KOMMENTAR: Phishing-angrep mot nyansatte

Det hjelper ikke å ha drillet medarbeidere i dataangrep, når målet er nye ansatte

De som kom sist inn i bedriften er de perfekte målskivene for phishingangrep.

Sikkerhetsrådgiver Elisabeth Fossmark i Sopra Steria.
Sikkerhetsrådgiver Elisabeth Fossmark i Sopra Steria. (Foto: Sopra Steria)

De som kom sist inn i bedriften er de perfekte målskivene for phishingangrep.

Det er første dag i ny jobb. Du vil imponere, og svare superraskt på en e-post fra lederen din. Du gir fra deg kontonummer, men dessverre var e-posten forfalsket og informasjonen kom i gale hender.

Nyansatte er nemlig de perfekte målskivene for phishingangrep.

Digitalisering er i stor grad en positiv utvikling. En bakside er imidlertid de nye truslene og sårbarhetene som følger med. Blant disse sårbarhetene er menneskene som bruker teknologien, i møtet med ondsinnede aktører. Kriminaliteten har gått fra gata til data, som tidligere samfunnssikkerhetsminister Ingvil Smines Tybring-Gjedde uttalte tidligere i år.

Phishing

En type nettangrep som er utbredd i stor grad, er phishingangrep. Phishing er på norsk oversatt til nettfiske og er en kjent metode for svindlere. Typisk skjer et phishingangrep gjennom at en svindler sender en ondsinnet lenke eller vedlegg i en e-post. Du har kanskje opplevd dette selv? Målet til svindlerne er å infisere systemer og på denne måten få tilgang til sensitiv informasjon, drive sabotasje eller kreve løsepenger for å gjenåpne systemene.

Les også

Nyansatte som mål

Nyansatte er perfekte offer for slike angrep, og ofte også målet for svindlerne. Årsaken er blant annet at nyansatte i starten får enormt med e-poster og informasjon fra HR, kollegaer og overordnede. E-postene kan inneholde forespørsler om å for eksempel legge inn innloggingsdetaljer, kontonummer eller personnummer, lenker til applikasjoner som skal lastes ned, dokumenter som må leses eller opplæringsvideoer som må ses.

Nyansatte ønsker å gjøre et godt inntrykk og vil derfor være raske med å respondere på disse e-postene. Denne iveren for å svare raskt kan i et øyeblikks uoppmerksomhet bidra at en trykker på et ondsinnet vedlegg eller en lenke.

Nyansatte er heller ikke kjent med selskapets sikkerhetskultur og -rutiner, noe som kan påvirke evnen til å sende inn varsel om mistenkelig e-post – eller i det hele tatt oppdage den.  

Tiltak som sikrer

For at ditt selskap skal minimere sjansen for phishingangrep, er det viktig å iverksette ulike tiltak. Eksempler på tiltak er totrinnsbekreftelse, oppdaterte programvarer og antivirusbeskyttelse.

Les også

Opplæring og oppdatering

Gjennom god opplæring i hva phishingangrep er, og hvordan avdekke mistenkelige e-poster ved hjelp av sjekklister, som å se etter skrivefeil i e-posten, kan selskapet jobbe med å redusere risikoen for phishingangrep.

God og tett oppfølging vil også være avgjørende for at både nyansatte og eksisterende medarbeidere holder seg oppdatert på hvilke typer phishingmailer som florerer, og hvordan de skal håndtere dem. Eksempelvis utnytter flere svindlere Covid-19-pandemien og sender ut e-poster med Covid-19 som tema i håp om å få noen til å trykke på en lenke.

Slike hendelser kan hindres gjennom kunnskap og læring til både nyansatte og etablerte ansatte, enten i form av opplæring eller informasjonskampanjer.

Bevisstgjøring - en viktig nøkkel

Fra den øverste leder til den ferskeste nyansatte bør målet være å skape en bevisstgjøring rundt phishingangrep, og hvilke konsekvenser et angrep kan ha. Dersom alle medarbeidere er bevisste på hvilke metoder som brukes, hvem de ondsinnede aktørene er og hvilke faretegn de skal se etter, vil det bidra til å redusere risikoen for phishingangrep.

Les også