Microsoft har netop offentliggjort deres ”Microsoft Digital Defense Report 2023” og det er spændende læsning hvis man kan holde sig vågen igennem de 131 sider på engelsk.
Hvor mange iagttagere har fokuseret på rapportens positive budskab om at 99% af cyberangreb kan afværges med 5 basale tekniske foranstaltninger, så er det måske interessant at hæfte sig ved hvorfor det ikke er 100%.
Svaret er at de kriminelle hele tiden finder på nye måder at snyde os på. Og det er stadig os brugere der er det svage led.
Når vi tester medarbejdere med simulerede phishing beskeder ligger procentandelen der klikker på de farlige links rimelig konstant på omkring 8%. Og medarbejderne som falder i og udfylder fx brugernavn, password og andre følsomme oplysninger ligger tilsvarende rimelig konstant på 2-3%.
Når de kriminelle først har kompromitteret en enkelt brugers konto, har de en indgang til virksomheden og vil forsøge at bevæge sig videre herfra.
Så vi må konstatere at:
Tekniske foranstaltninger virker - men er ikke nok
Medarbejderne er og bliver det svageste led
Phishingangreb virker og er kommet for at blive
Træning af awareness løser ikke problemet 100%
Hvad er så løsningen?
Teknisk sikkerhed og træning af medarbejdere skal vi fortsætte med, vi skal bare være bevidste om at truslen fortsætter med at være der og at træningen skal vedligeholdes.
Men vi skal have øget fokus på de foranstaltninger der giver os IT-sikkerhed "i dybden", dvs. dem der minimerer skaden NÅR de kriminelle lykkes med deres angreb.
Øget fokus på betroede medarbejdere. De medarbejdere der har privilegerede rettigheder skal der være ekstra fokus på. Yderligere træning, funktionsadskillelse.
Adgangsrettigheder – øget fokus på at implementere mindst mulige rettigheder og just-in-time rettigheder for administrator opgaver.
Beskyttelse af data. Det må ikke være muligt at kryptere og stjæle fortrolige og/eller følsomme data.
Der skal bygges øget beskyttelse op omkring følsomme data (især personfølsomme data) så de ikke kan tilgås af brugere – med mindre at de har et begrundet behov for at kunne tilgå dem. Så den gamle metode med at alle har adgang til alt er ikke godt nok længere.
Backup - og ikke bare backup, men backup der er uafhængig af virksomhedens primære leverandører og som er beskyttet imod sletning og kryptering.
Så jo, teknisk sikkerhed og awareness træning virker - men der skal desværre mere til i disse tider...