Med de seneste rapporter, der identificerer phishing som et af de mest vedvarende og udbredte problemer inden for cybersikkerhed, er det vigtigt ikke kun at forstå, hvilket risikoniveau din organisation står over for, men også hvordan du bedst kan mindske denne risiko.
Phishing-svindelnumre har eksisteret i et stykke tid nu, men der er ingen tegn på, at de vil aftage i den nærmeste fremtid. Tværtimod udvikler de sig hele tiden. I 4. kvartal 2016 var der en stigning på 45 % i BEC-angreb (Business Email Compromise ) i forhold til 4. kvartal 2015. Det betyder, at cyberkriminelle satser mere på at udnytte den menneskelige faktor i din organisation frem for at implementere trojanere og automatiserede cyberangreb.
Så hvordan kan du beskytte din virksomhed mod et phishing-angreb?
1. Uddannelse af medarbejdere i phishing
Det er måske en kliché, men det er sandt, at dine medarbejdere er dit bedste forsvar, når det gælder generel cybersikkerhed og beskyttelse af din organisation mod et phishing-angreb. Vi har for nylig været vidne til det kolossale WannaCry-ransomwareangreb. Dette angreb viste, hvordan en simpel phishing-e-mail, som en intetanende medarbejder klikker på, kan være alt, hvad der skal til for at udløse et større cyberangreb, som hurtigt kan inficere et helt netværk. Dette angreb viste, hvor vigtig din menneskelige firewall er i dit overordnede sikkerhedssystem. Derfor er det supervigtigt at investere i e-learning i cybersikkerhed af højeste kvalitet om, hvordan man opdager mistænkelige e-mails, og hvilke skridt man skal tage, når man er blevet offer for et phishing-svindelnummer. På samme måde kan du investere i simulerede phishing-øvelser for din organisation ved hjælp af vores sofistikerede MetaPhish-produkt.
2. Sørg for, at du har en god spam-vagt og en UTM-enhed (Unified Threat Management) på plads
Det siger sig selv, at det er nødvendigt at anvende forskellige former for sikkerhed for at beskytte en organisation bedst muligt mod phishing-svindel. Det kan virke som en heftig investering nu, men hvis du fordobler eller tredobler dine cyberbeskyttelsesmetoder, kan du spare dig en masse tid og penge i det lange løb! Spam-vagter og UTM'er af høj kvalitet, der er købt hos velrenommerede navne på markedet, er et must for enhver organisation, der ønsker at bekæmpe phishing-angreb, da størstedelen af disse svindel-e-mails vil blive fanget i nettene. Men da nogle af disse e-mails er meget sofistikerede, er det vigtigt at være opmærksom på, at spam-vagter alene ikke er det ultimative svar, og at uddannelse af medarbejderne i bevidsthed også er afgørende.
3. Gennemføre retningslinjer for medarbejderne
Du bør have et klart og sikkert register over, hvilke oplysninger der er følsomme og ikke bør videregives. Du bør også begrænse antallet af medarbejdere med adgang til disse data for at minimere risikoen for, at de lækkes eller overdrages til cyberkriminelle via en phishing-e-mail. Der bør opstilles klare retningslinjer for at instruere medarbejderne i, hvordan de skal håndtere vigtige virksomhedsoplysninger. Det er også en god idé at gennemføre politikker baseret på disse retningslinjer, der skaber opmærksomhed i hele virksomheden og viser, at dine medarbejdere er informeret.
4. Gennemføre en politik for sikre personlige oplysninger
For at minimere risikoen er det værd at overveje at indføre en politik, der fastslår, at alle følsomme oplysninger, f.eks. virksomhedens bankoplysninger, kun må kommunikeres sikkert via telefon eller via https-websteder med sikre betalingsfaciliteter, aldrig via e-mail. Det er vigtigt at sikre, at dine medarbejdere er opmærksomme på, at e-mail er et risikabelt medie, hvorigennem der gives adgang til følsomme virksomhedsoplysninger, for at mindske risikoen, da man ikke kan være sikker på, hvem der sidder i den anden ende af en e-mail. Når der anmodes om bankoverførsler via e-mail (som det er almindeligt ved sofistikerede spear phishing-angreb), er det bedste praksis altid at ringe direkte til den pågældende person og dobbelttjekke, at anmodningen kommer fra vedkommende. Hvis du indfører dette som en almindelig praksis, vil du reducere din risiko betydeligt.
5. Skift dine log-in-oplysninger for konti regelmæssigt, og brug forskellige log-in-oplysninger for hver konto
Ordsproget her hos MetaCompliance er "Adgangskoder er som bukser", og det er sandt.
Skift dine adgangskoder og loginoplysninger regelmæssigt, og lad dem ikke ligge og flyde rundt! Jo hyppigere du ændrer dine loginoplysninger til virksomhedskonti, jo mindre chance har hackere (som måske tidligere har fået adgang til dine konti) for at vende tilbage igen og igen for at indsamle flere oplysninger. På samme måde er det en dårlig idé kun at have ét sæt log-in-oplysninger til alle virksomhedskonti! Tænk bare på, om du ville have kun én hovednøgle, der giver adgang til alle rum i din organisation? I det uheldige tilfælde, at en hacker får adgang til en konto ved hjælp af oplysninger fra en phishing-e-mail, kan du være sikker på, at han vil bruge de samme oplysninger til at forsøge at hacke dine andre konti. Gør det ikke nemmere for dem!
Har du andre metoder til at beskytte din virksomhed mod phishing-angreb? Eller er der andre virksomhedstiltag mod disse typer cyberangreb, som du kunne se blive indført i fremtiden?