IT-säkerhet handlar till största del om de människor som använder IT-systemen; Om personen bakom skärmen blir lurad spelar det ingen roll hur många sofistikerade tekniska hjälpmedel som finns på plats för att stänga ute cyberbrottslingarna. Skyddet är istället att investera i den mänskliga brandväggen.

– Vi ser att man bara kan skydda sig med teknik till en viss gräns. Hackarna kommer förbi genom att utnyttja den mänskliga nyfikenheten, vår vilja att vara till lags, eller helt enkelt att många av oss har en för stressig arbetssituation. 

Det säger Erik Strandberg som är kundansvarig för Telias IT-avdelning som tjänst. Han har regelbundet utbildningar och seminarier om den mänskliga faktorns roll i IT-säkerhetsarbetet och betonar vikten av ”den mänskliga brandväggen”. 

– Vi vill trycka på att företagen har ett ansvar att utbilda sin personal för att höja kompetensen och medvetenheten om hur IT-säkerhetshoten ser ut idag. Om en person på en myndighet, ett stort företag eller IT-avdelningen i organisationen man jobbar har fått mejlen kapad handlar det om att titta på kontexten: är det rimligt att VD:n skickar ut inbjudan till sommarkickoffen i december? Har jag gjort några transaktioner med webbshoppen som mejlat mig?

Våga larma om du misstänker intrång

Erik Strandberg pratar också om vikten av att ta bort stigmat kring att begå IT-säkerhetsmisstag:

– Om man tror att man råkat göra något fel är det viktigt att man vågar säga till. Många känner skam över att ha tryckt på nån länk i ett mejl och håller hellre tyst och hoppas att inget händer. Men ju snabbare man säger till, desto mindre skada hinner ske. 

Idag kan hotaktörerna vara väldigt sofistikerade och riktade i sina attacker. Erik Strandberg berättar om en av Telias kunder med bara åtta anställda som blev utsatta för en attack där hotaktören var väldigt påläst om företagets rutiner. 

– De hade lyckats skicka mejl där de utgav sig för att vara en av företagets samarbetspartners och bad att få en pdf-kopia på en nyligen gjord transaktion. Därefter ändrade de kontonummer och skickade vidare pdf:en till partnern som då betalade in pengar på fel konto. 

En lösning i den situationen hade varit att kräva krypterade nycklar för e-postkommunikation som rör känsliga uppgifter som exempelvis transaktioner.

– Det är ju alltid en balans mellan säkerhet och enkelhet, men just funktionen för krypterade nycklar finns ju inbyggt i mejlprogram som Microsoft Outlook så den funktionen är ju bara att slå på, säger Erik Strandberg. 

Enkelt att luras med publika nät

Ett konkret exempel på en situation där det är väldigt lätt att bli lurad är när man ansluter till publika wifi-nät. Erik Strandberg berättar om ett experiment han gjorde under en flygresa:

– När jag flög mellan Malmö och Stockholm med BRA Flyg testade jag att starta en wifi-hotspot med namnet ”BRA Flyg WIFI 123”. Direkt var det fyra-fem personer som kopplade upp sig till min telefon. Vanligtvis när man ansluter till ett gratis wifi behöver man aktivera eller godkänna något. Då hade jag utan problem kunnat skapa en startsida för att ansluta, en sida där användaren fyller i sina uppgifter och slutligen en sida där man klickar på något för att börja surfa. Det hade räckt för att i bakgrunden ladda ner och exekvera skadlig kod på användarens enhet. 

Ett annat tänkbart scenario där man spelar på människors nyfikenhet är att placera ut, eller ”tappa”, ett usb-minne någonstans . Minnet är laddat med skadlig kod som körs automatiskt när upphittaren kopplar in minnet i sin dator.

MFA och villkorad access

IT-säkerhet är ett brett ämne och att försöka försäkra sig mot alla attackvektorer är i praktiken omöjligt. Men Erik Strandberg vill ändå avsluta med att ge några konkreta tips på saker företag kan börja implementera direkt. 

– Jag återkommer till publika wifi-nät på caféer och flygplatser; ha som regel använda den egna telefonen som hotspot istället. Då slipper du fundera på nätets säkerhet och vilka du delar nätet med. Multifaktorautentisering är också en självklar grej som alla kan applicera direkt överallt där det finns. Stora tjänster som Microsoft Office 365 kan du aktivera villkorad access så att tjänsten känner av varifrån en användare loggar in och tillämpa olika regler för hur lätt det är att komma åt data och hur ofta man behöver autentisera sig. Det finns överhuvudtaget många tekniska hjälpmedel för att höja säkerheten som företag redan betalar för men inte använder, säger Erik Strandberg.