IT-relatert svindel er et stadig voksende samfunnsproblem, og metodene for å svindle bedrifter og privatpersoner utvikler seg stadig. Samtidig er det en trussel som for de fleste kan virke litt fjern, før man plutselig rammes selv.
– De fleste bedrifter er dessverre mye mer utsatt enn de selv er klar over, sier IKT-rådgiver i Serit, Are Fagerheim.
Alle rapporter tilknyttet IT-sikkerhet og omfanget av svindel peker i feil retning. Den monetære verdien på IT-kriminalitet overstiger for eksempel narkotikarelatert kriminalitet i de fleste Europeiske land, 2 av 3 bedriftseiere rapporterte å bli forsøkt svindlet i 2023, og svindelforsøkene øker stadig i omfang og kompleksitet. Som om ikke det var nok, er sannsynligvis også sannheten enda styggere, skal vi tro IKT-rådgiver Are Fagerheim i Serit.
– Vi vet at det finnes store mørketall, ettersom mange bedrifter ikke rapporterer inn slikt, forteller Fagerheim.
Ingen er helt trygge
Årsakene til mørketallene er sammensatte. Ønsker om å ikke svekke bedriftens omdømme, å ikke ha et klart svar på nøyaktig hva som er lekket av informasjon eller rett og slett en manglende forståelse av at man har blitt utsatt for svindel er alle faktorer som bidrar til at problemet underrapporteres.
– Noen ganger benytter svindlerne seg av informasjon de skaffet seg for flere år siden, i et uoppdaget angrep. Når de først da bruker denne informasjonen til å gjennomføre svindel, blir bedriften tatt helt på senga, forklarer Fagerheim.
Og med stadig mer sofistikerte svindelmetoder, godt hjulpet av kunstig intelligens som øker både volumet av svindelforsøk og troverdigheten, er Fagerheims konklusjon tydelig.
– De fleste bedrifter er dessverre mye mer utsatt enn de selv tror.
– Svindlerne ligger bestandig ett steg foran
Det stereotypiske bildet mange har av en IT-svindler er kanskje en ensom person alene på rommet, men i virkeligheten er den ensomme svindleren erstattet av et team på flere mennesker, og de jobber organisert og målrettet sammen for å utvikle nye svindelmetoder og angripe flest mulig bedrifter.
– De som forsøker svindle, utvikler nye metoder for det. Jobben til sikkerhetsleverandørene blir ofte å tette disse hullene, men det fører til at de også blir haltende ett skritt bak svindlerne, forklarer Are.
De aller fleste med en mailkonto tilknyttet jobben har på ett eller annet tidspunkt mottatt en forespørsel fra det som angivelig er daglig leder, som ber om hjelp til å kjøpe et gavekort på en digital tjeneste. Fagerheim forklarer at selv om dette er en av svindelformene, så er det ikke alle som er like opplagte.
– Enkelt forklart kan svindelforsøkene deles opp i to kategorier. De som er enkle å gjennomføre, og som kan gjøres i enorme skalaer. De er veldig enkle å identifisere for noen med litt kunnskap, men du kan angripe så mange om gangen at de likevel lykkes “ofte nok”. Den andre typen svindel er målrettede angrep med svært sofistikerte tilpasninger i alt fra signaturer, landingssider, budskap, tekniske løsninger for pålogging og Bank-ID. Det krever mye mer kompetanse for å kjenne igjen et slikt angrep, forteller IKT-rådgiveren.
Og det er spesielt en ting som bekymrer han når det kommer til utviklingen av KI-verktøyene.
– Den siste kategorien, med sofistikerte og svært tilpassede angrep, blir mye enklere å gjøre i stor skala med KI-verktøy.
Slik sikrer Odd Berg Gruppen seg
Odd Berg Gruppen er et 150 år gammelt konsern med hovedkontor i Tromsø, med virksomheter innenfor alt fra eiendom og industri til teknologi og forskningsarbeid. Som et større konsern med mye kapital, FoU-ressurser og annen verdifull data fremstår de nok for mange som et attraktivt bytte for noen med onde hensikter. Sissel Haukebø Samuelsen, adminstrasjons- og personalsjef i selskapet, bekrefter at IT-sikkerheten deres får testet seg.
– Vi blir jevnlig utsatt for ulike forsøk på svindel. Heldigvis har vi et høyt sikkerhetsnivå, så det aller meste blir filtrert ut underveis – men også de ansatte må være på vakt, forteller hun.
Sikkerhetssystemet er levert av Serit, og består blant annet av en privat sky i Serits egen datapark, og det som finnes av sikkerhetsløsninger knyttet til både brannmurer og sikkerhetsovervåkningssentraler.
–Den største trusselen kommer innenfra
Ettersom svindlerne bestandig ligger et lite steg foran IT-sikkerhetsbransjen, er det umulig å være 100% sikret mot dataangrep. Ifølge Fagerheim er de ansatte den største potensielle svakheten i ett hvert IT-sikkerhetssystem.
– Noe vil bestandig slippe igjennom, og da er det de ansatte som selv må klare å kjenne igjen svindelforsøket, forklarer han.
For å trene opp de ansatte i Odd Berg Gruppen, og øke den generelle bevisstheten rundt hvordan svindelforsøk ser ut, benytter de seg av Serits “Sikrere Ansatt”-løsning. Denne tjenesten inkluderer at de ansatte utsettes for simulerte svindelforsøk, og at de i tiden rundt angrepet får opplæring i å kjenne igjen denne typen angrep. Haukebø Samuelsen forteller hvordan dette holder de ansatte på tå hev.
– I konsernet er det mange som bruker IT-systemer på ulike måter, og i ulik grad. Uansett brukernivå, er tilbakemeldingen til oss at disse simulerte angrepene øker bevisstheten.
Nysgjerrig på hvordan Sikrere Ansatt fungerer?
Les mer her
I tillegg til at de ansatte i anledning de simulerte angrepene får kursinnhold levert fra Serit, forteller administrasjonssjefen at de ansatte også lærer mye av hverandre etter slike angrep.
– Noen ganger blir det en snakkis i etterkant av slike simuleringer, og ansatte kan dele om de selv gikk i fellen og klikket feil. Det gjør oss veldig ydmyke når vi skjønner at dette fort kan skje hvem som helst, og det tror jeg er en veldig viktig holdning å ha om man skal være på vakt.
Fagerheim sier seg enig i akkurat det.
– Alle bedrifter kan bli utsatt for, og falle for, IT-svindel. Derfor er det så viktig å skape bevissthet rundt det, understreker han.
Overvåker bedriftens sikkerhetsscore
Resultatene fra de simulerte angrepene kan Hakuebø Samuelsen når som helst lese gjennom et kontrollsenter. Der får hun også resultater fordelt på de ulike avdelingene, og kan se den historiske utviklingen. Disse resultatene er bare en av mange indikatorer som benyttes for å vurdere hvor godt sikret de er, ifølge Fagerheim.
– Kunder som benytter seg av våre sikkerhetstjenester får garantier fra oss om hvilke sikkerhetsscorer vi skal være med å levere på deres systemer. På samme måte får kundene som har “Sikrere Ansatt”-tjenestene våre et måltall for hva som vil være en god kompetanse blant de ansatte.
Dersom du nå engster deg over stadig smartere svindlere, og bekymrer deg for hvor bevisste dere egentlig er på IT-sikkerhet, er det slett ikke slik at alt håp er ute.
– Selv om ingen kan være 100% trygge, så kommer du veldig langt med å gjøre gode tiltak, og sette IT-sikkerhet på dagsordenen blant de ansatte. Men et dagskurs annethvert år er kanskje ikke nok, da bør du nok heve nivået litt, avslutter han.
Vil du ta en prat om IT-sikkerhet for din bedrift?
Kontakt Are Fagerheim i Serit
