Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

En guide til insidertrusler

0 titel

om forfatteren

Del dette indlæg

September 2019 er blevet erklæret National Insider Threat Awareness Month af det amerikanske National Counterintelligence and Security Center(NSCS) og National Insider Threat Task Force(NITTF).

Initiativet er specifikt oprettet for at øge bevidstheden om de alvorlige risici, som insidertrusler udgør, og samtidig tilskynde medarbejderne til at genkende og rapportere sikkerhedshændelser, så der kan gribes ind på et tidligt tidspunkt.

Det er let at fokusere på de mere presserende trusler mod cybersikkerhed, men virkeligheden er, at insidertrusler kan være lige så skadelige og kræver den samme årvågenhed for at hjælpe med at forebygge og opdage dem.

Disse typer angreb er mere almindelige, end du måske tror, og ifølge Verizon Insider Threat Report stammer 20 % af cybersikkerhedshændelserne og 15 % af databruddene fra insidere i en organisation.

Angrebene kan også være ekstremt dyre, idet den gennemsnitlige hændelse koster organisationer mere end 8 millioner dollars. Vi har en tendens til at tro, at disse angreb er overlagte og uhyggelige, og det er de ofte også, men størstedelen af insidertrusler skyldes dårlig sikkerhedspraksis hos medarbejderne.

Hvad er en insidertrussel?

En guide til insidertrusler

En insidertrussel er en sikkerhedshændelse, der stammer fra en organisation selv og ikke fra en ekstern kilde. Det kan være en nuværende eller tidligere medarbejder, en kontrahent, en tredjepartsleverandør eller en anden forretningsforbindelse, som har adgang til organisationens data og computersystemer.

Alle organisationer er sårbare, men visse brancher som f.eks. fremstillingsindustrien, sundhedssektoren og finanssektoren har en tendens til at have en højere risikoprofil end andre. Det kan skyldes de store mængder værdifulde oplysninger, som de opbevarer.

Typer af insidertrusler

En guide til insidertrusler

Insiderangreb kan være særligt farlige, fordi insidere i modsætning til eksterne aktører, der forsøger at infiltrere et netværk, typisk har legitim adgang til en organisations computersystemer. De kan få adgang til følsomme data uden at vække mistanke, og angrebene kan ofte gå ubemærket hen i uger eller endda måneder.

For at organisationer kan stoppe insidertrusler, skal de kende til de forskellige typer trusler og motivationen bag angrebet.

  • Ondskabsfuld insider - Dette er en medarbejder, der udnytter sin privilegerede adgang til bevidst at stjæle data eller begå andre negative handlinger mod organisationen. En anden type ondsindet insider er den utilfredse medarbejder. De vil bevidst forsøge at finde måder at skade organisationen på, hvis de føler, at de er blevet dårligt behandlet. Det kan være at redigere eller slette store mængder følsomme data eller forstyrre kritiske systemer.
  • Kompromitteret insider - Dette kan ofte være en af de farligste typer af insidertrusler, da medarbejderne måske ikke engang er klar over, at de er blevet kompromitteret. Typisk vil deres computer blive inficeret med malware som følge af, at de klikker på et phishing-link eller åbner en ondsindet vedhæftet fil.
  • Uagtsom insider - En medarbejder, der ikke følger de rette it-procedurer, er kendt som en uagtsom insider. Uanset om de lader deres computer stå ulåst, lader følsomme data ligge frit fremme eller lukker en autoriseret person ind i bygningen, udsætter disse medarbejdere deres organisation for en stor risiko med dårlige sikkerhedspraksis.

Advarselstegn

En guide til insidertrusler

Der er ofte en række advarselstegn, der kan advare organisationer om en insidertrussel. Disse omfatter:

  • Download af eller adgang til store mængder følsomme data
  • Brug af eksterne lagringsenheder som f.eks. USB-sticks
  • Adgang til data, der ikke er knyttet til jobrollen
  • Kopiering af filer fra følsomme mapper
  • Emailing af følsomme data uden for organisationen
  • Personligheds- og adfærdsændringer
  • Arbejde på usædvanlige arbejdstider

Eksempler med høj profil

En guide til insidertrusler

Desværre er der ingen mangel på eksempler på organisationer, der har været udsat for Insider-trusler. Disse højt profilerede angreb har understreget den økonomiske skade og den skade på omdømme, der kan blive påført som følge af insidertrusler. Nogle af de mere bemærkelsesværdige tilfælde omfatter bl.a:

Punjab National Bank

I et af de dyreste insiderangreb brugte en ansat i Punjab National Bank SWIFT-interbankkommunikationssystemet til at godkende udstedelse af penge gennem Letters of Undertaking og Foreign Letters of Credit. Gennem disse svigagtige transaktioner kunne medarbejderen overføre midler for i alt 1,5 mia. pund.

Morrisons

I 2017 blev Morrisons, en af Storbritanniens førende supermarkedskæder, stillet til ansvar, efter at en utilfreds intern revisor offentliggjorde oplysninger om over 100.000 medarbejdere. Dette omfattede følsomme data som f.eks. nationale forsikringsnumre, fødselsdatoer og bankkontooplysninger. 5 5 518 medarbejdere indbragte Morrisons for retten med påstand om, at lækagen havde udsat dem for risikoen for identitetstyveri og potentielle økonomiske tab. Morrisons blev fundet ansvarlig og pådrog sig omkostninger på op til 2 mio. pund.

Mål

Target-bruddet i 2014 skete, da en tredjepartsmedarbejder klikkede på et phishing-link, som hjalp angriberne med at komme ind på HVAC-leverandørens netværk og i sidste ende ind på Target's netværk. Angrebet kompromitterede navne, adresser, telefonnumre, e-mailadresser og kreditkortdata for over 70 millioner mennesker. I dette særlige tilfælde havde insideren ikke ondsindede hensigter, men angrebet forårsagede betydelig skade på virksomhedens omdømme og kostede virksomheden 300 millioner dollars.

Hvordan kan organisationer forsvare sig mod insidertrusler?

Uddannelse i sikkerhedsbevidsthed - Uddannelse er afgørende for at uddanne medarbejderne i sikkerhedspolitikker og de trusler, som de sandsynligvis vil støde på i deres daglige arbejde. Det kan være alt fra en phishing-e-mail til vigtigheden af fysisk sikkerhed på arbejdspladsen. Små fejltagelser kan potentielt forårsage stor skade på en organisation, så medarbejderne skal modtage regelmæssig uddannelse for at sikre, at de ved, hvordan de kan identificere og reagere hensigtsmæssigt på trusler i udvikling.

Brug stærk autentificering - Hvis en organisations konti kan blive kompromitteret, kan insidere bevæge sig sideløbende rundt i netværk og stjæle følsomme data. Medarbejderne bør undgå at dele adgangskoder, og der bør være stærke autentificeringsprocesser for adgang til følsomme programmer og systemer.

Overvåg medarbejdernes onlineadfærd - Organisationer bør regelmæssigt overvåge medarbejdernes adfærd for at opdage mistænkelig aktivitet. Det kan være at logge ind på tilfældige tidspunkter, få adgang til følsomme data eller forsøge at kopiere data fra mapper, som de ikke er autoriseret til at se. Adfærdsanalyser kan spille en vigtig rolle i forbindelse med at identificere brugere, der handler ud over normen. Jo tidligere organisationer kan opfange denne adfærd, jo hurtigere kan de løse eventuelle problemer.

Etablering af en proces til rapportering af hændelser - Organisationer bør have en klar procedure for rapportering og logning af alle sikkerhedshændelser. Rapporteringsmuligheden skal omfatte alle de forskellige hændelser, der kan opstå, og indeholde passende reaktioner. Dette vil hjælpe med at afsløre enhver mistænkelig adfærd og give alle de nødvendige oplysninger, der kræves til indberetning til myndighederne.

MetaCompliance har specialiseret sig i at skabe den bedste uddannelse i cybersikkerhed, der findes på markedet. Vores produkter tager direkte fat på de specifikke udfordringer, der opstår som følge af cybertrusler og corporate governance, ved at gøre det lettere for brugerne at engagere sig i cybersikkerhed og overholdelse af reglerne. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe med at transformere Cyber Security-træning i din organisation.

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante