PET og CFCS advarer mod cybertrusler fra insidere i danske organisationer

Illustration: alexskopje / bigstock
Det er ikke kun bevidst ondsindede insidere, der udgør et problem for sikkerheden. Ubevidste insidere er involveret i op mod halvdelen af sikkerhedshændelserne i en organisation, vurderer CFCS og PET.

Faren for cyberangreb kommer ikke kun udefra. Også de såkaldte insidere i en organisation er med til at skabe en øget sårbarhed overfor cybertrusler.

Sådan lyder advarslen til myndigheder og virksomheder i en ny trusselsvurdering fra Politiets Efterretningstjeneste (PET) og Center for Cybersikkerhed (CFCS), der opfordrer alle organisationer til at forholde sig til problematikken.

Sikkerhedstruslen kan komme fra medarbejdere, som bevidst prøver at skade virksomheden, men også de ubevidste insidere kan spille en afgørende rolle i forbindelse med sikkerhedshændelser.

»Det er sandsynligt, at ubevidste insidere kan være involveret i op mod halvdelen af alle registrerede sikkerhedshændelser i en organisation,« står der i trusselsvurderingen.

Ofre for spear phishing

I trusselsvurderingen påpeges det, at manglende uddannelse sammen med uklare eller ligefrem manglende retningslinjer for it-sikkerheden i en organisation kan være årsag til, at medarbejdere ubevidst kan blive involverede i cyberangreb.

På den måde kan personalet ende med at blive ofre for spear phishing via e-mails, der foregiver at komme fra personer eller myndigheder, som ser troværdige ud for modtageren, men som indeholder links til skadelige hjemmesider eller filer med malware.

Både CFCS og PET vurderer, at statslige aktører og cyberkriminelle ofte benytter spear phishing til cyberangreb mod danske virksomheder eller myndigheder. Derfor er det vigtigt at træne medarbejderne i at se faresignalerne i eksempelvis uventede e-mails frem for at bebrejde dem, lyder det i trusselsvurderingen.

Logning og begrænset adgang

Ifølge trusselsvurderingen er der potentiale for at have både ubevidste og bevidste insidere i alle organisationer.

Og særligt de insidere, der bevidst prøver at skade en organisation indefra, kan være svære at spore, fordi medarbejderen kan udføre sine handlinger udelukkende ved at misbruge sin stilling og legitime adgang til virksomhedens it-systemer.

Derfor anbefales det i trusselsvurderingen, at antallet af medarbejdere med adgang til forretningskritiske it-systemer og data bør begrænses. Derudover bør man i de enkelte virksomheder og myndigheder overveje, om der skal indføres beskyttede logningssystemer på de mest centrale dele af it-systemerne, lyder det fra i trusselsvurderingen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Uffe R. B. Andersen

Jeg synes måske FE-DDIS er lille smule for kække, når de bebrejder medarbejderne at falde for phishing. Samme FE-DDIS som i 390 dage har stået på DMARC dot DK's SPF Defektliste. Som hverken har implementeret DMARC eller DNSSEC, der ellers kunne yde medarbejderne beskyttelse mod phishingmails og credentials theft.

Ingen arbejdsgiver eller organisation kan med rimelighed bebrejde medarbejderne, så længe ledelsen ikke har sikret sig med de tilgængelige midler.

  • 9
  • 0
Mads Hjorth

Det er godt nok et underligt begreb, og giver alle de forkerte ideer.... bl.a. fordi det ligger lige lovligt tæt på insider handel...

Uforvarende? Uheldig? ansat/chef?

Og i praksis er det vel vedkommendes computer der ikke er rustet til det trusselsniveau den anvendes i?

Og er det så ikke mere arbejdsgiver end medarbejders ansvar, at stille udstyr til rådighed som er mere sikkert?

Så det rette begreb er måske utilstrækkeligt sikrede arbejdsstationer eller ‘lorte pc’?

  • 1
  • 0
Mads Hjorth

Beskyttet logning? Er det ikke en af mekanismerne i ISO 27001?

Så det kan også udtrykkes som... statslige organisationer skal basere deres informationssikkerhed på ISO 27001. Deres risikovurdering lede til anvendelse af beskyttet logning.

  • 3
  • 0
Michael Christensen

Det er mit gæt, at denne anbefaling kommer ud af, at der har været besøg i felten, der viser, at der ikke har været gjort de fornødne tanker og mitigerende handlinger, der tager højde for en insider.

Artiklen bunder IMHO næppe i manglende viden.

Jeg har i min tid i felten som ekstern konsulent ofte set, at der ikke har været taget højde for insidere - eller blot for uheld hos folk med priviligeret adgang.

/Michael

  • 1
  • 0
Uffe R. B. Andersen

Enig, timingen mellem regeringens nye lovforslag om tvungen adgang til virksomheders netværk og denne vurdering fra FE kan næppe være tilfældig. Læg dertil Erhvervsstyrelsens "Klik ikke her"-kampagne, så er enhver tvivl vist ryddet af bordet - "Medarbejderen er blevet den største trussel for virksomhedernes IT-sikkerhed".

  • 4
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize