Efter phishingtestet

Henrik Petterson 26 juni, 2023

Introduktion

Fyra viktiga delar som tar arbetet vidare

Personalen har prövats och ni har tagit del av resultaten. Men hur tar ni arbetet vidare för att öka skyddet mot nätfiske? Det finns ett antal åtgärder för att öka skyddet mot nätfiske. För att få en överblick delar vi in åtgärdsarbetet in i fyra centrala delar som vi anser ger både bäst kort- och långsiktig effekt.

Fyra åtgärdsdelar

Utbildning

Kunskapshöjande utbildningar, workshops, informationsblad och påminnelser, målet är att nätfiske ska vara ”top of mind”

Tekniska lösningar

Tekniska lösningar som analyserar och blockerar majoriteten av attackerna innan de hinner nå personalen.

Begränsningar

En begränsning på användarnivå leder till en säkrare informationshantering och minimal skada vid en lyckad attack.

Förberedelser

Förberedelser för IT-avdelningen så att de har möjlighet att mycket snabbt avvärja en skarp phishingattack.

Utbildning

Personalens medvetenhet kring nätfiske är den enda åtgärden som i teorin kan ge ett 100 procentigt skydd. Är alla på företaget medvetna hur man identifierar ett nätfiskeförsök och kan skilja det ifrån ett vanligt e-postmeddelande så har företaget ett komplett skydd. Det låter enkelt men kräver arbete och efterkontroller.

  • Vilka system utöver e-posten kan nätfiskeattacker utföras på?
  • Vad är skillnaden mellan en phishingattack och en riktad phishingattack?
  • Vilka informationstillgångarn har vi som är känsliga och värdefulla för en tredjepart?
  • Vad skulle en attack innebära för våra samarbetspartners och leverantörer
  • Hur ser jag skillnad på en phishingattack och ett vanligt meddelande?
  • Vad kan konsekvenserna bli för dig som privatperson och företaget?

Hur utbildningarna går tillväga är helt upp till den som håller i utbildningarna men vi rekommenderar en kombination mellan teoretiska och praktiska övningar där teorin främst fokuserar på de konsekvenser som en nätfiskeattack kan leda till och de praktiska övningarna hur man känner igen en attack. Korta, regelbundna och framförallt kreativa utbildningar ökar medvetenheten hos personalen. En kort utbildning i kvartalet ger bra effekt.

Utbildning

Det är svårt att skydda sig mot nätfiske och det är just därför vi ser en ökning i antalet attacker. De flesta program som finns på marknaden kan heller inte identifiera en nätfiskeattack eftersom det inte finns något skadligt att identifiera. Det program som vi rekommenderar och är återförsäljare för, ger heller inget heltäckande skydd mot nätfiske men hittar och blockerar majoriteten av attacker. Ur ett kostnadsperspektiv är absolut ett skydd i form av en mjukvara att rekommendera på hela företagets datorer.

Begränsningar

Att begränsa en användare eller en grupp till en avgränsad specifik del information, minskar konsekvenserna av en lyckad nätfiskeattack. Oavsett vilken attack det rör sig om riskerar en medarbetare att sprida den mängd information som den har tillgång till. Att begränsa användare är också viktigt i andra avseenden och ökar den generella informationssäkerheten och skyddet mot att informationstillgångarna lämnar företaget. När vi pratar begränsningar är en bra frågeställning följande:

– Behöver den här kollegan verkligen ha tillgång till den här känsliga informationen?
– Och om hon eller han behöver det, hur länge då?

Det är en väldigt enkel fråga som ur ett säkerhetsperspektiv är mycket viktig. Har ert företag aldrig arbetat med begränsningar eller ”confidentiality” är det viktigt att ni börjar med det.

Förberedelser

Det viktigaste är att se till att IT-personalen först och främst är medvetna om problematiken kring phishing, men också har tillräckligt med kunskap och verktyg för att hantera problemet. I en undersökning från 2018 rapporterade 76% av de tillfrågade att företaget som de arbetar på fallit offer för en phishingattack, samtidigt visar en undersökning som Intel genomförde på 19 000 människor världen över att 80% av de tillfrågade misslyckats med att identifiera minst 1 av 10 phishingmail.

Med andra ord handlar det egentligen inte om, utan när företaget faller offer för ett phishingattack. Phishing som attackmetod är extremt frekvent och samtidigt väldigt svår att upptäcka vilket i kombination gör den väldigt skadlig. Träning, tillsammans med en åtgärdsplan och rutiner för IT-personalen är det starkaste skyddet mot phishingattacker och oftast avgörande om informationstillgångarna lämnar kontoret eller inte.

5 till 10 minuter räcker för att en skicklig angripare ska få åtkomst till hela systemet. Genom till exempel verktyget Mimikatz kan lösenord, hasher, pinkoder och nycklar extraheras från den attackerade serverns primärminne. Det är därför oerhört viktigt att IT-avdelningen är redo att möta attacken med preventiva åtgärder. Upptäcks attacken inom 5 minuter räcker det med stor sannolikhet att byta lösenord på de berörda användarna, blocka avsändaren samt skicka en varning om incidenten till personalen. Har det tagit längre tid krävs mer omfattande åtgärder.

Ju längre tid det tar att upptäcka och åtgärda en attack, desto större blir skadorna. Vårt phishingtest mäter när första utskicket sker till dess att den första lämnade uppgiften kommer in och långt efter åtgärder har införts. Matar ni in egna tidpunkter för åtgärder, till exempel när ni upptäckte och informerar de anställda om phishingtestet, och kombinerar det med vår statistik, kan ni få ut en tidslinje över hela attacken och se var ni behöver fokusera på.

Henrik Petterson
Senaste inläggen av Henrik Petterson