Moderne mail-beskyttelse læser alt, du skriver fra din arbejdsmail
Hvornår plejer jeg at arbejde? Hvordan plejer jeg at skrive fra min arbejdsmail, og hvor plejer jeg at kommunikere fra?
Sådanne spørgsmål kan mange antivirus-selskaber svare på. De har nemlig snablen helt nede i arbejdsmails, og det er nødvendigt, hvis man vil sikre sig så godt som muligt, fortæller Hatem Naguib, der er COO i Barracuda, der blandt andet laver sikkerhedsløsninger til e-mails.
»Intet menneske kan reagere hurtigt nok, så vi har lavet et system, der kan hjælpe med at identificere angrebene og reagere for at stoppe dem,« fortæller direktøren til Version2 under selskabets årlige præsentation af sine produkter i Østrig.
»Vi gennemgår en milliard mails om dagen,« lyder det stolt fra Hatem Naguib.
Barracudas mailprodukt, Sentinel, er blandt andet baseret på en machine learning-algoritme, der scanner alle mails og giver dem point efter mistænkelighed. Hvis en medarbejders mail for eksempel sendes uden for normale arbejdstid, eller hvis sprogbrugen afviger fra medarbejderens profil, scorer mailen højere. Hvis den scorer højt nok, notificeres selskabets admin. Herefter kan admin tage stilling til truslen og eventuelt advare medarbejderen om, at der er tale om et scam. Kilde: Hatem Naguib, BarracudaSådan fungerer Barracudas system
Risikerer gråzone
Barracuda er langtfra alene med denne tilgang, fortæller Thomas Bøjstrup Johansen, der som sikkerhedskonsulent hos det danske sikkerhedsselskab Dubex sælger disse produkter til interesserede danske virksomheder.
»Stort set alle antivirusproducenter opretter en cloudløsning, som hookes op på mailklienten, hvad end der er tale om Gmail, Microsoft eller noget tredje,« siger Thomas Bøjstrup Johansen og uddyber:
»De scannede mailindbakker udgør altså bare en database, der tages udgangspunkt i, når der træffes sikkerhedsvurderinger, og det er gældende for alle producenterne. Både Cisco, Trendmicro og Barracuda gør det.«
Der er altså tale om en helt almindelig tilgang til sikkerheden omkring arbejdsmails, fortæller Thomas Bøjstrup Johansen, der mener, at danske virksomheder generelt er gode til at informere medarbejderne om, at deres mails er underlagt nogle sikkerhedsforanstaltninger gennem diverse politikker.
»Men det er klart, at man skal være god til at informere medarbejderne. Ellers kan der helt klart opstå en gråzone, hvor medarbejderne kan føle sig overvågede,« siger Thomas Bøjstrup Johansen.
Nye trusler
Hatem Naguib fortæller, at man godt er klar over gråzonerne, men at nye trusler kræver nye modspil fra sikkerhedsselskaberne.
Blandt andet fortæller han, at selskaber i stigende grad angribes med mails uden link og uden filer, men kun med tekst. Og det gør det sværere at uskadeliggøre angrebet med simple metoder såsom systematisk at fjerne eller advare mod vedhæftninger og links.
»Det er blevet nemmere for hackere og svindlere. Programmering er mere tilgængeligt end nogensinde, og alle bruger efterhånden mails, så antallet af af mails vokser. Så der er flere at gemme sig iblandt, hvis man har onde hensigter,« siger Hatem Naguib.
Derudover har hackerne fået en stor gave, mener Hatem Naguib: bitcoins og andre ikke-sporbare betalingsformer, der generelt gør svindel nemmere.
Stolede mere på svindelmail end på sikkerhedschef
Teknologien viser ofte sit værd, fastholder Hatem Naguib. Blandt andet henviser han til en mailkorrespondence mellem en medarbejder hos en af Barracudas kunder og en svindler, der prøver at narre medarbejderen til at købe et gavekort til Apples onlinebutik.
Det gør angriberen fra en mail, der med et enkelt tegn adskiller sig fra direktørens mail og selskabets maildomæne.
»Vores system flagger korrespondancen som problematisk. Dels fordi afsenderens mail er ekstern, men også fordi samtalens indhold står ud i forhold til, hvad den pågældende sekretær ellers skriver om,« lyder det fra Hatem Naguib.
»Efter at systemet gør det, skriver selskabets admin, at Alice altså ikke skal besvare den her mail. Men hun tror relativt langt hen ad vejen i den efterfølgende korrespondence, at angriberen er legitim på grund af hans vellignende mail,« siger Hatem Naguib, der fortæller, at det dog lykkedes at få Alice talt fra at købe gavekortene.
I dette tilfælde var angriberens ønske simpelt. Men i andre tilfælde bliver der bedt om vigtige login-oplysninger, som tillader angriberen at eskalere angrebet. Hvis det sker, ligger der et stort oprydningsarbejde forude for den angrebne virksomhed.
»Det er en administrators mareridt, hvis en medarbejderes mail og/eller login-oplysninger bliver kompromitteret. Der skal opdateres passwords, blacklistes url'er og så videre hos alle de medarbejdere, der er eller bare kan være blevet kompromitteret.
Også i denne henseende kan det være en fordel med en stor e-mail-database, der holder øje med, hvem der skriver til hvem og hvordan. Det kan nemlig gøre det betydeligt nemmere at backtracke skadeligt indhold, når skaden er sket, fortæller Hatem Naguib.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.