Informationssäkerhet: medvetenhet är nyckeln för din verksamhet

Informationssäkerhet innebär att man skyddar viktig information från obehörig åtkomst, obehöriga förändringar eller skada. Det innebär också att rätt information ska vara tillgänglig för behörig person vid rätt tillfälle. Det är en balansgång att hantera information korrekt och samtidigt göra den tillgänglig.

Vad är information?

Information finns i olika former, exempelvis på papper och elektroniskt, och informationssäkerhet syftar till att skydda information i alla dess former. Information är mycket värdefullt för en verksamhet, och skulle obehöriga göra förändringar eller skada informationen kan det innebära stora konsekvenser. Därför är det viktigt att vi alla är medvetna om att informationen vi hanterar också kan innebära risker, och det är en del i arbetet med informationssäkerhetsmedvetenhet.

Varför är det viktigt att ha koll på informationssäkerhet?

En incident som verkligen bevisar informationssäkerhetsmedvetenhetens betydelse i en verksamhet är det som inträffade Twitter under juli 2020. Twitter drabbades av en social engineering attack (metoder med syftet att manipulera personer till att utföra handlingar eller avslöja konfidentiell information^[1]), där en grupp hackare riktade sig mot Twitter-anställda som hade tillgång till interna verktyg:

Hackarna inledde med att ringa Twitter-anställda och påstod att dem ringde från Twitters Help Desk. Hackarna hävdade att de svarade på ett problem som den anställde hade rapporterat om sin VPN-uppkoppling (en krypterad förbindelse mellan användare på distans och ett lokalt nätverk som under den tiden strulade hos Twitter eftersom många arbetade hemifrån och använde sig av tjänsten). Hackarna försökte sedan vägleda den anställde till en phishing-webbplats som såg identisk ut med den legitima Twitter VPN-webbplatsen och hade en domän med liknande namn. När den anställde skrev in sina referenser på nätfiskewebbplatsen, passade hackarna på att samtidigt skriva in samma information på den riktiga Twitter-webbplatsen. Denna falska inloggning genererade ett MFA-meddelande som begärde att de anställda skulle autentisera sig, vilket några av de anställda gjorde i tro om att det handlade om deras egen inloggning. När hackarna fick åtkomst till de anställdas konton och de interna verktygen, tog de över välkända Twitter-konton och började tweeta inbetalningsförfrågningar via Bitcoin. Hackarna stal Bitcoins för cirka 118 000 $ och skakade om hela Twitter-organisationen genom denna enkla, men välutförda attack^[2].

Därför ska du satsa på att utbilda dina medarbetare

Europa estimeras att investera nästan 47 miljarder dollar i säkerhetsåtgärder under 2022^[3]. Social engineering-attacker kommer dock fortsätta att vara en effektiv metod för hackare att ta sig in i en organisation, trots stora investeringar i cybersäkerhet och tekniska åtgärder som implementerats. Twitter-attacken är ett exempel som bevisar att denna typ av exploatering även kan drabba stora techbolag. Eftersom säkerhetshot kan komma både inifrån verksamheten och utifrån så kommer användare med låg informationssäkerhetsmedvetenhet alltid vara det största hotet i internsäkerheten, även om de interna hoten kan vara mer kontrollerbara genom tekniska åtgärder.

Stärk din verksamhet genom utbildning

I en rapport från 2022 lyfter Verizon fram att det är det mänskliga elementet som fortsätter vara en central orsak till dataintrång. Oavsett om det är användningen av svaga lösenord, nätfiske eller helt enkelt ett mänskligt fel, så är det vi människor som spelar en betydande roll i både incidenter och intrång^[4]. Användarnas beteende är en stor faktor för hur effektivt verksamheten kan efterleva informationssäkerhetskrav. Hanteringen av informationssäkerhetsutmaningar är nämligen inte bara en teknisk fråga, utan också en administrations- och personalfråga. Det är dessutom svårt att förhindra interna säkerhetshot som orsakas av individer eftersom det inte går att övervaka och kontrollera alla anställdas beteenden.

Därför är det bra att implementera administrativa åtgärder som exempelvis styrdokument med rutiner och riktlinjer för anställda. Styrdokumenten berättar vad man bör tänka på gällande informationssäkerhet och riskerna i sitt dagliga arbete. Men för att styrdokumenten ska fungera effektivt krävs det att användaren inte bara vet att och varför de finns, utan också följer riktlinjerna och jobbar enligt dem.

Vad kan du göra för att öka medvetenheten bland dina medarbetare?

Så här kan du ge dina medarbetare rätt förutsättningar för att skydda verksamhetens värdefulla information:

• Ledningens ansvar – Ledningen har en viktig del i att öka medvetenheten inom verksamheten. Det kan exempelvis vara genom att de tar ett stort ansvar och sprider kunskap om informationssäkerhet och att de föregår med gott exempel, vilket i sin tur kan bidra till en förbättrad säkerhetskultur.
• Sprida kunskap – Genom att sprida information om fakta och insikter kring informationssäkerhet kan du öka medvetenheten. Informationen kan du exempelvis sprida genom verksamhetens intranät eller i gemensamma teamskanaler och såklart även analogt med hjälp av informerande affischer på arbetsplatsen.
• Utbildning – För att öka kunskapen och medvetenheten hos användare är det bra att genomföra utbildningar och aktiviteter där alla får lära sig om risker och hot, samt hur man ska hantera information på ett bra sätt. En viktig aspekt i utbildningar för dina medarbetare är att dessa bör ske kontinuerligt för att hålla kunskapen aktuell.

Vi hjälper dig och dina medarbetare att bli mer medvetna kring informationssäkerhet

Advanias tjänst Medveten och säker hjälper din verksamhet att bli mer medveten genom att stärka och utbilda medarbetarna inom IT-säkerhet. I denna tjänst använder vi oss av de tre områdena identifiera, skapa medvetande samt hantera och reducera. Vi mäter användarnas mognadsgrad, skapar medvetande genom utbildningar, samt ger förslag på förbättringar. Behöver du stöd i säkerhetsarbetet? Kontakta oss så hjälper vi dig!

Referenser

[1] https://sv.wikipedia.org/wiki/Social_manipulation

[2] https://www.dfs.ny.gov/Twitter_Report

[3] https://www.idc.com/getdoc.jsp?containerId=prEUR149609822

[4] https://www.verizon.com/business/en-sg/resources/reports/dbir/2022/summary-of-findings