Den danske tillid inviterer til cyberkriminalitet

Der kan bygges nok så mange digitale sikkerhedsbastioner omkring en virksomhed, uden at det virker. De cyberkriminelle finder vej alligevel, fordi ansatte og ledelse blandt andet via deres adfærd selv inviterer de kriminelle ind i varmen. Det er tid til at ændre cyberadfærd, mener to eksperter fra DTU.

I 1930’erne anlagde Frankrig Maginot-linjen, et enormt forsvarsværk til milliarder af franc langs grænsen til Tyskland. Frankrig anså Maginot-linjen for uigennemtrængelig.

Men da Nazityskland invaderede landet i maj 1940, kørte de tyske tropper ganske enkelt udenom. De tyske generaler havde udtænkt en helt ny militærtaktik baseret på hurtigkørende kampvogne, lastbiler, motorcykler og styrtbombefly.

Tyskerne angreb først gennem de skovrige Ardennerbjerge i Belgien og trængte derefter ind i Frankrig nord for Maginot-linjen. Det angreb kom bag på franskmændene, som havde anset Ardennerne for en naturlig barriere. Vejene i det kuperede landskab var små og primitive, og de franske generaler mente, at de var uegnede til et stort angreb. Det var en alvorlig fejlvurdering den 10. maj 1940.

Eksemplet fra Anden Verdenskrig er Henrik Tanges, lektor og ekspert i cyberkriminalitet på DTU, og han fortæller den for at anskueliggøre de store udfordringer, som virksomheder og organisationer står med i dag med stigende cyberkriminalitet og hackerangreb fra usynlige forbrydere.

”Maginot-linjen er virksomhedernes firewall. Den kan være nok så fornuftig og kraftigt sat op, men forbryderne finder vej alligevel, hvilket vi for eksempel så ved det store angreb på Mærsk sidste år,” siger Henrik Tange.

Han har sammen med sin kollega, lektor og ekspert i cybersikkerhed på DTU Bo Holst-Christensen, besøgt en lang række virksomheder og organisationer de senere år for at holde foredrag om cybersikkerhed.

”I 1940 var det ny teknologi og ny militærstrategi, der gjorde angriberen i stand til at bryde bastionerne. Ny teknologi har også en betydning i dag, men den største trussel handler om cyberadfærd, altså den måde, som medarbejderne og ledelsen i virksomhederne og organisationerne agerer på. Vi har generelt en adfærd, der inviterer forbryderne ind bag fæstningsværkerne, og er forbryderne først indenfor, så kan skaderne blive uoverskuelige,” siger Henrik Tange.

Et USB-stik er nok

Henrik Tange giver et eksempel på den danske tillid fra et nyligt besøg hos en it-organisation. Her skulle han holde et foredrag for en større forsamling af ganske it-kyndige mennesker, og med sig havde han bragt sin nye laptop og et usb-stik med sin præsentation.

I begyndelsen af sit foredrag fumler han lidt med computeren, kigger fortabt ud over salen og siger med ærgerlig stemme, at det ikke virker. Henrik Tange spørger derfor, om der ikke er én blandt tilhørerne, der kan tage usb-stikket og sende indholdet til ham på en mail, så han kan få præsentationen frem på det store whiteboard?

Det er der straks en håndfuld, der gerne vil hjælpe med – det er jo lidt synd for den fortabte sikkerhedsekspert, at han ikke kan få teknikken til at fungere.

”Det var selvfølgelig et forsøg – en omgang fake news. Men det er klassisk dansk. Vi har tillid til hinanden og vil gerne hjælpe, når nogen har behov for hjælp. Men hvad nu hvis mit usb-stik indeholdt et usynligt angreb fra en cyberkriminel? Så ville den kriminelle på et øjeblik være inde i hele virksomhedens it-systemer, inviteret af medarbejderne selv,” siger Henrik Tange og uddyber:

”Hvis vi skal bekæmpe den stigende cyberkriminalitet, bliver vi nødt til i digitale sammenhænge at have mere mistro end tillid. De kriminelle er skruppelløse og udnytter den danske mentalitet med tillid og tro på hinanden. Det nytter så at sige ikke noget at have firewalls, avancerede låse på døre og vinduer, vagthunde og vagtselskab, når vi blindt tror på hinanden og modparten og selv inviterer de kriminelle indenfor. Det handler om cyberadfærd for os alle sammen, og her bliver vi nødt til at skifte spor fremover, hvis vi skal sikre os mod den stigende kriminalitet,” fastslår Henrik Tange.

Dansk Industri, DI, mener på linje med de to eksperter, at den menneskelige faktor har stor betydning for den stigende cyberkriminalitet.

”Grundlæggende er jeg enig i betragtningen om, at den menneskelige faktor er den største udfordring for begrænsning af cyberkriminalitet. De kriminelle udnytter den menneskelige faktor, og derfor er det vigtigt, at der skabes en større digital dannelse hos os alle,” siger Morten Rosted Vang, chefkonsulent i DI Digital.

En undersøgelse blandt DI’s medlemsvirksomheder viser, at knap 30 pct. sidste år i et eller andet omfang blev udsat for en it-relateret krise såsom hackerangreb eller computervirus – nogle med større konsekvenser end andre. Truslen er mest markant blandt de større virksomheder. Således svarer 50 pct. af virksomhederne med over 250 ansatte, at de er blevet ramt inden for det seneste år.

Den tendens går igen i en rundspørge, som PwC har gennemført blandt offentlige, private og finansielle virksomheder de seneste tre år. Her er frygten for cyberangreb stigende. Se figur 1.

”I Danmark har vi ikke prioriteret it-sikkerhed i samme takt, som vi har prioriteret teknologisk udvikling de seneste årtier. Det bliver vi nødt til i de kommende år. Vi bliver nødt til at få et paradigmeskift, hvor sikkerhed tænkes ind i den digitale udvikling i langt højere grad end tidligere,” siger Morten Rosted Vang og peger på både passwordpolitikker, generel digital dannelse og sikkerhedssystemer, der frasorterer de mange phishing-mails og malware.

”Vi kan og skal både på det menneskelige niveau og det strukturelle niveau gøre mere for it-sikkerheden fremover, hvis ikke de kriminelle skal få endnu større spillerum end i dag,” siger Morten Rosted Vang.

Tænk, før du handler

Der er adskillige kendte måder, hvorpå de cyberkriminelle forsøger at udnytte danskernes generelle tillid til hinanden. Ofte sker det ved de kendte phishing-mails eller malware.

De fleste kender de såkaldte Nigeria-mails, hvor man får at vide, at man har vundet en masse penge og blot skal opgive sit kontonummer for at få pengene udbetalt. Men der findes også en række andre mails fra venner i nød, fra Skat, fra direktøren, fra skolen, fra banken eller med specielle tilbud. Alle mails, hvor man skal reagere hurtigt, i tillid til at det er i orden og i sin egen eller virksomhedens interesse.

”Udfordringen er, at de kriminelle hele tiden udvikler noget nyt. Vi kender til toppen af isbjerget, men ikke til resten af kroppen. Og vi ved ikke, hvad der kommer i morgen eller i næste måned,” siger Bo Holst-Christensen, der vil have folk til at tænke, før de handler.

”Vi er tilbøjelige til at handle, før vi tænker os om, i tillid til at der er orden på sagerne. Men vi bliver fremover nødt til at gøre det modsatte, når det handler om kommunikation på nettet. Virksomheder bliver nødt til at tage det alvorligt, når de skal kommunikere med kunder eller andre interessenter, selv om det tager længere tid at tænke sig om,” siger Bo Holst-Christensen.

Ifølge DI indikerer undersøgelser, at hver tredje danske virksomhed, der rammes af et cyberangreb, har følgeomkostninger på over en million kroner. Mærsk vurderede selv sidste år, at de direkte omkostninger som følge af det store cyberangreb på virksomheden løb op i omkring 2 mia. kr.

”Det kan være meget omkostningsfuldt at rydde op efter et cyberangreb. I nogle tilfælde kan det lægge virksomheden ned, især når det gælder mindre virksomheder. Derfor er det vigtigt, at vi sætter gang i et paradigmeskift, hvor der kommer mere fokus på den menneskelige del af cybersikkerheden,” siger Henrik Tange.

De to cybereksperter peger endvidere på, at den stigende brug af IoT i diverse produkter skaber huller til glæde for de kriminelle.

”Udbredelsen af IoT giver flere muligheder for cyberkriminelle til at udnytte de mange informationer, der kommer fra et stigende antal kilder,” siger Henrik Tange og giver et helt banalt eksempel.

En stor virksomhed har – til glæde for medarbejderne – opsat et informationsskilt ved hovedindgangen med oplysninger om, hvor mange ledige parkeringspladser der er i parkeringskælderen.

”Men sådanne oplysninger kan bruges af de kriminelle, der kan aflæse, hvornår der er stor aktivitet i virksomheden, måske op til en produktlancering. Den viden kan bruges og udnyttes af konkurrenter og kriminelle, og derfor må man gentænke brugen af IoT for at skabe større sikkerhed i den enkelte organisation,” siger Henrik Tange.

Videnshierarki kan forebygge

Bo Holst-Christensen og Henrik Tange peger på, at hvis sikkerheden skal op i de danske virksomheder og organisationer, skal der mere fokus på den menneskelige adfærd end på skalsikring – altså de gængse sikringsmetoder med firewalls, passwordstrategi, hegn om virksomheden og vagter ved indgangen.

”Ledelsen skal have mere fokus på, at alle i virksomheden eller organisationen tilpasser deres cyberadfærd til den moderne verden. Man må have et holistisk syn på det, og det skal styres fra toppen,” siger Henrik Tange.

”Det kan godt være et problem i de lidt mindre virksomheder, hvor både ledere og medarbejdere har travlt med produktion og salg. Men man er nødt til at sætte sikkerheden højere op på agendaen, hvis man vil undgå cyberangreb, der i værste fald kan koste virksomheden livet,” siger han.

De to sikkerhedseksperter mener, at også kommunikationskulturen i mange virksomheder må ændres for at dæmme op for det stigende antal cyberangreb.

I Danmark er der tradition for, at medarbejdere i vid udstrækning inddrages i virksomhedens udvikling for at skabe motivation og ejerskab til nødvendige forandringer. Men set i et cybersikkerhedsperspektiv er den flade struktur, som danske ledere ofte fremhæves for internationalt, en dårlig idé.

”Det skal være slut med demokratiet på arbejdspladsen,” siger Henrik Tange med et smil og forklarer:

”Vi må overveje, om ikke der skal være et større hierarki i vidensniveauet? Skal rengøringspersonalet have samme orienteringer som resten af organisationen? Det indebærer en sikkerhedsrisiko, som kan udnyttes af kriminelle,” siger Henrik Tange, og Bo Holst-Christensen supplerer:

”Virksomheder bør tænke i militære baner om viden, hvor der er en klar afgrænsning af vidensniveauet i de forskellige funktionslag. Den største risiko for at blive udsat for cyberkriminalitet kommer fra den adfærd, som mennesker i hele organisationen har i forbindelse med brug af nettet og it. Derfor kan man mindske risikoen for at tabe værdier ved at laginddele viden og prokura på færrest mulige hænder,” siger han.

”Det vigtigste er dog systematisk at oplære hele organisationen til at have en cyberadfærd, der bedst muligt forhindrer kriminelle i at komme ind i varmen. Her ligger en stor udfordring for virksomhederne i de kommende år, hvis man vil sikre sig mod den stigende cyberkriminalitet,” siger Henrik Tange.

LÆS OGSÅ: Verden gør klar til cyberkrig

LÆS OGSÅ: 

LÆS OGSÅ: 

Forrige artikel Danmark er det mest centraliserede land i Nordeuropa Danmark er det mest centraliserede land i Nordeuropa Næste artikel Bots fylder i den danske Rusland-debat på Twitter Bots fylder i den danske Rusland-debat på Twitter
Hvornår må du bruge det lange lys på motorvejen?

Hvornår må du bruge det lange lys på motorvejen?

Hvis du er i tvivl om, om du skal eller overhovedet må bruge det lange lys, når du kører på motorvejen, så er du ikke den eneste. Spørgsmålet har nemlig skabt stor debat på de sociale medier og i avisernes spalter. Og svaret er da heller ikke helt så enkelt, siger eksperterne.

Fødder med uhyggelig hudsygdom er ét stort fupnummer

En video med et menneskes fødder, der angiveligt er ramt af en eller anden gevækst, cirkulerer lige nu på Facebook. Men det hele er svindel. Videoen findes slet ikke, og i sidste ende risikerer du at blive flået for penge.

Sandheden tabte i det brasilianske valg

Sandheden tabte i det brasilianske valg

BLOG: Den nyvalgte brasilianske præsident Jair Bolsonaros valgkamp formåede at fabrikere sin egen virkelighed gennem velkoordineret brug af sociale medier til at misinformere offentligheden for at vinde valget - et valg, der blev et eksempel på, hvordan politiske sejre opnås gennem viralitet, skriver forsker i dette blogindlæg.

Bogundersøgelse overdriver danskernes læselyst

Bogundersøgelse overdriver danskernes læselyst

Et flertal af danskerne vil gerne læse flere bøger, lyder det i en ny undersøgelse. Men undersøgelsen minder mest om en reklame og kan reelt ikke bruges til noget, siger forsker. Faktisk læser danskerne bøger sjældnere end tidligere, viser en anden undersøgelse.

Skattetrykket er dykket, men kan LA tage æren?

Skattetrykket er dykket, men kan LA tage æren?

I et opslag på Twitter i forrige uge kunne udenrigsminister Anders Samuelsen (LA) påvise, at det danske skattetryk steg under SRSF-regeringen, men er faldet markant, siden Liberal Alliance fik de afgørende mandater i 2015. Men det faldende skattetryk skyldes primært andet end politiske beslutninger.

Nej, pomfritter giver dig ikke mere hår på hovedet

Nej, pomfritter giver dig ikke mere hår på hovedet

Hvis man ikke har så meget hår på hovedet, skal man bare spise pomfritter fra McDonald’s. Et nyt studie viser nemlig, at de friturestegte kartoffelstave kan kurere skaldethed. Sådan lyder det pudsige budskab på flere hjemmesider. Men det er en komplet misforståelse, slår forsker bag studiet fast.

To våben bekæmper forureningen af vores nyhedsstrøm

To våben bekæmper forureningen af vores nyhedsstrøm

KOMMENTAR: Kampen mod forureningen af vores informationsmiljø med misinformation og disinformation må føres med to slags våben. Det ene våben har vi talt rigtig meget om, det andet våben taler vi alt for lidt om, skriver TjekDets chefredaktør Lisbeth Knudsen.

Nej, du kan altså ikke drikke dellerne væk i rødvin

Nej, du kan altså ikke drikke dellerne væk i rødvin

Et glas rødvin har samme positive virkning på kroppen som en rask løbetur. Det skulle et canadisk forskningsprojekt vise, fortæller flere danske og internationale netmedier. Men den konklusion er skudt helt ved siden af.

Hvem er de ikke-vestlige udlændinge alle taler om?

Hvem er de ikke-vestlige udlændinge alle taler om?

Følger man udlændingedebatten i Danmark, kan man næsten ikke undgå at støde på begreberne vestlige og ikke-vestlige indvandrere og efterkommere. Men hvem er de 'ikke-vestlige' egentlig? Og hvilke lande kommer de fra?

Jo, veganere må godt spise mandler og avocado

Jo, veganere må godt spise mandler og avocado

Du må hverken spise avocado, mandler, kiwi eller en lang række andre frugter og grøntsager, hvis du er veganer. De er nemlig alle sammen bestøvede af bier på en “unaturlig måde”, lyder budskabet i en video, der florerer på Facebook. Men hos Dansk Vegetarisk Forening stopper de ikke med at spise avocado.

Nyt studie har desværre ikke løst 'fibromyalgimysteriet'

Nyt studie har desværre ikke løst 'fibromyalgimysteriet'

Forskere har fundet en forklaring på den mystiske sygdom fibromyalgi, der giver massevis af danskere muskel- og ledsmerter. Det hævder en artikel, der er blevet delt tusindvis af gange på Facebook. Men budskabet er (desværre) forkert, fastslår forskere.

Klimaministeren overdriver landbrugets eksport: Tæller 24 fiske-milliarder med

Klimaministeren overdriver landbrugets eksport: Tæller 24 fiske-milliarder med

Det danske landbrug eksporterer for hele 160 milliarder kroner årligt, lyder det fra både klima- og energiminister Lars Christian Lilleholt (V) og landbrugsorganisationen Bæredygtigt Landbrug. Men det tal passer ikke. Både ministeren og interesseorganisation medregner nemlig massevis af milliarder, der ikke har noget med landbruget at gøre, siger forsker. 

Svindelnummer: Fodboldspiller, komiker og skuespiller løjet konkurs og rige igen

Svindelnummer: Fodboldspiller, komiker og skuespiller løjet konkurs og rige igen

Hvad har fodboldspilleren Nicklas Bendtner, komikeren Anders Matthesen og skuespilleren Viggo Mortensen til fælles? Jo, de har alle været gået konkurs og er nu millionærer igen takket være investeringsfirmaet Bitcoin Revolution. Sådan lyder i hvert fald budskabet i tre artikler, der florerer på nettet. Men artiklerne er fup og svindel. 

Manden bag kødfri måltidskasser overdriver danskernes kødforbrug

Manden bag kødfri måltidskasser overdriver danskernes kødforbrug

Danskerne spiser 300 gram kød om dagen - altså fire gange så meget kød, som Fødevarestyrelsen anbefaler - siger Jakob Jønck, der står bag firmaet Simple Feast, som sælger grøntsagsbaserede måltidskasser. Men postulatet om de 300 gram skyder langt over målet, slår forsker fast. 

Gammelt pakkefupnummer i nye klæder vil flå din bankkonto

Gammelt pakkefupnummer i nye klæder vil flå din bankkonto

Mange danskere modtager i øjeblikket en sms, hvor det hævdes, at der ligger en pakke og venter. Modtageren skal bare lige betale et par kroner, så kommer pakken. Men det hele er et svindelnummer, advarer Forbrugerrådet. Og det er langt fra første gang, at fupmagere forsøger at lokke med mystiske pakker.

Her er verdens rigeste lande

Her er verdens rigeste lande

USA bliver ofte kaldt den største økonomi i verden, men størst er ikke nødvendigvis rigest. Og hvilket land, der har den største økonomi eller er rigest, kan være forskelligt, alt efter hvordan man gør det op.

DR manglede klarsyn i nyhed om clairvoyante

DR manglede klarsyn i nyhed om clairvoyante

Ny undersøgelse viser, at danskerne oftere søger vejledning om livets store spørgsmål hos clairvoyante end hos præster, fortalte DR i både TV-avisen og P1 Morgen. Men det kan man nu ikke konkludere, fortæller analyseinstituttet bag undersøgelsen.