PET og CFCS advarer mod cybertrusler fra insidere i danske organisationer

7 kommentarer.  Hop til debatten
PET og CFCS advarer mod cybertrusler fra insidere i danske organisationer
Illustration: alexskopje / bigstock.
Det er ikke kun bevidst ondsindede insidere, der udgør et problem for sikkerheden. Ubevidste insidere er involveret i op mod halvdelen af sikkerhedshændelserne i en organisation, vurderer CFCS og PET.
Christoffer Elmann Ranhauge
19. februar 2019 kl. 15:28
errorÆldre end 30 dage
Christoffer Elmann Ranhauge
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Faren for cyberangreb kommer ikke kun udefra. Også de såkaldte insidere i en organisation er med til at skabe en øget sårbarhed overfor cybertrusler.

Sådan lyder advarslen til myndigheder og virksomheder i en ny trusselsvurdering fra Politiets Efterretningstjeneste (PET) og Center for Cybersikkerhed (CFCS), der opfordrer alle organisationer til at forholde sig til problematikken.

Sikkerhedstruslen kan komme fra medarbejdere, som bevidst prøver at skade virksomheden, men også de ubevidste insidere kan spille en afgørende rolle i forbindelse med sikkerhedshændelser.

»Det er sandsynligt, at ubevidste insidere kan være involveret i op mod halvdelen af alle registrerede sikkerhedshændelser i en organisation,« står der i trusselsvurderingen.

Ofre for spear phishing

I trusselsvurderingen påpeges det, at manglende uddannelse sammen med uklare eller ligefrem manglende retningslinjer for it-sikkerheden i en organisation kan være årsag til, at medarbejdere ubevidst kan blive involverede i cyberangreb.

Artiklen fortsætter efter annoncen

På den måde kan personalet ende med at blive ofre for spear phishing via e-mails, der foregiver at komme fra personer eller myndigheder, som ser troværdige ud for modtageren, men som indeholder links til skadelige hjemmesider eller filer med malware.

Både CFCS og PET vurderer, at statslige aktører og cyberkriminelle ofte benytter spear phishing til cyberangreb mod danske virksomheder eller myndigheder. Derfor er det vigtigt at træne medarbejderne i at se faresignalerne i eksempelvis uventede e-mails frem for at bebrejde dem, lyder det i trusselsvurderingen.

Logning og begrænset adgang

Ifølge trusselsvurderingen er der potentiale for at have både ubevidste og bevidste insidere i alle organisationer.

Og særligt de insidere, der bevidst prøver at skade en organisation indefra, kan være svære at spore, fordi medarbejderen kan udføre sine handlinger udelukkende ved at misbruge sin stilling og legitime adgang til virksomhedens it-systemer.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

Derfor anbefales det i trusselsvurderingen, at antallet af medarbejdere med adgang til forretningskritiske it-systemer og data bør begrænses. Derudover bør man i de enkelte virksomheder og myndigheder overveje, om der skal indføres beskyttede logningssystemer på de mest centrale dele af it-systemerne, lyder det fra i trusselsvurderingen.

7 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
Michael Stranau
20. februar 2019 kl. 13:49

Det er da en fin timing i denne risiko-vurdering om insidere i forhold til de udviddede beføjelser til CFCS i forhold til gå efter virksomheders medarbejdere. Man kunne få tanken at der var tale om internt bestillingsarbejde.

  • more_vert
    • insert_linkKopier link
5
Michael Christensen
20. februar 2019 kl. 09:06

Det er mit gæt, at denne anbefaling kommer ud af, at der har været besøg i felten, der viser, at der ikke har været gjort de fornødne tanker og mitigerende handlinger, der tager højde for en insider.

Artiklen bunder IMHO næppe i manglende viden.

Jeg har i min tid i felten som ekstern konsulent ofte set, at der ikke har været taget højde for insidere - eller blot for uheld hos folk med priviligeret adgang.

/Michael

  • more_vert
    • insert_linkKopier link
4
Mads Hjorth
20. februar 2019 kl. 03:29

Beskyttet logning? Er det ikke en af mekanismerne i ISO 27001?

Så det kan også udtrykkes som... statslige organisationer skal basere deres informationssikkerhed på ISO 27001. Deres risikovurdering lede til anvendelse af beskyttet logning.

  • more_vert
    • insert_linkKopier link
3
Mads Hjorth
20. februar 2019 kl. 03:25

Det er godt nok et underligt begreb, og giver alle de forkerte ideer.... bl.a. fordi det ligger lige lovligt tæt på insider handel...

Uforvarende? Uheldig? ansat/chef?

Og i praksis er det vel vedkommendes computer der ikke er rustet til det trusselsniveau den anvendes i?

Og er det så ikke mere arbejdsgiver end medarbejders ansvar, at stille udstyr til rådighed som er mere sikkert?

Så det rette begreb er måske utilstrækkeligt sikrede arbejdsstationer eller ‘lorte pc’?

  • more_vert
    • insert_linkKopier link
2
Uffe R. B. Andersen
19. februar 2019 kl. 22:29

Jeg synes måske FE-DDIS er lille smule for kække, når de bebrejder medarbejderne at falde for phishing. Samme FE-DDIS som i 390 dage har stået på DMARC dot DK's SPF Defektliste. Som hverken har implementeret DMARC eller DNSSEC, der ellers kunne yde medarbejderne beskyttelse mod phishingmails og credentials theft.

Ingen arbejdsgiver eller organisation kan med rimelighed bebrejde medarbejderne, så længe ledelsen ikke har sikret sig med de tilgængelige midler.

  • more_vert
    • insert_linkKopier link
1
Ditlev Petersen
19. februar 2019 kl. 16:02

Har man ikke sagt det siden tidernes morgen? I næste måned vil de to sikkert anbefale brugen af individuelle logins og brug af password.

  • more_vert
    • insert_linkKopier link