Bryter seg inn i norske bedrifter

It-sikkerhet utfordres av sosial manipulering, med metoder tilpasset Norge.

Publisert Sist oppdatert

Sosial manipulering er en vanligere teknikk for å bryte inn i it-systemer enn mange liker å tro. Det er snakk om medarbeidere som oppgir passord til nettverket for en sjokolade. Eller pc-skjermer som ikke låses når en ansatt går fra pulten, slik at alle kan se eller gå inn i nettverksressurser. Eller at gamle harddisker som slenges i en eske i søppelrommet tas med av en ”renholdsmedarbeider”.

I de nordiske landene krever slike innbruddsteknikker en annen og mer krevende manipulering enn hva som rapporteres i andre deler av verden.

- Ansatte i nordiske land er ekstremt mye mer selvstendige og vant til å ta beslutninger på eget grunnlag i hverdagen. Å si at sjefen har godkjent noe, knytte en godkjenning til en autoritet eller til politiet går sjelden rett hjem her oppe. Man skal ikke langt sør Europa før dette er vanlig teknikk for sosial manipulering, forklarer Christian Jacobsen i Secode Norge.

Bytter tilgang mot frisk luft

Selskapet selger forskjellig type sikkerhetstjenester. En av dem er testing av sikkerheten i en bedrift mot teknikker som sosial manipulering.

- Vi bruker flere forskjellige teknikker, og ser hvor langt inn i en bedrift vi klarer å komme. Dette gjør vi enten via fysisk å være til stede, eller forskjellige phishing-teknikker, forklarer Jacobsen.

- I Norge er det som regel enklest å tilby noe en medarbeider vil ha for at sikkerheten skal brukes. Et løfte om bedre ventilasjon en varm sommerdag kan tømme et møterom eller et kontor på sekunder. Ofte ligger da sensitiv informasjon igjen i åpne pc-er eller papirer.

Sårt å bli lurt

En slik test tar alt fra noen dager til et par uker å gjennomføre. Planlegging er viktig for å sikre at manipuleringshistorien holder vann. Helt risikofritt er det ikke. Ingen liker å bli lurt, og selv om Secode ikke oppgir navn i sine rapporter, kan reaksjonene bli sterke.

- Den skarpeste reaksjonen var trusler om å bli anmeldt til politi og andre tilsynsmyndigheter for å ha gjennomført en slik test i en virksomhet med mye sensitiv informasjon. Det viste seg at det var en svikt i intern kommunikasjon i bedriften. Men egentlig er den verste responsen at folk er likegyldige. Det er et dårlig utgangspunkt for å starte opplæring som mottiltak, understreker Jacobsen.

For eksempel kan vellykket passordfangst være sårt. Les videre på neste side!