Stjórnendur fyrirtækja hafa yfirleitt lokaorðið þegar kemur að því að fjárfesta í öryggisþjálfun starfsfólks og tæknibúnaði sem eykur netöryggi, s.s. vírusvarnarbúnaði. Þeim ber einnig að fylgjast með hvort þessir fjármunir eru rétt nýttir. Undir nýjum persónuverndarlögum er nú flestum fyrirtækjum skylt að hafa persónuverndar/netöryggisfulltrúa (e. Data Protection Officer) sem á m.a. að sjá um að veita starfsfólki viðeigandi netöryggisfræðslu.

Nýlegar fréttir af tölvuinnbroti í HS Orku ættu að vera okkur öllum víti til varnaðar. Það er full ástæða fyrir stjórnendur fyrirtækja, sama hvort þau eru stór eða smá, að staldra aðeins við og skoða hvers konar öryggiskúltúr (e. security culture) er til staðar í vinnuumhverfinu, eða hvort hann sé yfirhöfuð til staðar.

Stjórnendaveiðar

Góð netöryggisfræðsla þarf einnig að ná alla leið til stjórnenda þar sem tölvuþrjótar einbeita sér oft sérstaklega að þeim. Tilraunir til að blekkja stjórnendur fyrirtækja eru oft sérhannaðar fyrir hvern og einn og kallast það „spjótveiðar“ (e. spear phishing). Netþrjótar hafa þá kynnt sér sérstaklega þann stjórnanda sem þeir ætla sér að blekkja, áhugamál hans, bílaeign, heimilisfang og jafnvel fjölskylduhagi. Mikið af þessum upplýsingum má oft finna með einfaldri netleit og á samfélagsmiðlum. Falli stjórnendur fyrir slíkum sendingum, t.d. með því að smella á rangan hlekk eða opna sýkt PDF skjal, geta tölvuþrjótar opnað leið inn í tölvubúnaðinn eða netsamskipti og valdið ómældum skaða. Stjórnendur sem ekki gefa sér tíma til öryggisþjálfunar eru einfaldlega að skapa aukna áhættu fyrir fyrirtækið sitt.

Njósnað um samskipti

Í tilfelli HS Orku virðist sem tölvuþrjótar hafi fylgst með tölvupóstssamskiptum og síðan yfirtekið samtöl þegar kom að því að fjalla um greiðslur eða skiptast á greiðsluupplýsingum. Tölvuþrjótar hafa á svipaðan hátt blekkt fjölda einstaklinga og fyrirtækja, bæði íslensk og erlend, og talið er að Íslendingar hafi tapað meira en einum milljarði í netsvikamálum á síðustu 12 mánuðum. Blekkingar á fyrirtækjum geta verið framkvæmdar í nafni forstjóra eða annarra hátt settra stjórnenda, t.d. með því að senda skilaboð sem virðast ekta til undirmanna um að millifæra fjármuni, eða í nafni fyrirtækja sem átt er í viðskiptum við, t.d. með því að senda nýja reikninga með fölsuðum greiðsluupplýsingum. Stjórnendur sem eru meðvitaðir um þessa áhættu hvetja til þess að settar séu verklagsreglur þar sem t.d. er tvíathugað hvort um réttar greiðsluupplýsingar er að ræða. Þetta er ástæðan fyrir því að netöryggisfræðsla er stöðugt verkefni. Starfsfólk, sem og stjórnendur, þurfa reglulegar áminningar um þær hættur sem eru fyrir hendi og hvernig best er að forðast þær.

Íslendingar virðast stundum halda að þeir séu undanskildir frá blekkingum á netinu þar sem tungumálið hefur svo oft komið okkur til bjargar. Þetta á því miður ekki við þegar tölvuþrjótar hafa fylgst með samskiptum lengi. Þeim tekst að herma eftir tungutaki og málfari þeirra sem þeir vilja blekkja með ótrúlega sannfærandi hætti. Fjölmörg fyrirtæki hafa þegar lent í slíkum svikum og það á hreinni og tærri íslensku. Því miður er oftast lítið sem lögreglan getur gert til að rekja og endurheimta fjármuni. Stolnar fjárhæðir eru einfaldlega glataðar kunni tölvuþrjótarnir á annað borð sitt fag.

Allir þurfa þjálfun

Séu netöryggismál og þjálfun starfsfólks í ólestri eykst áhætta innan fyrirtækisins og þar með áhætta stjórnenda. Góðir stjórnendur ættu ávallt að lágmarka slíka áhættu og tryggja að viðeigandi þjálfun og öryggisbúnaður sé til staðar. Góðir stjórnendur ættu líka að sýna gott fordæmi með því að taka þátt í öryggisþjálfuninni og átta sig á að þeir eru ekki undanskildir þegar kemur að áhættunni á að lenda í tölvuþrjótum.

Svona eykur þú öryggi þíns fyrirtækis strax í dag

  • Virkjaðu tveggja þátta auðkenningu á tölvupósti og öðrum mikilvægum gögnum. Það er tiltölulega auðvelt er að komast yfir lykilorð yfir netið en erfiðara er að stela símanum þínum.
  • Settu upp verklagsreglur og stefnur, t.d. að áður en millifærsla er gerð á nýtt fyrirtæki, breyttan reikning viðskiptavinar, eða að beiðni forstjóra eða annars háttsetts stjórnanda, verði hringt í staðfest símanúmer viðkomandi og upplýsingarnar staðfestar. Ekki ætti að notast við símanúmer sem gefið er upp í tölvupósti heldur fletta því upp.
  • Þjálfaðu starfsfólkið og keyrðu reglulegar vitundarvakningar um öryggisáhættur því starfsmenn verða að geta borið kennsl á hætturnar til að geta varast þær.

Höfundur er netöryggissérfræðingur og stofnandi og framkvæmdastjóri AwareGO.