Erhvervsstyrelsen offentliggjorde i efteråret 2021 en undersøgelse, der viste, at 40 pct. af de danske virksomheder ikke har prioriteret deres egen sikkerhed tilstrækkeligt. I de seneste år har vi set en markant udbredelse af hjemmearbejdspladser, som kan være én af grundene til det høje tal.
Det er velkendt, at coronapandemien satte nye vilkår for vores måde at arbejde på. Begrebet Flexible Work blev adopteret af virksomheder og organisationer. Ordet betyder i sin enkelhed, at medarbejdere ikke længere er bundet til deres skrivebord, men i stedet kan udføre deres arbejdsopgaver i mere fleksible rammer.
”Jeg vil egentlig ikke sige, at pandemien forandrede noget, men den satte blandt andet udrulningen af digitale kommunikations-
løsninger op i et meget højere gear. Og så er det klart, at frasen: alle, der har mulighed for at arbejde hjemmefra, skal gøre det, har været med til at gøre hjemmekontoret til en accepteret norm i erhvervslivet”, siger Mikkel Kruse, erhvervsdirektør for Telenor i Danmark.
I dag ser vi, at tre ud af fire virksomheder planlægger udvidelse af hjemmearbejdspladser til deres medarbejderstab. Det viser sig nemlig, at hjemmearbejde i mange tilfælde højner produktiviteten og medarbejdertilfredsheden, men som bekendt har medaljen også en bagside.
Flere indgange giver højere risiko
”I dag er vi faktisk mere digitale, end vi er sikkerhedsmæssigt bevidste om. Vi hører ofte om den digitale omstilling, som om det hører en fjern fremtid til. Men i hjemmene ser vi altså både robotstøvsugere og -plæneklippere, smartphones, tablets, vandingsanlæg, Smart TV og så videre. Alt sammen enheder, som er koblet på nettet, og som mangedobler indgangsmulighederne for hackerne. Blandt andet derfor kan hjemmearbejde i erhvervsregi være en risikofyldt kombination, hvis virksomhederne ikke har taget deres forholdsregler”, påpeger Mikkel Kruse.
I dag er det normalt, at en medarbejder har to-tre enheder til at udføre deres arbejdsopgaver. Det kan f.eks. være smartphone, tablet og bærbar computer. Alt efter antallet af medarbejdere har virksomhedens IT-administration fået en arbejdsbyrde med at holde styr på enhederne, når de principielt kan være spredt ud over hele landet. Herudover er der også en forhøjet risiko, når medarbejderne benytter enhederne i hjemmet. Hver gang vi bruger tablets eller devices på eget wi-fi, åbner vi faktisk op for virksomhedsfølsomme data, som kan falde i de forkerte hænder. Derfor er det mere vigtigt end før, at alle enheder sikres med en opdeling mellem privatdata- og virksomhedsdata, påpeger Mikkel Kruse.
Hvad siger hackeren?
Morten Eskildsen, der er White Hat-Hacker i egen konsulentvirksomhed og Mobileay, samt tidligere kaptajn for det danske cyberlandshold, arbejder bl.a. med at afdække virksomheders digitale sårbarheder.
Han sætter sig ind i hackernes tankegang og i gruppedynamikkerne på arbejdspladsen – eller manglen på samme. Morten Eskildsen bidrager til denne samtale: Vores adfærd på kontorarbejdspladsen er, at vi spørger hinanden om 117 forskellige ting i dagens løb, både stort og småt. Vi spørger sidemanden, hvis vi er i tvivl. Hvis vi modtager en mail, som vi er i tvivl om kan være ondsindet, så kan vi hurtigt og ubesværet vende det med sidemanden. Der er både et par ekstra øjne og det talte ord indenfor rækkevidde. Det gør sig ikke gældende derhjemme, hvor der ikke er en sidemand at spørge til råds, hvis vi er i tvivl. Derfor undlader vi ofte at søge bekræftelse på mavefornemmelsen. Vi risikerer at føle os dumme ved at udstille vores tvivl – selvom det rigtige er at spørge.
Dén mekanisme har hackerne indset, og derfor målretter de sig i højere grad medarbejdere via phishingmails, som er blevet mere udspekulerede og relevante for os end tidligere set. En phishingmail kan f.eks. være med din kollega som afsender, en invitation til fredagsbanko i afdelingen eller noget helt tredje, der taler ind i medarbejdernes virkelighed.
”Det er ganske udspekuleret, og hackeren ved, at de skal forsøge at skabe tillid og få os til at sænke paraderne. Og det har de bedre held med, når de fanger os alene på hjemmekontoret,” siger Morten Eskildsen.
Phishing på flere kanaler
Phishing-fænomenet kommer nu ikke længere kun via en mail. Cyberkriminelle er også begyndt at sende phishing-SMS’er, og antallet af den slags er på det seneste steget eksplosivt. Det kan f.eks. være beskeder, der ser ud til at være sendt fra chefen, og typisk med et indhold om at overføre penge i en fart. Det kan også være såkaldte deepfakes, som er misbrug af syntetiske medier, hvor en person i et billede eller en video erstattes med en anden. Manipulationen sker ved at høste data og kommunikationsbidder fra den stærkt forøgede kommunikation via mail, Teams, Zoom med videre.
”Vi ser eksempler på SMS og mail, der anvendes i en phishing-kombination, hvor den ene kommunikation understøtter den anden,” fortæller Morten Eskildsen.
Balancen mellem adfærd og systemsikkerhed
Den udbredte Office-pakke er et yndet mål for hackerne, både i form af vedhæftede filer og tyveri af loginoplysninger, to-faktor er den obligatoriske begyndelse, men det er ikke nok i sig selv. Da det ikke dækker alle typer af angreb.
”Hvis jeg skal pege på én anden ting, man som systemadministrator med fordel kunne kigge på ift. at sikre hjemmekontoret, så er det igen med udgangspunkt i phishing og Office. Start med at deaktivere makroer globalt i virksomheden, så de slet ikke kan afvikles, uanset hvad medarbejdere ellers fejlagtigt prøver at tillade. Der er måske enkelte, der har brug for det, men så tillad det for dem, men begræns alle andre. Bare fordi én medarbejder har et behov, behøver alle andre ikke kunne det samme,” siger Morten Eskildsen.
Sikkerhedsbrist er ikke et tabu
”Jeg hiver ofte ugens bedste phishing-mail frem og får en samtale om det. Vi bemærker forskellige aspekter ved en sådan kommunikation, og det er godt også at få grinet lidt ad det, så vi i det hele taget kan få reduceret tabuet om at være i tvivl,” fortæller Morten Eskildsen.
Mikkel Kruse supplerer: ”Det er vigtigt at undervise medarbejdere i en bedre sikkerhedsadfærd, særligt når vi arbejder hjemmefra, hvor IT-administrationen ikke ligger lige til venstre for kaffemaskinen. Virksomhed og medarbejder har et fælles ansvar for at dele og tage imod viden. Derfor skal sikkerhed også være en kulturel størrelse i virksomhederne, så emnet bliver taget alvorligt. Kurser gør det desværre heller ikke alene. System og adfærd er en vekselvirkning, men oplæring i at forstå og fange phishing-mails kan faktisk betyde, at virksomheden kan undgå en dusør fra hackerne for ikke at dele virksomhedsfølsomme data.” Ifølge Telenor-direktøren findes der ikke en enkelt snuptagsløsning.
”Vi kan ikke opfinde en pakkeløsning, hvor vi med ét tryk kan føle os sikre. De cyberkriminelle er hele tiden foran, men vi kan komme langt med forebyggelse, så vi ikke bliver hægtet helt af. Sikkerhed er evigt aktuelt og foranderligt, og noget, vi altid skal forholde os til. Med den rette kombination af system og adfærd kan vi forhåbentlig indrette os på en måde, så det ikke fylder for meget i vores arbejdsdag,” slutter Mikkel Kruse.
Gode råd fra Telenor om sikring af den mobile arbejdsplads
Opdeling af privat- og virksomhedsdata
I kraft af de mange nye hjemmearbejdspladser mister virksomheder nemt overblikket over brugen af deres enheder. Ved hjælp af et MDM-system (Mobile Device Management) kan en administrator få overblik over alle enheder samtidig med, at der vil være en digital opdeling mellem data, så privat- og arbejdsbrug holdes adskilt. Herudover er der en praktisk sårbarhed, når enheder spredes fysisk. Der er større risiko for at miste sin enhed, og her kan samme administrator slette data, nulstille enheden eller låse den for uvedkommende. Herudover kan telefonen indstilles til ikke at kunne tage billeder i arbejdstiden.
Én netadgang til erhvervsbrug
Brug af netværk derhjemme: Sørg for at dele det private netværk op, og lad ikke andre online enheder, f.eks. TV, køre på samme netværk. Et TV er et eksempel på en enhed, der før var offline, men nu er kommet på nettet, hvilket er dejlig bekvemt, men ikke videre betryggende, fordi softwaren, der styrer forbindelsen mellem nettet og fjernsynet, ikke nødvendigvis er opdateret.
Få prioriteret sikkerheden
Mange virksomheder er faktisk bevidste om behovet for sikkerhed, men typisk er det ikke noget, man får prioriteret i hverdagen. Ved hjælp af en indsigtsrapport kan virksomheden få en konkret handleplan, der viser, hvor de kan få mest sikkerhedsmæssig værdi – nu og på sigt. Herudover får virksomheden også en beredskabsplan, der forholder sig forskellige scenarier af sikkerhedsbrist.
E-learning
Det er en gammel traver, men vi er altså ikke stærkere end det svageste led. Få gjort sikkerhedsspørgsmålet til en del af medarbejdernes bevidsthed, når de begår sig digitalt. Det kræver, at virksomheden selv tager sikkerheden alvorligt og tilbyder kurser, som medarbejderne kan tage. I dag ser vi, at hackerne målretter sig medarbejdernes mails og systemer. Derfor er vores fælles adfærd mere vigtig end før.
