I de senaste rapporterna identifieras nätfiske som ett av de mest ihållande och utbredda problemen inom cybersäkerhet, och det är därför viktigt att inte bara förstå vilken risk din organisation står inför, utan också hur du bäst kan minska denna risk.
Phishing-bedrägerier har funnits under en längre tid nu, men de visar inga tecken på att avta inom kort. Tvärtom utvecklas de ständigt. Under fjärde kvartalet 2016 ökade antalet BEC-attacker (Business Email Compromise) med 45 % jämfört med fjärde kvartalet 2015. Detta innebär att cyberbrottslingar satsar mer på att utnyttja den mänskliga faktorn i din organisation än att sprida trojaner och automatiserade cyberattacker.
Så hur kan du skydda ditt företag mot en phishing-attack?
1. Utbildning för de anställda i nätfiske
Det är kanske en klyscha, men det är sant: dina anställda är ditt bästa försvar när det gäller allmän cybersäkerhet och att skydda din organisation från en phishing-attack. Vi bevittnade nyligen den kolossala WannaCry-attacken mot utpressningstrojaner. Denna attack belyste hur ett enkelt phishingmejl, som en intet ont anande anställd klickar på, kan vara allt som krävs för att utlösa en stor cyberattack som snabbt kan infektera ett helt nätverk. Attacken visade hur viktig den mänskliga brandväggen är i ditt bredare säkerhetssystem. Därför är det superviktigt att investera i högkvalitativ e-lärning om cybersäkerhet om hur man upptäcker misstänkta e-postmeddelanden och vilka åtgärder man ska vidta när man har fallit offer för en phishing-bedrägeri. På samma sätt kan du investera i simulerade phishingövningar för din organisation med hjälp av vår sofistikerade MetaPhish-produkt.
2. Se till att du har ett bra skräppostskydd och en UTM-enhet (Unified Threat Management) på plats.
Det är självklart att det är nödvändigt att använda olika typer av säkerhet för att en organisation ska kunna skyddas så mycket som möjligt mot phishingbedrägerier. Det kan verka som en rejäl investering nu, men om du fördubblar eller tredubblar dina metoder för cyberskydd kan du spara mycket tid och pengar i det långa loppet! Högkvalitativa skräppostskydd och UTM:er, som köps från välrenommerade namn på marknaden, är ett måste för alla organisationer som vill bekämpa nätfiskeattacker eftersom majoriteten av dessa bluffmejl kommer att fastna i näten. Eftersom vissa av dessa e-postmeddelanden är mycket sofistikerade är det dock viktigt att vara medveten om att enbart skräppostskydd inte är den ultimata lösningen och att utbildning av de anställdas medvetenhet också är avgörande.
3. Införande av riktlinjer för de anställda
Du bör ha ett tydligt och säkert register över vilken information som är känslig och som inte får lämnas ut. Du bör också begränsa antalet anställda som har tillgång till dessa uppgifter för att minimera risken för att de läcker ut eller överlämnas till cyberbrottslingar via ett phishingmejl. Tydliga riktlinjer bör införas för att instruera de anställda om hur de ska hantera viktig företagsinformation. Det är också en bra idé att införa policyer baserade på dessa riktlinjer som skapar medvetenhet i hela företaget och visar att dina anställda är insatta.
4. Genomföra en policy för säker personlig information.
För att minimera riskerna är det värt att överväga att införa en policy som anger att all känslig information, t.ex. företagets bankuppgifter, endast får överföras på ett säkert sätt via telefon eller via https-webbplatser med säkra betalningsmöjligheter, aldrig via e-post. Att se till att dina anställda är medvetna om att e-post är ett riskabelt medium för att ge tillgång till känslig företagsinformation är nyckeln till att minska risken, eftersom du inte kan vara säker på vem som befinner sig i andra änden av ett e-postmeddelande. När banköverföringar begärs via e-post (vilket är vanligt vid sofistikerade spear phishing-attacker) är det bästa tillvägagångssättet att alltid ringa direkt till den berörda personen och dubbelkolla att begäran kommer från denne. Om du tillämpar detta som en vanlig rutin kommer du att minska din risk avsevärt.
5. Ändra dina inloggningsuppgifter regelbundet och använd olika inloggningsuppgifter för varje konto.
På MetaCompliance säger man att lösenord är som byxor, och det är sant.
Byt dina lösenord och inloggningsuppgifter regelbundet och låt dem inte ligga kvar! Ju oftare du ändrar dina inloggningsuppgifter för företagskonton, desto mindre chans har hackare (som kanske har fått tillgång till dina konton tidigare) att återkomma gång på gång för att samla in mer information. Att ha en enda uppsättning inloggningsuppgifter för alla företagskonton är också en dålig idé! Tänk bara, skulle du ha en enda huvudnyckel som ger tillgång till alla rum i din organisation? Om en hackare skulle få tillgång till ett konto med hjälp av uppgifter från ett phishing-mejl kan du vara säker på att han kommer att använda samma uppgifter för att försöka hacka dina andra konton. Gör det inte lättare för dem!
Har du några andra metoder för att skydda ditt företag mot nätfiskeattacker? Eller finns det några andra företagsstrategier för dessa typer av cyberattacker som du skulle kunna tänka dig att införa i framtiden?