakhodet, så må ledere jobbe med å styrke selskapets digitale sikkerhetsretningslinjer for å hindre e-postsvindel. De kan, for eksempel, kreve at toppledere gir muntlig autorisasjon til økonomiavdelingen for å gjøre overførsler. E-postbekreftelser er ikke nok. Samtidig bør toppledere gå i bresjen for at hele organisasjonen regelmessig får opplæring innen IT-sikkerhet, som et middel for å forhindre e-postsvindel.

Evensen i Palo Alto Networks Norge understreker også viktigheten av at arbeidstakere gjennomgår sikkerhetsopplæring. «Bruk av interne phishing-øvelser er et enkelt, billig og effektivt verktøy til å høyne de ansattes bevissthet og kunnskap om phising. Det er ikke noe som bør skje en gang i året – det må være kontinuerlig.»

For at phising-opplæringen skal være vellykket, så må toppledere gjøre mer enn å passe på at ansatte deltar. De må vise at phishing er en alvorlig trussel som gjelder alle, kanskje spesielt topplederne selv, og må selv aktivt delta i opplæringen.

 

Åpenhet om egen kunnskapsmangel er viktig

Evensen forklarer at denne prosessen starter med at ledere er åpne om sine egne digitale sikkerhetsmangler: «Ledere som spøker med at de ikke skjønner seg på all den nye teknologien», og ikke tar trusselen på alvor, ender raskt opp som det svake leddet. Han påpeker at «bevissthet og kunnskap om IT-sikkerhet er et ansvar som styremedlemmer i økende grad forstår at de må vurdere.»

Ledere kan gå foran som gode eksempler for de ansatte ved å være åpne om sine egne svakheter i forhold til IT-sikkerhet. Ved å belyse egne mangler, setter ikke lederne bare IT-sikkerhet på agendaen, de bidrar til å forme bedriftens retningslinjer og strategi. Gjennom åpne samtaler med IT-avdelingen, kan de få på plass nye retningslinjer for ansatte, for leverandører, og for andre samarbeidspartnere.

 

Ledere må mobilisere bedriften rundt digital sikkerhet

Toppledere er de fremste målene for phising og e-postsvindel. De har mest beslutningsmyndighet og sitter på den mest verdifulle informasjonen, og kan være lukrative offer. Samtidig er lederne på ingen måte hjelpeløse. De kan bruke sin posisjon til å mobilisere bedriften rundt digital sikkerhet, og skape en mer robust og helhetlig digital sikkerhetsstrategi.

Hvilke sikkerhetsutfordringer ønsker du mer informasjon om?

Hvilke løsninger ønsker du mer informasjon om? Våre eksperter fra Palo Alto Networks gir gjerne anbefalinger knyttet til tekniske løsninger for store konsern eller selskaper med omfattende sikkerhetsbehov.

Alto Ergo

Nettsikker.no

Nettsikker.no eies og utvikles av Westcon. Vi er en ledende distributør av produkter og løsninger innen datasikkerhet, blant annet sikkerhetsløsninger fra Palo Alto Networks. Formålet med siden er å gi generell informasjon om nettsikkerhet og ha dialog med deg som sluttbruker, samt å fortelle om løsningene til Palo Alto Networks som leverer det vi mener er markedets sikreste løsninger.

E-post: Securitysales.no@westcon.com

Ansvarserklæring, personvern, debattregler og cookies.

Følg oss på