Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Säkerhetshoten ingen teknik kan stoppa!

Brandväggar, virusdödare, skalskydd – lösningarna för att skydda sitt företag från intrång och dataförluster är många och komplexa, men det finns en faktor som aldrig går att bygga bort: människan. Marcus Nohlberg är doktor i informationssäkerhet med fokus på social manipulation av människor, och han menar att alla kan bli manipulerade.

Text Miguel Guerrero Foto Atea 16 maj 2016 säkerhet

Nohlberg.jpg

– Vi är mycket lättare att manipulera än vad vi själva tror. Det finns grundläggande principer som gäller oavsett kulturella och sociala skillnader, och de är svåra att skydda sig mot. Det handlar om att hitta rätt pitch i rätt tid, och det finns ingen teknisk lösning som skyddar mot manipulation, säger Marcus Nohlberg.

Många har fördomar om vilka som blir drabbade.

Marcus Nohlberg , doktor i informationssäkerhet

Ett vanligt exempel som ofta tas upp är de så kallade Nigeriabreven som fyller skräpkorgarna. Det är lätt att avfärda dem som orimliga, inte minst på grund av de ofta är skrivna på dålig engelska, men det i sig är en del av manipulationen menar Marcus Nohlberg.

– Bedragarna vill inte lägga tid på att övertyga dem som genomskådar dem och ställer jobbiga frågor tillbaka utan man vill nå dem som är lättlurade nog att inte ifrågasätta. Forskning visar att det bara är cirka 0,0003 procent som går på det här, men om man för en kostnad av fem dollar kan nå tio miljoner personer inser man snabbt att det är lukrativt.

Ett av problemen med social manipulation är att vi idag har integrerat it och sociala medier i en sådan utsträckning att vi inte kan särskilja vårt yrkesliv från våra privata liv. Vi surfar privat på arbetsdatorer och ansluter till e-posten på våra privata enheter. Det gör oss extra sårbara för en duktig manipulatör.

– Tekniken är så bra idag att det knappast lönar sig att attackera den, men vi är dåliga på att förstå att det digitala livet är allt vi har idag. Det gör oss mer utpressningsbara. Vi är också så avtrubbade att vi inte förstår hur nära vi är riktig internationell organiserad brottslighet. De är oftast inga amatörer utan tjänar stora summor på det här och de är skoningslösa.

Felaktiga fördomar om offren

Många har fördomar om vilka de är som blir drabbade, och att det är äldre personer som är ovana vid tekniken som är mest utsatta, men Marcus Nohlberg håller inte med om det.

– Det pratas ofta om att man ska sikta på den här gruppen på olika forum, men det finns ingen forskning som säger att de skulle vara mer benägna att gå på social manipulation. Tvärtom kan det vara så att de är it-tvivlare som vet att de inte behärskar tekniken och därför till exempel inte klickar på länkar, medan yngre kan ha väldigt hög och falsk självbild som gör att de slarvar. Facebook har till exempel ett högt defaultförtroende och ett kapat konto blir därför trovärdigt.

Nohlberg-Placeholder.jpg

Marcus Nohlberg

Marcus Nohlberg är doktor i informationssäkerhet med inriktning på social manipulation. Hans forskning visar att vi i allmänhet är mer godtrogna än vad vi själva tror att vi är. I ett experiment med ett falskt mejl lyckades han tillsammans med sina kollegor komma över 70 procent av alla studentkonton på sex timmar, detta bland studenter som studerade just det - it-säkerhet!

Marcus Nohlberg menar att ett av problemen för företagen när det gäller social manipulation är att man inte vågar ställa de anställda till svars.

– Du kan klicka på länkar och göra bort dig utan att ställas till svars för det är ändå it-avdelningens fel. Så resonerar man men jag tror att vi måste våga införa konsekvenser för enskilda medarbetare på företagen. Det behöver inte handla om att få sparken, men beter du dig vårdslöst måste det kännas. På andra sidan tror jag på att införa incitament för den som sköter sig. ”Det har inte varit några it-incidenter kring dig i år och för det får du en extra hundring i månaden.” Man måste göra säkerhet roligt. På produktionssidan finns belöningar för den som kommer på något sätt att öka effektiviteten, men varför finns det ingen belöning för den som kommer på en bra säkerhetsrutin?

Stäng den mänskliga säkerhetsluckan

Säkerhetsprogrammen blir allt mer avancerade men den mänskliga faktorn kvarstår, något som duktiga bedragare utnyttjar i allt högre utsträckning. Marcus Nohlberg, doktor i informationssäkerhet med fokus på social manipulering av människor, ger råd om hur du undviker att falla i fällan.

  1. Inse att folk vill åt dig även om du själv menar att du är ointressant och inte ser anledningarna. Du måste även förstå att du har ett eget ansvar och att du inte kan lita blint på att någon annan löser problemet.
  2. Definiera enstegsscenarier. It-policyer har en tendens att bli långa och tråkiga så att ingen läser dem. Enkla scenarier som bygger på ”jag har gjort det här, vad gör jag nu?” gör det enklare för de anställda agera även när de gjort något dumt. Alla kan göra fel, men det är hur man agerar direkt efteråt som är viktigt.
  3. Undvik att ha bråttom via policy utan undantag. Ytterst få saker är minutkritiska. Får du ett stressat samtal från någon som vill ha någon information från dig och du får en konstig känsla, be att få ringa tillbaka om två minuter. Om det är chefen som ringer från ett möte i Vietnam spelar ingen roll, policyn ska vara undantagsfri för annars skapas utrymme för manipulering.
  4. Se till att säkerheten blir roligt. Ofta blir säkerheten något som hamnar på minus, en begränsning snarare än en positiv konsekvens. Att till exempel stänga av möjligheten att dela filer på olika sätt kan också ses som en positiv förenkling för användaren eftersom de slipper hålla koll på olika sökvägar. Inför incitament som gör det roligare att jobba med säkerhet och öva så att alla förstår vad det handlar om.
  5. Glöm inte bort att det handlar om människor. Säkerhet handlar ofta mycket om företagen, men den som blivit drabbad mår ofta väldigt dåligt och det gäller att inte tappa den konsekvensbiten.

Rekommenderad läsning

Automatisering lyfter Umeå universitet

6 maj 2016 digit

umea_universitet.jpg umea_universitet.jpg umea_universitet.jpg

ITS vid Umeå universitet har tillsammans med Atea skapat nya flöden för självbetjäning och automatisering med hjälp av virtuella servrar.

Ny vårdapp gör hemtjänsten säkrare

12 maj 2016 digit

vadstena.jpg vadstena.jpg vadstena.jpg

I appen Viva omsorg finns all information hon behöver om de vårdtagare hon ska besöka. Sedan i höstas är vårdappen navet i Vadstena kommuns omsorgsverksamhet.

Vägvalet

17 maj 2016 digit

smedjebacken.jpg smedjebacken.jpg smedjebacken.jpg

Smedjebackens kommun stod vid ett vägskäl. Att förnya och bygga ut sitt datacenter på egen hand var en möjlighet, om än kostsam. Valet blev att outsourca. Här är deras erfarenheter.

Så löste Flash flaskhalsen för Bilia

13 maj 2016 digit

Bilia04.jpg Bilia04.jpg Bilia04.jpg

Sensommaren 2015 blev Bilias it-system segt som sirap. Det kunde ta 30 minuter att logga in och frustrationen bland de 3 000 medarbetarna växte.

Bilias it-avdelning säljer tjänster

13 maj 2016 digit

Bilia11.jpg Bilia11.jpg Bilia11.jpg

Bilias it-verksamhet är så kompetent att den knoppats av i ett dotterbolag som ska sälja tjänster till andra bilåterförsäljare. Även om it-avdelningen utvecklar egna service- och bokningssystem, så är driftmiljön för medarbetarna viktigast.

Digital omsorg ger mer tid åt dem som behöver det

16 maj 2016 digit

vadstena_1.jpg vadstena_1.jpg vadstena_1.jpg

Vadstena kommun har genom ett nytt digitalt verktyg lyckats kapa bort fyrtio minuters administration från personalen inom hemtjänsten varje dag. Det får både personalen och brukarna att må bättre när det finns mer tid att till exempel ta en kaffe.

Därför valde riksförbundet trådlöst

24 maj 2016 digit

Riksidrottsförbundet.jpg Riksidrottsförbundet.jpg Riksidrottsförbundet.jpg

Bättre täckning, en ökad rörlighet samt att it-avdelningen slipper tänka på drift och support. Det är de främsta skälen till att Riksidrottsförbundet valde en trådlös och molnbaserad it-tjänst, säger Fredrik Larsson, it-chef på Riksidrottsförbundet.

Driftsäkra med OWASP

18 maj 2016 säkerhet

OlovAlderholm2.JPG OlovAlderholm2.JPG OlovAlderholm2.JPG

Hört talas om OWASP? Om inte borde du spetsa öronen. Metodiken och verktygen i OWASP ger dig nämligen en bra chans att säkra din it-drift från de farligaste hoten på nätet. 

Så blev Försäkringskassan tjänstefierat

25 maj 2016 digit

forsakringskassan.jpg forsakringskassan.jpg forsakringskassan.jpg

Med en omsättning som är en fjärdedel av BNP är Försäkringskassan en av Sveriges giganter. Att lägga om kursen för it-strukturen var därför en tuff utmaning för Peter Axelborn, produktchef it på Försäkringskassan. Idag är den gamla produktstrukturen borta och tjänstefieringen en god bit på vägen.