Det låter som en klyscha, men en kedja är inte starkare än den svagaste länken och när det kommer till IT-säkerhet i företag är den svagaste länken fortfarande – i de allra flesta fall – de anställda.
När det gäller att få tillgång till företagets infrastruktur, känsliga data eller system lider de kriminella absolut ingen brist på fantasi. De har tillgång till en enorm verktygslåda, och om de verkligen vill komma in i ett företag lägger de mycket tid på forskning för att hitta det bästa sättet att attackera verksamheten.
Det är här problemet uppstår, eftersom många företag tror att om de ”bara” har rätt säkerhetssystem så har de också blockerat nätbrottslingarna. Sanningen är en helt annan. Inte ens de bästa och säkraste IT-systemen kan skydda mot anställda som kringgår dem – oftast för att de inte vet bättre.
Några av de verktyg och metoder som används av nätbrottslingar spelar på mänskliga känslor och reaktionsmönster. Det så kallade vd-bedrägeriet är till exempel mycket populärt. Då väljer nätbrottslingarna ut ett eller flera offer i företaget, som får e-post från ”chefen”. Hen kan be dem att överföra pengar till en specifik kund, betala en bifogad faktura så snart som möjligt eller något annat i den stilen. Meddelandet är utformat så att det ser ut som något chefen kan ha skickat. Ofta skickas det när chefen är på affärsresa, och ”chefen” får det ofta att låta som något mycket brådskande.
Vd-bedrägerier är vanligast när nätbrottslingarna verkligen vill in och har lagt ner mycket tid och resurser på att undersöka företaget.
I andra fall är attacker mindre personliga men ändå utformade för att lura anställda att öppna en bilaga eller klicka på en skadlig länk. I båda fallen innehåller de något som försvagar, eller kringgår, företagets IT-försvar och ger brottslingen en väg in.
Problemet har växt i takt med att anställda tar med sig privata enheter till jobbet – enheter som ofta är anslutna till företagets nätverk – eller kanske använder sociala medier från företagets dator.
Ett meddelande på Messenger kan innehålla en skadlig länk, likaså ett mejl från PostNord, och om någon klickar på dem från företagets dator kan det ge de kriminella en väg in.
Det för mig tillbaka till min utgångspunkt: utbildning. Vi måste utbilda våra anställda. Det betyder inte att de måste vara experter på IT-säkerhet. Men de måste förstå grundprinciperna, de måste förstå hur de nätbrottslingar arbetar, de måste förstå och känna till företagets IT-säkerhetsprinciper och inte minst måste de förstå vad konsekvenserna kan bli om de inte följer dem.
Företagets IT-avdelning måste också komma ihåg och förstå att de anställda inte är IT-proffs. Därför måste utbildningen anpassas så att alla kan förstå den utan att känna sig dumma. Då lyssnar de inte, och då har man inte kommit längre.