IT-svindel: Hvorfor sker det, og hvordan undgår vi det?

Learning & Training, IT sikkerhed LÆSETID: 7 MIN

Vi har en epidemi af IT-svindel over os, skriver DR. Falske e-mails bliver sendt ud i hobetal, hvor svindlerne bl.a. udgiver sig for at være Nets - i forsøget på at skaffe personfølsom information. Vores Learning Specialist & Psychologist, Laust, giver dig her mere viden om, hvad det er, hvorfor det sker og hvordan vi undgår det.

laust-1

 

 

 

af Laust Søndertoft Pedersen, Psychologist & Learning Specialist. 

Der er en kraftig stigning i tilfælde af IT-svindel hos danske virksomheder. Den seneste opgørelse fra Datastyrelsen gør det klart, at de fleste sikkerhedsbrud er skabt af menneskelige fejl. Faktisk skyldes op i mod 75% af alle IT-sikkerhedsbrud menneskelige fejl, hvor ansatte har en usikker eller farlig digital adfærd. Altså klikker på links, downloader filer eller går ind på hjemmesider, som er inficerede - og dermed spreder virus eller giver adgang til virksomhedens data. 

For nylig har vi set, hvordan Region Midtjylland har sendt falske mails ud for at teste deres medarbejdere. Og det skræmmende resultat viste, at over halvdelen af medarbejderne klikkede på linket - og på den måde kunne de potentielt blive offer for IT-svindel. Heldigvis var det kun en øvelse, men her bliver det tydeligt, at IT-sikkerhed ikke kun er en opgave for IT-afdelingen. Alle medarbejdere skal forholde sig til det – og så handler det om de ansatte og deres digitale mindset, vaner og adfærd.

Hvorfor sker IT-sikkerhedsbrud?

Det første problem opstår, fordi de fleste af os tænker, at vi ikke har en vigtig rolle i at sikre IT-sikkerheden, og at ingen hacker er på udkig efter os. Men det er ikke rigtigt. Det er netop os, som hackerne målretter deres angreb imod. Hvorfor? Fordi vi mennesker er uopmærksomme, uforsigtige og lette at manipulere og snyde. Det skyldes, at vi ikke tror, at vi er et interessant bytte, men det er vi.

Vi, alle ansatte – høj som lav, er indgangen til hele virksomhedens data, forretningshemmeligheder og penge. Groft sagt, så trykker vi løs på links og hjemmesider uden at vide eller tænke på, at vi giver hackerne fri adgang til virksomheden.

Hvad kan vi gøre for at forbedre IT-sikkerheden?

Der er tre faktorer, som er særligt vigtige, hvis vil forbedre IT-sikkerheden hos alle ansatte i virksomheden. Og ja – det er alle ansatte, vi skal have fat i.

Den første handler om de ansattes IT-mindset. Alle ansatte skal vide og tro på, at de er en af de vigtigste faktorer, når det kommer til at beskytte sig imod IT-sikkerhedsbrud. Og alle medarbejdere skal vide, at de faktisk kan gøre meget for at forbedre IT-sikkerheden markant. Metaforisk set skal alle mennesker forstille sig, at de er en menneskelig firewall.

Den anden faktor handler om vores digitale vaner. De digitale vaner er en stor fordel i vores arbejdsliv, fordi de gør os hurtige og effektive. Vanernes skyggeside er dog, at de har magt over os, de er ubevidste og de er meget lette at snyde. Og det benytter hackerne sig af.

Hackerne er raffinerede i deres metoder. De forsøger typisk at snyde vores vaner ved at manipulere vores følelser, vores nysgerrighed, vores behov for social bekræftelse og vores tid – eller mangel på samme. 

Når svindlerne udnytter vanerne - CEO-fraud

Et meget brugt svindelnummer er at modtage en mail fra en, der udgiver sig for at være din CEO. I mailen bliver du bedt om straks at overføre penge. Og hvem vil skuffe chefen? Mange overfører i bedste tro – uden at vide, at de netop har været udsat for CEO-fraud. Her spiller hackerne på vores autoritetstro og vores behov for at passe ind og blive anerkendt. Og så overfører vi penge uden at tænke os om. 

Se videoen herunder og få uddybet CEO-fraud: 

 

Det kan også være en mail om, at man har fået penge tilbage i SKAT. Det stimulerer både en følelse af glæde og nysgerrighed. Og så er det kun et klik væk. Hackerne kan også udnytte vores travle hverdag ved at sende en vedhæftet fil i en mail, hvor der står, at man lige hurtigt skal give feedback på den nye strategi. Vi føler os beærede over at være særligt udvalgt til denne opgave, og på den måde udnytter og manipulerer de vores automatiske digitale vaner. Og det kan koste dyrt. 

Den tredje faktor er adfærd, som handler om, hvad vi rent faktisk kan gøre for at ændre vores mindset og vaner. Vi skal blive ved med at øve, træne og snakke om det. IT-selvforsvar er en af de vigtigste nye soft skills, når det kommer til at beskytte os selv i en digital verden. Det er ikke nok at have en IT-sikkerhedspolitik.

Gør IT-sikkerhed effektivt, sjovt og lærerigt

IT-sikkerhed kan gøres sjovt, effektivt og lærerigt gennem digitale læringsspil og nano-learnings. Her kan man helt praktisk træne, hvordan man laver et godt password, hvordan man tjekker mails for inficerede links eller hvordan man undgår at give fortrolig information væk. Man øver sig helt uden virksomheden bliver inficeret af virus, udsættes for datalæg eller et ødelagt omdømme.

Der skal kort sagt skabes en kultur, hvor man snakker og forholder sig til IT-sikkerhed. 9 ud af 10 virksomheder bliver hacket, men kun ca. 20% snakker om det, som tabuiserer det hos de ansatte. IT-sikkerhed får får dermed ikke den opmærksomhed, som det fortjener. Vi skal træne IT-sikkerhed i praksis, vi skal snakke om det over frokosten og vi skal dele tips med hinanden - og forholde os til det hele tiden. Det går ikke over.

 

Fem simple tips, der formindsker IT-sikkerhedsbrud i din virksomhed:

  • Lav stærke passwords og brug to-faktor godkendelse.
  • Vær mistænksom – tag en dyb indånding og tænk før du trykker.
  • Lær at identificere de mest kendte tricks og metoder.
  • Udlever aldrig passwords eller fortrolig information pr. mail eller telefon.
  • Hvis du er i tvivl, så kontakt altid din leder eller IT-afdelingen.

 

 

Sæt strøm til jeres compliance-træning - hent e-bog

Se mere om vores læringsspil i IT-selvforsvar

 

 

 

Få inspiration, tips og nyheder omkring digital læring