Vi är många som kommer att fortsätta jobba hemma i höst, för säkerhets skull. Men samtidigt som vi isolerar oss för att hålla Corona borta öppnar vi upp för andra virus – virtuella sådana. Och inte bara det. Den nya situationen utnyttjas av allsköns cyberkriminella. Somliga vill komma åt känslig information från din organisation, andra vill konfiskera filer för att pressa dig på pengar.
– I coronatider är vi noga med att tvätta våra händer – men vi borde vara lika måna om ”cyberhygienen”, säger Hedvig Kylberg, handläggare på CERT-SE, som är den nationella funktionen för cybersäkerhet vid MSB, Myndigheten för samhällsskydd och beredskap.
Så vad är det då för nya digitala säkerhetsrisker som coronakrisens isolering för med sig, utöver de gamla vanliga?
– Initialt kan ju hemmanätverk vara en risk. Arbetsgivaren har kanske inte samma koll på IT-miljön när de anställda jobbar hemma som när de arbetar inom arbetsplatsens nätverk och internetanslutning, säger Hedvig Kylberg.
EN ANNAN RISKFAKTOR är alla dessa nya digitala verktyg som vi plötsligt hanterar – eller inte riktigt hanterar, snarare. När vi inte helt behärskar dem så brister vi lätt i säkerheten kring dem, och det blir enkelt för cyberkriminella att avlyssna dem eller via dem skapa problem.
Linda Kante, chefredaktör på Aktuell säkerhet, berättar att videokonferenstjänsterna, som Zoom till exempel, är attraktiva för bedragare.
– Framför allt handlar det om att komma över användarinformation och inloggningsuppgifter, som sedan säljs på ”dark web” – den del av internet som kriminella ser och vi vanliga personer inte känner till.
Den som får fram inloggningsuppgifterna till en app på din telefon eller på din platta kan ha hittat en väg rätt in i ditt eller din organisations nätverk, och där kan personen sedan plocka fritt bland det den vill ha.
– På grund av de osäkra hemmanätverken blir det här en ganska enkel väg att gå, säger Linda Kante.
Ett tredje problem som blossat upp den senaste tiden, utöver de osäkra nätverken och säkerhetsbristerna kring de digitala verktygen, är så kallad social manipulation. Det är en metod där bedragare utger sig för att vara någon du känner, kanske en kollega, i syfte att komma åt information eller infektera dig.
Metoden fanns före Corona, men underlättas nu av krisen. Det menar Karl Emil Nikka, grundare av Nikka Systems som utbildar i IT-säkerhet.
– I dagens arbetssituation förväntas vi vara flexibla i kommunikationen, vilket riskerar att underminera vårt vanliga säkerhetsmedvetande. Om vi får ett mejl med en bilaga från någon som vi inte brukar få bilagor från så kanske vi i vanliga fall skulle ha reagerat på det. Nu gör vi inte det på samma vis – och så råkar vi ut för en social manipulationsattack.
SÅ HUR SKA ORGANISATIONER och företag arbeta för att undvika allt detta och skapa förutsättningar för god ”cyberhygien”? Ett stort ansvar ligger på cheferna. Hedvig Kylberg på CERT-SE vid MSB vill understryka vikten av utbildning för medarbetarna, både när det gäller säkerhetsfrågor i stort och de nya digitala verktygen specifikt.
– Man ska jobba systematiskt med informationssäkerhet, men också med att ha it-säkerhetspolicies. Varje enskild medarbetare kan göra hela organisationen sårbar, och därför är det viktigt att kontinuerligt utbilda i vad man får och inte får göra när man jobbar hemifrån.
Karl Emil Nikka lyfter fram några andra viktiga punkter. En handlar om att säkra den interna kommunikationen. Med det menar han framförallt: dumpa mejlen. Om angripare vill göra det så lätt som möjligt för sig själva försöker de nätfiska inloggningsuppgifter via mejlen eller infektera någon genom en mejlbilaga.
– När vi tidigare fick ett konstigt mejl från en kollega kunde vi sticka upp huvudet och fråga: skickade du det här till mig? Nu måste vi i praktiken chansa, och det kan bli ödesdigert ur ett säkerhetsperspektiv. Många organisationer har länge pratat om att sluta med internmejlandet, men inte kommit sig för. Nu är det dags.
Att överge mejlen för ett bra kommunikationsverktyg har också en annan fördel ur säkerhetssynpunkt: det förbättrar det interna informationsflödet. Just nu sker stora förändringar i alla organisationer, och när medarbetarna inte riktigt känner att de har koll blir de mer villiga att följa instruktioner – oavsett om de kommer i ett mejl från chefen eller bara verkar göra det.
– Genom att ha ett internt informationsflöde där du som chef informerar om alla förändringar som görs, har gjorts eller planerar att göras, får du medarbetarna att känna sig tryggare med sin arbetssituation, och de blir mindre lättlurade.
KARL EMIL NIKKAS SISTA TIPS till verksamhetsansvariga är att inrätta ett kristeam. Det här är en kostsam insats, och mest relevant för stora organisationer medger han – men är det möjligt så är det väldigt värdefullt. Kristeamet ska vara det organ som medarbetarna kan kommunicera med när de, på grund av coronakrisen, måste hitta nya arbetsprocesser.
– Det kan till exempel vara dem som medarbetarna vänder sig till om de får ett mejl som de är osäkra på. Det är också de som svarar på om en tjänst är okej att använda. Det här kristeamet bör inte vara detsamma som den vanliga IT-avdelningen, för den behövs till att få den reguljära driften att fungera.
Även Linda Kante på Aktuell Säkerhet poängterar vikten av en speciell grupp som ägnar sig uteslutande åt säkerhetsfrågor och utbildning av medarbetarna. Hon talar inte specifikt om en Corona-krisgrupp, men om en IT-säkerhetsavdelning.
– Det är viktigt att chefen kan lämna över IT-frågorna åt en säkerhetschef under sig. Många chefer kan ha svårt att släppa taget. De kanske har suttit ensamma på sin piedestal i trettio–fyrtio år och känner att de kan tillräckligt också när det gäller de här frågorna. Men det kan de sällan.
Tänk på detta – när du chefar!
• Säkerställ att de anställda känner till rutiner och policies för arbete i hemmet.
• Se till att anställda som arbetar hemifrån kan komma åt resurser de behöver för att göra sitt jobb på ett säkert sätt (till exempel VPN, tvåfaktorautentisering). I rådande situation kan en acceptans för avvikelser från verksamheten vara högre än den normala säkerhetsstandarden.
• Se över att IT-supportfunktioner är tillräckligt bemannade. Anställda som inte får hjälp kan lätt ta genvägar som inte är önskvärda utan utgör en säkerhetsrisk.
• Tilldela inte slutanvändare administratörsrättigheter. Vanliga användare har sällan behov av att till exempel installera programvara på maskinen. Överlåt till it-administration att distribuera programvara.
• Blockera ickeauktoriserad programvara. Tillåt endast att användare kör godkända applikationer.
Källa: CERT-SE vid MSB
Tänk på detta – när du jobbar hemma!
• Använd inte privat utrustning för arbetsrelaterat arbete om inte det har avtalats och godkänts av din arbetsgivare. Undvik även privata molntjänster.
• All kommunikation med organisationens nätverk och tjänster bör säkras genom att till exempel använda VPN.
• Alla användarkonton bör ha starka lösenord, helst med tvåfaktorautentisering.
• Vid arbete i hemmet ökar risken för exponering av känslig information. Var extra medveten om vilken typ av information som du hanterar när du jobbar hemma och säkerställ att du kan hantera den på ett korrekt sätt även där.
Källa: CERT-SE vid MSB
Text: Tim Andersson