Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Når medarbejderne går på ferie, bliver de cyberkriminelle mere aktive. De ved godt, at de it-sikkerhedsmæssige parader bliver sænket hen over sommeren og tager fat i alle de gode, gamle tricks fra hackernes lærebog.
”En ting er sikkert: Det er ikke, fordi der kommer en masse ny malware her hen over sommeren. Det behøver de cyberkriminelle nemlig ikke,” siger Leif Jensen, CBO hos Eset Nordics til AOD PRO.
Han pointerer samtidig, at de kriminelle er langt mere opmærksomme hen over sommeren.
Den klassiske CEO-fraud
”De ved, at alle, også chefen, går på ferie og det betyder blandt andet, at de skruer op for det, vi kalder for CEO-fraud,” fortæller Leif Jensen.
Ved CEO-fraud, direktørsvindel, udnytter de kriminelle chefens fravær ved at sende sms og mail til personer i økonomiafdelingen. I beskeden kan der for eksempel stå, at chefen er strandet i et andet land og har brug for penge for at komme hjem igen.
”Så de beder de kriminelle om at få indsat et beløb på et bestemt kontonummer, hvilket naturligvis ikke er deres eget,” pointerer Leif Jensen.
Under ferien er det ofte en afløser, som sidder i økonomiafdelingen, og måske en, der ikke har den samme erfaring som den faste medarbejder, og derved er det mere sandsynligt, at personen kan overbevises om at gøre det, som ”chefen” beder om i beskeden.
”De kriminelle sikrer, at beskeden ligner den, chefen normalt ville sende, så medarbejderen ikke fatter mistanke. Vi skal huske på, at det jo er ok, at chefen er på ferien,” siger Leif Jensen.
Men så er det også vigtigt, at virksomheden har vendt problemstillingen omkring CEO-fraud, for ellers er det forståeligt, at mindre erfarne økonomimedarbejdere falder i de cyberkriminelles fælder.
”En måde at modgå dette på er, at man har aftalt et telefonnummer, der skal ringes på for at tjekke, at det rent faktisk er chefen, der beder om penge,” fremhæver Leif Jensen.
Husk at opdatere
Ferietiden betyder ikke, at sikkerhedshuller i software holder en pause. De dukker op med samme hastighed og frekvens som resten af året, og det skal it-afdelingerne huske på.
”Vi har i mange år fået godt styr på den regelmæssige opdatering af operativsystemer, servere og så videre. Men hvad sker der i ferien? Dropper vi lige de opdateringer,” spørger Leif Jensen.
Det er problematisk at vente med opdateringer, til it-afdelingen er på fuld bemanding igen. For de cyberkriminelle vil udnytte nye sikkerhedshuller præcist som uden for ferieperioden.
”Derfor er det vigtigt at virksomhederne har styr på at få patchet i ferien. Der skal ligge planer og rutiner, for at det bliver klaret,” pointerer Leif Jensen.
Det samme gælder, hvis driften er outsourcet, hvilket sker i stigende grad. Her skal virksomhederne have samme fokus på opdatering.
”Er du virkelig sikker på at din leverandør har bemanding til at klare opdateringsopgaver i ferien?” spørger Leif Jensen.
Pointen er nemlig, at uanset om du har outsourcet driften, så falder ansvaret altid tilbage på virksomheden selv. Derfor er det vigtigt at undersøge, hvordan leverandøren håndterer eventuelle sikkerhedshændelse og klarer opdateringer i ferieperioden.
”Det er vigtigt, at en leverandør er en del af den beredskabsplan, der altid skal være på plads,” siger Leif Jensen.
Han minder også om, at en beredskabsplan ikke er et statisk dokument, men noget der hele tiden skal opdateres, også så den fungerer i ferien.
”Tager den for eksempel højde for ferieafløsere, eller at nøglepersoner måske er væk i bestemte perioder? Og er bemandingen til at håndtere hændelser i ferien?” spørger Leif Jensen.
Tag sikkerheden med på ferie
Endelig er det vigtigt at huske på, at hvis medarbejderne tager virksomhedens hardware, for eksempel en laptop, med på ferie, eller tilgår systemer væk fra kontoret, så skal der tages de nødvendige forholdsregler.
Blandt andet skal der altid bruges en VPN-forbindelse, når virksomhedens systemer skal kontaktes.
”Medarbejderne skal også instrueres i at bruge mobildata og ikke hotellets åbne og usikre Wi-Fi,” siger Leif Jensen.
Det er også vigtigt at sikre, hvis der ligger følsomme data på virksomhedens laptop, at harddisken er krypteret.
”Det gælder både for at sikre virksomhedens data og for at sikre, at GDPR bliver overholdt. Hvis en laptop med personfølsomme data mistes, så kan det koste virksomheden dyrt,” slutter Leif Jensen.