Annonce
Annonce

Hvis det ikke var for den menneskelige faktor

billede
Læs mere
Fold sammen

Ingen teknologi kan holde hackere ude. Det er et faktum, sikkerhedseksperter i disse år forsøger at få CIOs og CEOs til at indse. Det svage led er den menneskelige faktor.

Virksomhedens teknologiske formåen skal stadig være på omgangshøjde i våbenkapløbet med cyberkriminelle, men det er på medarbejdersiden, der skal sættes ind.
Årsagen hedder ”social engineering,” hvor kriminelle udnytter, at en enkelt menneskelig fejl som regel er nok til at få adgang til et helt netværk. Det er nemt, uden risiko, og hackeren behøver ikke den store tekniske viden. Ifølge Dansk Brand- og Sikringsteknisk Institut, en del af GTS (Godkendte Teknologiske Serviceinstitutter), omfatter cirka 90 procent af samtlige sikkerhedsbrug det menneskelige element.

Internettet med dets mange informationer har gjort disciplinen mere avanceret og dermed sværere at undgå. ”Tidligere handlede Social Engineering meget om det menneskelige møde, men i takt med den samfundsmæssige udvikling har det udviklet sig til en 2.0-version, hvor man forud for mødet benytter sig af informationer fra åbne kilder,” forklarer Dennis Hansen, efterforskningskonsulent hos Dansk Brand- og Sikrings Institut.
Det er således nemt for en angriber at finde informationer som antal ansatte, navne, kontaktdata samt formentlig ansvarsområder.

”Ved hjælp af sociale medier som Facebook, LinkedIn og Twitter kan man kortlægge relationer og bestemme medarbejdernes personlighedstyper. Hvem der er åbne, hvem der er lukkede, hvor længe de har været på arbejdspladsen, er de glade eller utilfredse, hvilke interesser har de, og hvor færdes de. De informationer bruger man til at narre folk til at klikke på links eller indtaste brugernavn og password. Vi deler mere information, den er lettere at få fat på, og dermed lettere at misbruge,” siger Dennis Hansen.

Løsningen for virksomheden er en enkel, men fortløbende proces: Information, uddannelse samt ikke mindst motivation til hele organisationen. Samtidig er det afgørende at tænke proaktivt. ”Vi underviser virksomhedsbrugere i at identificere sociale engineering angreb, inden de når at udgøre en trussel. SVA (Social Vulnerability Assessment) vurderer brugernes udsathed og gennemfører interaktiv awareness-træning,” forklarer Dennis Hansen.
Her er et udvalg af eksempler på social engineering, de fleste organisationer kan komme ud for.

Baiting (bruge madding)
Angriberen udnytter en medarbejders nysgerrighed eller grådighed. Det kan for eksempel være spændende information, som kun er et klik væk. Eller hackeren kan vælge den veletablerede metode med at efterlade en usb-nøgle med det rette firmalogo, for eksempel på virksomheden parkeringsplads. Såkaldte penetrationstest viser en succesrate på over 90 procent.

Phishing
Baiting-teknikken via e-mail, hvor det gælder om at få modtageren til at klikke på et link eller en vedhæftet fil. Med social engineering 2.0 hedder det spear-phishing, hvor angriberen går efter enkeltpersoner med omhyggelige, men falske emails.

Pretexting
Endnu en simpel, men effektiv metode, hvor en hacker udgiver sig for at være fra en anden del af virksomheden, fra en kunde eller samarbejdspartner. En hacker kan således ringe rundt i virksomheden og udgive sig som it-supporter. På et tidspunkt får hackeren fat i en medarbejder, der venter på at høre fra virksomhedens helpdesk. Hackeren kan nu uden at vække mistanke bede om brugernavne, adgangskoder og anden sensitiv information.

Tailgaiting
Her får hackeren adgang til en bygning, og dermed sandsynligvis et netværksstik. Det foregår typisk ved at smutte ind sammen med en autoriseret medarbejder, der kan være en dør på klem, eller virksomheden har placeret netværksstik uden for områder med autoriseret adgang.
Social engineering handler derfor ikke kun om adgang via teknologi, men midlerne er psykologi og menneskelig svaghed. Derfor er løsningen heller ikke teknologisk, men menneskebaseret, gennem ledelse.