It-sikkerhed starter i medarbejdernes mailboks

af Tobias Borg Petersen og Tobias Andersen.

Et gennemgående tema i mange undersøgelser om it-sikkerhedsniveauet i organisationer er medarbejdernes manglende evne eller vilje til at identificere og handle på eventuelle risici for it-sikkerheden. En af de mest velkendte trusler, særligt rettet mod medarbejderne, er phishingmails eller forskellige afarter heraf, hvor it-kriminelle forsøger at udnytte den uopmærksomme medarbejder.

Traditionelle phishingtests er ikke tilstrækkeligt
Den gængse opfattelse har været, at årlige phishingtests, med fabrikerede phishingmails, har været det bedste våben mod truslen. Phishingtestenes primære formål er for mange organisationer at undersøge, hvor stor del af medarbejderne som falder i fælden efter gentagne phishingtests for at påvise problemet og eventuelle forbedringer.

Problematikken er påpeget et utal af gange, og uagtet antallet af phishingtests er en succesrate på 0 % utopi. Alligevel har fokus været på medarbejdernes evne til at identificere phishingmails og ikke på aktiv inddragelse af medarbejderne.

Det skal vi gøre op med.

Træn dine medarbejdere i at indrapportere phishingangreb
Et mindst lige så stort problem, som det er ikke at kunne identificere en phishingmail, er medarbejdernes manglende rapportering af potentielle phishingangreb. Der bør i langt højere grad være fokus på de opmærksomme medarbejderes evne til at notificere it-servicefunktionen og kollegaer mod potentielle phishingangreb.

Formålet med dette er i højere grad at fokusere på medarbejdernes fælles evne til at reagere på potentielle phishingangreb i forlængelse af den traditionelle phishingtest.

Hvordan sikrer vi, at medarbejderne indrapporterer phishingangreb?
For at dette kan lykkes i praksis, bør organisationer i højere grad understøtte medarbejderne i at bidrage til den overordnede it-sikkerhed ved at bruge tid og ressourcer på at forstå medarbejdernes adfærd og på nudansk ”nudge” medarbejderne i den rigtige retning. Dette kræver en gentænkning af formålet med phishingtests, processerne i organisationen og inddragelsen af medarbejderne.

Løsning: en phishing-knap
Hos IFCR og vores kunder har vi implementeret en phishing-knap som en integreret del af mailklienten, så alle har mulighed for nemt og intuitivt at indrapportere potentielle phishingangreb til it-servicefunktionen og eventuelle kollegaer. Phishing-knappens lette tilgængelighed gør det nemt og åbenlyst for alle, hvordan indrapportering foretages. Processen er simplificeret til blot én handling, og medarbejderen modtager straks feedback ved rapportering.

Vi har givet fire konkrete råd til, hvordan organisationer konkret kan arbejde med at forbedre it-sikkerheden ved at arbejde aktivt med medarbejdernes adfærd, særligt vedrørende phishingangreb:

1. Gør det nemt og åbenlyst at foretage den rigtige handling ved at reducere friktionen for, at medarbejderne kan rapportere potentielle phishingmails.
2. Simplificer budskabet og processen, for at medarbejderne nemmere kan rapportere potentielle phishingmails.
3. Giv medarbejderne positiv feedback og anerkendelse blandt kollegaerne, når de bidrager til den fælles it-sikkerhed.
4. Reducer mængden af interne mails, så der ikke går automatik i medarbejdernes åbning af de +100 mails, der modtages hver dag

De tre første råd kan nemt løses med implementering af en phishing-knap, hvor de sidste råd vil kræve en større adfærdsændring. I IFCR har vi løst problemet ved at stille krav til, at intern kommunikation KUN sker via Microsoft Teams (Slack er et godt alternativ). Dette eliminerer interne e-mails og reducerer dermed sandsynligheden for, at phishingangreb lykkes ved at udgive sig for at være en intern medarbejder – for det må man jo ikke!