Den danske tillid inviterer til cyberkriminalitet

Der kan bygges nok så mange digitale sikkerhedsbastioner omkring en virksomhed, uden at det virker. De cyberkriminelle finder vej alligevel, fordi ansatte og ledelse blandt andet via deres adfærd selv inviterer de kriminelle ind i varmen. Det er tid til at ændre cyberadfærd, mener to eksperter fra DTU.

I 1930’erne anlagde Frankrig Maginot-linjen, et enormt forsvarsværk til milliarder af franc langs grænsen til Tyskland. Frankrig anså Maginot-linjen for uigennemtrængelig.

Men da Nazityskland invaderede landet i maj 1940, kørte de tyske tropper ganske enkelt udenom. De tyske generaler havde udtænkt en helt ny militærtaktik baseret på hurtigkørende kampvogne, lastbiler, motorcykler og styrtbombefly.

Tyskerne angreb først gennem de skovrige Ardennerbjerge i Belgien og trængte derefter ind i Frankrig nord for Maginot-linjen. Det angreb kom bag på franskmændene, som havde anset Ardennerne for en naturlig barriere. Vejene i det kuperede landskab var små og primitive, og de franske generaler mente, at de var uegnede til et stort angreb. Det var en alvorlig fejlvurdering den 10. maj 1940.

Eksemplet fra Anden Verdenskrig er Henrik Tanges, lektor og ekspert i cyberkriminalitet på DTU, og han fortæller den for at anskueliggøre de store udfordringer, som virksomheder og organisationer står med i dag med stigende cyberkriminalitet og hackerangreb fra usynlige forbrydere.

”Maginot-linjen er virksomhedernes firewall. Den kan være nok så fornuftig og kraftigt sat op, men forbryderne finder vej alligevel, hvilket vi for eksempel så ved det store angreb på Mærsk sidste år,” siger Henrik Tange.

Han har sammen med sin kollega, lektor og ekspert i cybersikkerhed på DTU Bo Holst-Christensen, besøgt en lang række virksomheder og organisationer de senere år for at holde foredrag om cybersikkerhed.

”I 1940 var det ny teknologi og ny militærstrategi, der gjorde angriberen i stand til at bryde bastionerne. Ny teknologi har også en betydning i dag, men den største trussel handler om cyberadfærd, altså den måde, som medarbejderne og ledelsen i virksomhederne og organisationerne agerer på. Vi har generelt en adfærd, der inviterer forbryderne ind bag fæstningsværkerne, og er forbryderne først indenfor, så kan skaderne blive uoverskuelige,” siger Henrik Tange.

Et USB-stik er nok

Henrik Tange giver et eksempel på den danske tillid fra et nyligt besøg hos en it-organisation. Her skulle han holde et foredrag for en større forsamling af ganske it-kyndige mennesker, og med sig havde han bragt sin nye laptop og et usb-stik med sin præsentation.

I begyndelsen af sit foredrag fumler han lidt med computeren, kigger fortabt ud over salen og siger med ærgerlig stemme, at det ikke virker. Henrik Tange spørger derfor, om der ikke er én blandt tilhørerne, der kan tage usb-stikket og sende indholdet til ham på en mail, så han kan få præsentationen frem på det store whiteboard?

Det er der straks en håndfuld, der gerne vil hjælpe med – det er jo lidt synd for den fortabte sikkerhedsekspert, at han ikke kan få teknikken til at fungere.

”Det var selvfølgelig et forsøg – en omgang fake news. Men det er klassisk dansk. Vi har tillid til hinanden og vil gerne hjælpe, når nogen har behov for hjælp. Men hvad nu hvis mit usb-stik indeholdt et usynligt angreb fra en cyberkriminel? Så ville den kriminelle på et øjeblik være inde i hele virksomhedens it-systemer, inviteret af medarbejderne selv,” siger Henrik Tange og uddyber:

”Hvis vi skal bekæmpe den stigende cyberkriminalitet, bliver vi nødt til i digitale sammenhænge at have mere mistro end tillid. De kriminelle er skruppelløse og udnytter den danske mentalitet med tillid og tro på hinanden. Det nytter så at sige ikke noget at have firewalls, avancerede låse på døre og vinduer, vagthunde og vagtselskab, når vi blindt tror på hinanden og modparten og selv inviterer de kriminelle indenfor. Det handler om cyberadfærd for os alle sammen, og her bliver vi nødt til at skifte spor fremover, hvis vi skal sikre os mod den stigende kriminalitet,” fastslår Henrik Tange.

Dansk Industri, DI, mener på linje med de to eksperter, at den menneskelige faktor har stor betydning for den stigende cyberkriminalitet.

”Grundlæggende er jeg enig i betragtningen om, at den menneskelige faktor er den største udfordring for begrænsning af cyberkriminalitet. De kriminelle udnytter den menneskelige faktor, og derfor er det vigtigt, at der skabes en større digital dannelse hos os alle,” siger Morten Rosted Vang, chefkonsulent i DI Digital.

En undersøgelse blandt DI’s medlemsvirksomheder viser, at knap 30 pct. sidste år i et eller andet omfang blev udsat for en it-relateret krise såsom hackerangreb eller computervirus – nogle med større konsekvenser end andre. Truslen er mest markant blandt de større virksomheder. Således svarer 50 pct. af virksomhederne med over 250 ansatte, at de er blevet ramt inden for det seneste år.

Den tendens går igen i en rundspørge, som PwC har gennemført blandt offentlige, private og finansielle virksomheder de seneste tre år. Her er frygten for cyberangreb stigende. Se figur 1.

”I Danmark har vi ikke prioriteret it-sikkerhed i samme takt, som vi har prioriteret teknologisk udvikling de seneste årtier. Det bliver vi nødt til i de kommende år. Vi bliver nødt til at få et paradigmeskift, hvor sikkerhed tænkes ind i den digitale udvikling i langt højere grad end tidligere,” siger Morten Rosted Vang og peger på både passwordpolitikker, generel digital dannelse og sikkerhedssystemer, der frasorterer de mange phishing-mails og malware.

”Vi kan og skal både på det menneskelige niveau og det strukturelle niveau gøre mere for it-sikkerheden fremover, hvis ikke de kriminelle skal få endnu større spillerum end i dag,” siger Morten Rosted Vang.

Tænk, før du handler

Der er adskillige kendte måder, hvorpå de cyberkriminelle forsøger at udnytte danskernes generelle tillid til hinanden. Ofte sker det ved de kendte phishing-mails eller malware.

De fleste kender de såkaldte Nigeria-mails, hvor man får at vide, at man har vundet en masse penge og blot skal opgive sit kontonummer for at få pengene udbetalt. Men der findes også en række andre mails fra venner i nød, fra Skat, fra direktøren, fra skolen, fra banken eller med specielle tilbud. Alle mails, hvor man skal reagere hurtigt, i tillid til at det er i orden og i sin egen eller virksomhedens interesse.

”Udfordringen er, at de kriminelle hele tiden udvikler noget nyt. Vi kender til toppen af isbjerget, men ikke til resten af kroppen. Og vi ved ikke, hvad der kommer i morgen eller i næste måned,” siger Bo Holst-Christensen, der vil have folk til at tænke, før de handler.

”Vi er tilbøjelige til at handle, før vi tænker os om, i tillid til at der er orden på sagerne. Men vi bliver fremover nødt til at gøre det modsatte, når det handler om kommunikation på nettet. Virksomheder bliver nødt til at tage det alvorligt, når de skal kommunikere med kunder eller andre interessenter, selv om det tager længere tid at tænke sig om,” siger Bo Holst-Christensen.

Ifølge DI indikerer undersøgelser, at hver tredje danske virksomhed, der rammes af et cyberangreb, har følgeomkostninger på over en million kroner. Mærsk vurderede selv sidste år, at de direkte omkostninger som følge af det store cyberangreb på virksomheden løb op i omkring 2 mia. kr.

”Det kan være meget omkostningsfuldt at rydde op efter et cyberangreb. I nogle tilfælde kan det lægge virksomheden ned, især når det gælder mindre virksomheder. Derfor er det vigtigt, at vi sætter gang i et paradigmeskift, hvor der kommer mere fokus på den menneskelige del af cybersikkerheden,” siger Henrik Tange.

De to cybereksperter peger endvidere på, at den stigende brug af IoT i diverse produkter skaber huller til glæde for de kriminelle.

”Udbredelsen af IoT giver flere muligheder for cyberkriminelle til at udnytte de mange informationer, der kommer fra et stigende antal kilder,” siger Henrik Tange og giver et helt banalt eksempel.

En stor virksomhed har – til glæde for medarbejderne – opsat et informationsskilt ved hovedindgangen med oplysninger om, hvor mange ledige parkeringspladser der er i parkeringskælderen.

”Men sådanne oplysninger kan bruges af de kriminelle, der kan aflæse, hvornår der er stor aktivitet i virksomheden, måske op til en produktlancering. Den viden kan bruges og udnyttes af konkurrenter og kriminelle, og derfor må man gentænke brugen af IoT for at skabe større sikkerhed i den enkelte organisation,” siger Henrik Tange.

Videnshierarki kan forebygge

Bo Holst-Christensen og Henrik Tange peger på, at hvis sikkerheden skal op i de danske virksomheder og organisationer, skal der mere fokus på den menneskelige adfærd end på skalsikring – altså de gængse sikringsmetoder med firewalls, passwordstrategi, hegn om virksomheden og vagter ved indgangen.

”Ledelsen skal have mere fokus på, at alle i virksomheden eller organisationen tilpasser deres cyberadfærd til den moderne verden. Man må have et holistisk syn på det, og det skal styres fra toppen,” siger Henrik Tange.

”Det kan godt være et problem i de lidt mindre virksomheder, hvor både ledere og medarbejdere har travlt med produktion og salg. Men man er nødt til at sætte sikkerheden højere op på agendaen, hvis man vil undgå cyberangreb, der i værste fald kan koste virksomheden livet,” siger han.

De to sikkerhedseksperter mener, at også kommunikationskulturen i mange virksomheder må ændres for at dæmme op for det stigende antal cyberangreb.

I Danmark er der tradition for, at medarbejdere i vid udstrækning inddrages i virksomhedens udvikling for at skabe motivation og ejerskab til nødvendige forandringer. Men set i et cybersikkerhedsperspektiv er den flade struktur, som danske ledere ofte fremhæves for internationalt, en dårlig idé.

”Det skal være slut med demokratiet på arbejdspladsen,” siger Henrik Tange med et smil og forklarer:

”Vi må overveje, om ikke der skal være et større hierarki i vidensniveauet? Skal rengøringspersonalet have samme orienteringer som resten af organisationen? Det indebærer en sikkerhedsrisiko, som kan udnyttes af kriminelle,” siger Henrik Tange, og Bo Holst-Christensen supplerer:

”Virksomheder bør tænke i militære baner om viden, hvor der er en klar afgrænsning af vidensniveauet i de forskellige funktionslag. Den største risiko for at blive udsat for cyberkriminalitet kommer fra den adfærd, som mennesker i hele organisationen har i forbindelse med brug af nettet og it. Derfor kan man mindske risikoen for at tabe værdier ved at laginddele viden og prokura på færrest mulige hænder,” siger han.

”Det vigtigste er dog systematisk at oplære hele organisationen til at have en cyberadfærd, der bedst muligt forhindrer kriminelle i at komme ind i varmen. Her ligger en stor udfordring for virksomhederne i de kommende år, hvis man vil sikre sig mod den stigende cyberkriminalitet,” siger Henrik Tange.

LÆS OGSÅ: Verden gør klar til cyberkrig

LÆS OGSÅ: 

LÆS OGSÅ: 

Forrige artikel Danmark er det mest centraliserede land i Nordeuropa Danmark er det mest centraliserede land i Nordeuropa Næste artikel Bots fylder i den danske Rusland-debat på Twitter Bots fylder i den danske Rusland-debat på Twitter
Facebook skærper krav til politiske annoncer

Facebook skærper krav til politiske annoncer

Facebook vil gøre op med påvirkningskampagner. Derfor skal nye regler gøre det mere besværligt at indrykke politiske annoncer på det sociale medie. Reglerne vil også gælde i forbindelse med europaparlamentsvalg den 26. maj og folketingsvalget, der skal finde sted senest den 17. juni i år.

Er Danmarks integrationsindsats håbløst bagud?

Er Danmarks integrationsindsats håbløst bagud?

Danmarks integrationsindsats halter håbløst efter Norges og Sveriges, hvor langt flere flygtninge er i arbejde, konkluderer chefkonsulent i Dansk Arbejdsgiverforening. Men den konklusion afviser flere forskere.

Hjælper det overhovedet klimaet at spise mindre kød?

Hjælper det overhovedet klimaet at spise mindre kød?

Ifølge en dansk forsker hjælper det ikke på klimaproblemerne at lade være med at spise kød, da det animalske landbrug ikke tilføjer flere drivhusgasser til atmosfæren - det er de samme drivhusgasser, der kører i ring. Men den påstand holder ikke.

Også Chili Klaus må stå model til falske annoncer

Også Chili Klaus må stå model til falske annoncer

Claus Pilgaard har overvundet sin konkurs ved at investere i bitcoin, og nu spreder han budskabet, så andre kan gøre ham kunsten efter. Sådan lyder det i en artikel, der lige nu florerer på nettet. Men artiklen er fup, og det er ikke første gang Claus Pilgaard har måtte lægge navn til den slags svindelnumre.   

Tilgodebevis til Magasin er fup

Tilgodebevis til Magasin er fup

Falske tilgodebeviser til Magasin tikker i øjeblikket ind på mange danskeres mobiltelefon på sms. Men der er - desværre - tale om et fupnummer, der i sidste ende kan koste dig dyrt. Svindlerne vil nemlig have snablen ned i din bankkonto.

Vi skal hacke demokratiet før andre gør det

Vi skal hacke demokratiet før andre gør det

KOMMENTAR: Europas demokratier er blevet svækket i de seneste 10 år. Populismen er i fremgang overalt i Europa. Vi må tænke nyt, hvis vi skal redde de demokratiske værdier.

Europæisk politik kan købes for penge

Europæisk politik kan købes for penge

National politik i hovedparten af EU-landene påvirkes af betydelige lyssky pengesummer – også fra Rusland, USA og andre verdensdele. Heller ikke det danske partistøttesystem er så transparent, som vi tror, siger en af Danmarks førende eksperter i finansiering af politiske partier.

Har DF-politiker ret i, at flere våben giver mindre kriminalitet? 

Har DF-politiker ret i, at flere våben giver mindre kriminalitet? 

Hvis danskerne får flere våben i hænderne, vil kriminaliteten falde, siger DF’s Kenneth Kristensen Berth, der samtidig mener, at vi bør tillade peberspray uden for hjemmet. Men om våben får kriminaliteten til at dale, er et spørgsmål, der splitter kriminalitetsforskere.

Her er de mest læste artikler på TjekDet.dk i 2018

Her er de mest læste artikler på TjekDet.dk i 2018

I årets løb har vi her på redaktionen bragt faktatjek for at nuancere den offentlige debat, oplyst om falske nyheder der spredte sig på nettet, og vi har forsøgt at guide dig gennem fare og tendenser på de sociale medier. Her kommer en samling af årets mest læste artikler.

Nyt EU-faktatjekprojekt søger koordinator/redaktør

Internationalt netværk af faktatjekmedier, som også danske TjekDet.dk er en del af, skaber fælles tværnational platform, der skal korrigere og nuancere den offentlige debat forud for europa-parlamentsvalget i maj 2019. I den forbindelse søger netværket en projektleder, der i udgangspunktet vil have base i Paris.

Halverer et dagligt glas juice risikoen for demens?

Halverer et dagligt glas juice risikoen for demens?

En gruppe forskere fra det verdensførende universitet Harvard er klar med en god nyhed: Blot ét glas juice om dagen kan nemlig halvere risikoen for den frygtede sygdom demens. Sådan lyder en overskrift i Jyllands-Posten i hvert fald. Desværre holder nyheden ikke.

Spiser danskerne mere og mere kød?

Spiser danskerne mere og mere kød?

Danskerne spiser mere og mere kød, lød det fra livsstilsekspert Anne Glad i DR-programmet Aftenshowet. Men det siger undersøgelsen, som Anne Glad henviser til, ikke spor om.

'Annoncer' med falske citater fra LA-politikere florerer på Facebook

'Annoncer' med falske citater fra LA-politikere florerer på Facebook

Liberal Alliances partileder vil tage stemmeretten fra folk på kontanthjælp, og partiets finansordfører mener, at folk selv er skyld i om de er arbejdsløse, syge eller fattige. Det er budskaberne i to grafikker, der lige nu cirkulerer på Facebook. Der er bare et enkelt problem. Ingen af politikerne har nogensinde sagt dét, som der står på billederne. 

Elektronikkæde misbruges igen i omfattende falsk SMS-konkurrence

Elektronikkæde misbruges igen i omfattende falsk SMS-konkurrence

Endnu engang må elektronikkæden Elgiganten ufrivilligt lægge navn til en falsk konkurrence. Denne gang om en gratis iPhone XS, der dog sidenhen viser sig ikke at være omkostningsfri. Samme svindelnummer florerede i maj måned i år, hvor vi så nærmere på sagen.