”IT-säkerhetsreglerna måste gälla för alla – även ledningen”

Mänskliga misstag mer avgörande än avancerad teknik

Det finns en utbredd missuppfattning om att IT-brottslingar är teknikexperter som använder avancerade metoder och sofistikerade tekniker för att få tillgång till nätverk och data. Verkligheten är dock att den överväldigande majoriteten av säkerhetsincidenter och dataintrång (74 procent) inträffar på grund av vad vi kallar den mänskliga faktorn, det vill säga mänskliga misstag, missbruk av privilegier, användning av stulna referenser eller social ingenjörskonst, där teknisk expertis inte är det avgörande elementet.

Det handlar kort och gott om att människor och anställda gör misstag eller manipuleras till det, vilket i sin tur gör företagens nätverk sårbara för kriminella. Denna orsak till intrång i datasäkerheten är fortfarande dominerande, även om allt fler företag på senare år har prioriterat att utveckla och utbilda sina anställda inom IT-säkerhet.

Ärenden med falska förevändningar fördubblades på ett år

Ett av de vanligaste sätten att utnyttja den mänskliga faktorn är så kallad “social engineering”. Det är en taktik där människor utsätts för manipulation och luras till att avslöja information och data som kan användas för att få tillgång till ett nätverk. Antalet fall där social engineering används har ökat, vilket inte minst beror på en fördubbling av antalet fall där falska förevändningar (pretexting) används för att äventyra datasäkerheten.

Pretexting är en typ av social engineering där en kriminell aktör utger sig för att vara en betrodd person eller organisation, för att tillskansa sig känslig information. Den ökade effektiviteten vid pretexting är troligen proportionell med dess ökade komplexitet. Detta är oroande, inte minst i ljuset av nya teknologier som till exempel generativ ai, vars avancerade möjligheter till språkbehandling kan användas för att efterlikna individers talmönster. Denna aspekt är fortfarande för ny för att registreras i årets DBIR-undersökning, men det skulle inte vara förvånande om den dyker upp i nästa års rapport.

Attacker leder till stora förluster

Pretexting används ofta vid BEC-attacker (business e-mail compromise) där cyberkriminella tillskansar sig åtkomst till ett e-postkonto kopplat till ett företag i syfte att utge sig för att vara ägare till kontot. Medianbeloppet som stulits i BEC-attacker har stigit till över en halv miljon kronor under de senaste åren.

Men BEC är verkligen inte den enda attackmetoden som har blivit dyrare. Mediankostnaden per ransomware-attack har fördubblats under de senaste två åren, då 95 procent av ransomware-attacker resulterade i förluster på mellan 10,7 och 24 miljoner kronor.

Sist men inte minst: Cheferna ska också följa IT-säkerhetsregler

Ofta är det personerna med tillgång till ett företags mest känsliga information även de som är mest sårbara för en cyberattack: nämligen ledningen. Även om företag har investerat i IT-säkerhet och uppgraderat sin kritiska infrastruktur, gör de ofta undantag för ledningen, vilket undergräver grundläggande säkerhetsinsatser. För att vara effektiva i att försvara sig mot de ständigt föränderliga cyberhoten måste företag tillämpa säkerhetsprotokoll som gäller alla – utan undantag.

Brigitte Elwes är senior manager, Cybersecurity Solutions, Verizon Business i Norden och Benelux

Denna artikel var tidigare publicerad på tidningen telekomidag.se