Er du et let mål? Sådan tester du effekten af phishing på din organisation

Tendensen er klar. Forsøg på at bruge falske e-mails til at få adgang til brugernes kontooplysninger fortsætter med at vokse. De tjenester, der beskytter os mod onlinesvindel, bliver mere og mere sofistikerede, men det gør truslerne også. Svindlerne finder hele tiden nye måder at gøre det på, og du er et nemt mål, hvis du ikke har den rette beskyttelse.

Mange virksomheder ved, at de er nødt til at forbedre sikkerheden, men fordi de ikke ved, hvor de skal begynde, og ikke vil gøre det for svært for brugerne, vælger de at løbe en risiko. Alt for ofte er udgangspunktet for at forbedre sikkerheden en hændelse. I stedet for at udrulle sikkerhedsløsninger gradvist og lade brugerne vænne sig til dem, bliver de tvunget til at foretage dyre investeringer og radikale ændringer på kort tid.

Undersøgelser viser, at næsten alle virksomheder har lækket brugerkonti og adgangskoder, selv om de ikke selv ved det, og med lidt uheld kan det blive en dyr affære. Du kan læse om, hvordan e-mail-svindel kan fungere i denne artikel. Kontooplysninger kan f.eks. bruges til svindel, datatyveri eller til at tage brugerens computer som gidsel (ransomware). Hvis det lykkes hackeren at komme ud over brugerens enhed og ind på virksomhedens netværk, kan det gå rigtig galt.

Uddannelse er lige så vigtig som teknisk beskyttelse

Det er nemt at drømme om 100% beskyttelse, der blokerer alle forsøg på kontokapring, men en sådan løsning er umulig at opnå uden at gå på kompromis med brugervenlighed og produktivitet. Moderne mennesker ønsker at kunne arbejde fra deres hjemmecomputer, tjekke deres e-mail på deres mobiltelefon og være på farten. I en sådan verden vil der altid være behov for en vis grad af sikkerhedstænkning. På den anden side ønsker vi ikke, at medarbejderne skal bruge for meget af deres arbejdsdag på at vurdere, om deres e-mails udgør en potentiel sikkerhedsrisiko. Det er bedst at finde en balance mellem at uddanne brugerne og bruge teknisk beskyttelse, der kan træde i kraft, hvis noget går galt.

Net-fiskeri efter videnshuller i din organisation

Hvis du er nysgerrig efter at vide, hvordan et phishing-forsøg vil påvirke din organisation, kan du faktisk teste det. I Microsoft 365 er der en indbygget funktion til at udsende falske fupmails med det formål at kortlægge brugernes vidensniveau. Den udsendte besked ligner en fupmail, men i stedet for at kapre brugerens kontooplysninger kortlægger den, hvor mange der har åbnet den. Det handler ikke om at bebrejde dem, der klikker. I stedet er det meningen, at værktøjet skal bruges til at se, om der er behov for træning i organisationen. Hvis der er mange klik, kan en passende foranstaltning være at organisere en sikkerhedsworkshop for at lære medarbejderne, hvordan de genkender og rapporterer svindelforsøg.

ATP - avanceret beskyttelse ved hjælp af AI og maskinlæring

Brugernes uddannelsesniveau er vigtigt, men du har også brug for teknisk beskyttelse, som i bedste fald kan forhindre dig i at klikke på det link. Som bruger af Microsofts cloud-tjenester har du altid en vis beskyttelse mod masseforsendelser og svindel, men det er kun i Microsoft 365 Business, at du automatisk får adgang til en mere avanceret beskyttelse i form af ATP (Advanced Threat Protection). ATP er en brancheførende beskyttelse, der bl.a. bruger AI og machine learning til at genkende og stoppe forsøg på at indsamle persondata.

Hjælp, jeg har indtastet mine kontooplysninger, hvor jeg ikke skulle have gjort det!

Hvis uheldet er ude, og en medarbejder har indtastet sit navn og password i en formular, vil andre Microsoft 365-funktioner træde til for at minimere skaden, forudsat at du har de rigtige indstillinger baseret på det sikkerhedsniveau, din virksomhed kræver.

Da systemet har lært, hvordan brugerne arbejder med deres konti, hvordan de logger ind, og hvor mange filer de deler, vil det reagere, når en bruger gør noget usædvanligt. Hvis du sjældent forlader Sverige, men pludselig logger på i Danmark, opstår der en mistanke. Hvis du så logger ind i Kina en time senere, vil systemet, hvis du har de rigtige indstillinger, kræve totrinsbekræftelse eller endda låse kontoen. Oplysningerne om, hvordan dine brugere bevæger sig rundt, findes allerede. Det er op til dig som IT-strateg eller CDO at beslutte, hvad du vil gøre med dem, og hvilket sikkerhedsniveau du ønsker. Et godt værktøj til at teste dine sikkerhedsindstillinger og visualisere huller er Microsofts Secure Score-værktøjsom evaluerer dit IT-miljø på en pointskala.

Din sikkerhedsløsning er letfordærvelig

Med et højt uddannelsesniveau, de rigtige sikkerhedsindstillinger og et system som ATP, der forhåbentlig træder til, når nogen begår en fejl, kan du sove relativt godt om natten - men desværre er du ikke færdig der. I takt med at phishing-angrebene bliver flere og mere sofistikerede for hver uge, der går, er man nødt til regelmæssigt at opdatere sig både teknisk og vidensmæssigt. De virksomheder, der løbende investerer i sikkerhed, står mere eller mindre lige over for svindlerne. De, der ikke gør noget, sakker bagud og udsætter sig selv for stor risiko.

Hvis du vil finde ud af, hvor sikkert dit nuværende IT-miljø er, kan WeSafe hjælpe dig med at gennemføre en gratis sikkerhedsanalyse . og få konkrete tips og anbefalinger til, hvad du kan gøre for at beskytte dig mod phishing og anden svigagtig adfærd. Som din IT-partner kan Wesafe derefter hjælpe dig med at udføre tests, gennemgå dit IT-miljø og foreslå løsninger baseret på mulighederne i dine Microsoft 365-licenser.