Hoppa till huvudinnehåll
Digitalisering

Så skyddar du dig mot cyberbrott på jobbet

Hur säkerhetsmedveten är du på jobbet? Du kanske inte släpper in vem som helst genom huvudentrén, men hur hindrar du dem som slinker in digitalt? Ett felaktigt klick kan kosta din arbetsgivare miljarder.
Johanna Rovira Publicerad
Colourbox
Hälften av alla som hittar ett USB-minne pluggar in det i sin dator, enligt Hanna Linderstål, expert på cyberhot. Colourbox

Mycket krut har lagts på utbildning i GDPR, den nya lag som trädde i kraft för snart två år sedan. Förra året till och med september anmäldes 3 410 så kallade personuppgiftsincidenter, enligt Datainspektionen. En fjärdedel av dessa berodde på obehörig åtkomst – att någon olovligen fått tillgång till uppgifter, till exempel genom nätfiske, phishing.

Cyberkriminella lurar genom nätfiske folk att öppna länkar eller dokument med virus som infekterar datorn eller mobilen med skadlig kod i syfte att norpa värdefull information. Ett klick i ett mejl från en avsändare som påstår att ditt paket kommit, kan alltså bereda vägen för att någon tankar ner hela kundregistret eller något ännu känsligare.

Men nätfiskeincidenterna är bara toppen på det gigantiska isberg som cyberbrottsligheten utgör. Stiftelsen World Economic Forum räknade ut att den globala kostnaden för cyberbrott 2017 uppgick till 600 miljarder amerikanska dollar per år. Nordea Research uppskattade samhällskostnaden, (inkluderat störningar för företag vars system går ner så de förhindras göra affärer), till 50 000 miljarder kronor. Om året.

– Kunskapsnivån om informationssäkerhet är för låg, det är fascinerande hur mycket information man kan få fram för att folk inte tänker sig för, säger Hanna Linderstål, virtuell analytiker och expert på cyberhot på Earhart business protection agency.

– Informationssäkerhet är inte någon IT-fråga utan omfattar all information en verksamhet hanterar, den digitala såväl som den du har nedskriven i ditt anteckningsblock. Den rör alla.

Varning för UBS-minnen

Cyberhoten vi alla måste ha beredskap för är många. Hittar du exempelvis ett USB-minne med texten: Ledningens nya bonussystem eller Bilder från julfesten OMG, bör du dra öronen åt dig, hur oemotståndligt det än kan te sig att kolla vad cheferna får eller vad kollegorna hade för sig på julfesten. Just den typen av lockbete använder sig Hanna Linderstål av, för att visa hur lätt det är att trilla dit.

– Människor är nyfikna av naturen, och det hjälper inte hur mycket man informerat om hoten – hälften av alla som hittar ett USB-minne pluggar in det i sin dator. I värsta fall upplever man att inget händer, men i själva verket har man installerat spionsystemvara som läcker information, säger Hanna Linderstål.

Det är inte bara USB-minnen man ska vara försiktig med. Även laddstationer och laddsladdar kan tanka information. Man behöver inte ens vara hackerkunnig för att använda en spionladdsladd. Enligt Hanna Linderstål går det att köpa spionladdare på nätet – hon har själv gjort det och använt på intet ont anande konferensdeltagare för att bevisa sin tes.

Att ta jobbdatorn ut från jobbet utgör också en risk – den kan bli stulen, eller hackad eller både och. Och fall inte för frestelsen att koppla in dig på gratis nätverk.

– Publika wifi är alltid osäkra. Jag har varit tvungen att använda sådana på resor i utlandet, men då använder jag en speciell resedator, säger Hanna Linderstål.

Även ditt privata wifi hemma kan utgöra en potentiell risk beroende på vilka mer som använder det. Hanna Linderstål berättar om ett fall, där ett barn över chatten lurades att göra förälderns jobbdator tillgänglig för en stor hackerattack.

Den största risken utgör dock våra dåliga minnen som får oss att envisas med simpla lösenord, som gärna återanvänds igen och igen.

– Redan 2009 varnade jag för att svaga lösenord var den största säkerhetsrisken och det samma gäller i dag. Det går att köpa avlagda lösenord på Darknet, den mörka webben, jag har själv köpt mina egna och upptäckt ett mönster jag inte trodde fanns där, säger Hanna Linderstål.

Foliehatten på

Hanna Linderstål säger skämtsamt att hon viker foliehattar på lunchen och menar att man inte kan vara nog säkerhetsmedveten när det gäller internet. Men man ska heller inte gå runt och inbilla sig att någon är ute efter en.

– Så många hackare finns det faktiskt inte, säger hon.

Fast det räcker med en, om man har otur. Möjligheterna för en cyberbov, och därmed hoten, tycks vara oändliga. Utpressning, varumärkesnedsolkning, astroturfing (kalkylerad lobbyism där avsändaren kamoufleras så aktionen framstår som en spontan gräsrotsrörelse) - allt verkar kunna säljas och köpas av mindre nogräknade aktörer. Organiserad brottslighet står bakom ungefär 80–85 procent av alla cyberbrott, oavsett vem som finansierar dem, enligt en rapport om svensk cybersäkerhet.

Unionens säkerhetsansvarige, Peter Hjortzberg-Nordlund, menar att det inte handlar så mycket om OM vi gör ett misstag som kan kosta företaget skjortan, som NÄR.

– Det första man ska göra som anställd är att säkerställa vilka spelregler och vilken policy som gäller. Sedan ska man vara medveten om att allt man gör loggas och hamnar du i konflikt med arbetsgivaren kan vad som helst användas mot dig, säger han.

Läs även: Chefen läste allas e-post

Kostar ditt obetänksamma klick företaget två miljarder, vilket är det belopp flygbolaget British Airways åkte på i GDPR-böter förra året efter att hackare kommit åt deras passageraruppgifter, är förutsättningarna för att en konflikt lätt kan blomma upp, tämligen stora.

Det är dock arbetsgivarens ansvar att se till att det finns en tydlig IT-policy och att den är känd, så råkar man släppa in en cyberskurk av misstag, på grund av en luddig policy, så behöver inte det betyda att man är helt rökt.

– Jag tycker ändå att man som anställd ska ställa krav på tydliga policyers – det ligger i allas vårt intresse att arbetsgivaren finns kvar på arbetsmarknaden och inte går i konkurs för att företaget åkt på dryga böter, säger Peter Hjortzberg-Nordlund.

Läs mer: Chefen ser dig  

Så skyddar du dig mot cyberhot

  • Ha separata mejladresser för jobb och privatliv.
  • För att kolla att avsändaren av ett mejl verkligen är den hen utger sig för att vara: Sätt musen på adressen utan att klicka och jämför med adressen som dyker upp i rutan.
  • Ett långt lösenord är bättre än ett kort komplicerat. Använd t.ex. första och sista bokstaven i varje ord i en mening du kommer ihåg. Hej jag heter Anna Karlsson och jag har 2 barn, 1 hund. Jag tycker om att segla och längtar till sommaren. Det blir: HjjghrAaKnohjhr2b,1h.Jgtromatsaohlrtlsn
  • Använd inte samma lösenord överallt.
  • Logga inte in på olika ställen via Facebook – du lämnar spår efter dig som kan användas för att påverka dig.
  • Sätt något för kameran i din dator.
  • Lämna aldrig datorn obevakad.

 

ORDLISTA:

  • Phishing - nätfiske. Falska länkar infekterade med virus
  • Astroturfing - konstgräsrötter - fejkade kampanjer eller budskap som ser ut som det kommer från vanligt folk
  • Ransomewere - utpressningsvirus
  • Darknet - den mörka webben, krypterade nätverket som finns på deep weeb. Kan inte nås via vanliga sökmotorer
  • GDPR - dataskyddsförordningen General Data Protection Regulation

Bläddra i senaste numret av våra e-tidningar

Bläddra i senaste numret av Kollega

Till Kollegas e-tidning

Bläddra i senaste Chef & Karriär

Till Chef & Karriärs e-tidning
Digitalisering

Det största cyberhotet på jobbet är du själv

Det absolut största cyberhotet mot din arbetsplats är du. För trots att du troligtvis vet hur du ska skydda dig mot angrepp från cyberbrottslingar, låter du bli. Men ansvaret att hålla databuset ute faller inte enbart på dig.
Johanna Rovira Publicerad 4 april 2024, kl 08:37
Till vänster en man som jobbar med en internetrouter, till höger en cyberbrottsling med mask för ansiktet och en bärbar dator framför sig.
AI är ett av cyberbrottslingarnas nya vapen. Men det största hotet mot IT-säkerheten på jobbet är du, din lathet och din snällhet. Foto: Colourbox.

De är listiga, kreativa och ligger hela tiden steget före IT-experterna. Cyberbrottslingarna är dessutom extremt intresserade av just dig, eftersom du som anställd är deras väg in på företaget där de presumtivt kan tjäna storkovan på att stjäla, spionera, blockera och hota med att förstöra. 

– Alla stora företag har någon form av grundskydd, som brandväggar och krypteringar. Så brottslingarna letar efter olika sätt att ta sig in och kan hitta dig exempelvis via Linkedin, förklarar Måns Jonasson, internetexpert på Internetstiftelsen. 

Så kallad spearphishing, riktade attacker via mejl, handlar om att bedragare vill förmå dig att öppna en länk eller att installera något på datorn. Och en hel del lyckas i sitt uppsåt. 

–Många är lata och trötta och gör saker av slentrian, det är då det blir farligt, säger Måns Jonasson. 

Snällhet kan straffa sig

Måns Jonasson, Internetstiftelsen.
Måns Jonasson. Foto: Internetstiftelsen.

Farligt kan det också bli när vi är för snälla. Nätskurkarna tvekar inte att utnyttja vår hjälpsamhet. 

– Generellt är vi hjälpsamma och blir man kontaktad av någon som utger sig för att jobba på en annan avdelning och ber om hjälp, brukar vi ställa upp. Det är tråkig att behöva vara skeptisk hela tiden, men fråga gärna en extra gång i stället för att göra ett dyrt misstag, säger Måns Jonasson.  

Men vi är inte bara lata, trötta och alltför snälla, vi är också dessvärre högst oemottagliga för information om hur vi ska hålla cyberbuset borta. Informationskampanjer som brottsförebyggande metod är ineffektiv, konstaterar Karin Svanberg, enhetschef på Brottsförebyggande rådet, BRÅ. 

– Vi förändrar dessvärre sällan vårt beteende bara för att någon talar om att vi gör fel eller riskerar något. Jämför med hur vi till exempel förhåller oss till rökning, fet mat och droger, säger hon. 

Det finns alltså en förklaring till att världens vanligaste lösenord är 123456, trots att alla vid det här laget vet att knepiga, unika lösenord är A och O när det gäller att hålla hackarna på behörigt avstånd. 

AI förändrar spelplanen för cyberbrottslingar

Men bedragarna blir alltmer förslagna och tar dessutom hjälp av ny teknik. Tidigare kunde man identifiera bedrägeriförsöken på lockbetenas usla stavning och grammatiska klumpighet, men tack vare AI har lurendrejeriförsöken blivit mer sofistikerade.  

Klonade röstsamtal har redan förekommit i cyberbrottsammanhang och säkerhetsexperter förutspår att inom en mycket snar framtid kommer bedragare med hjälp av generativ AI även kunna förfalska videosamtal. 

– Det gäller absolut att vara på sin vakt. Teoretiskt finns redan möjligheten att skapa en avatar och den tekniken kommer att bli bättre, även om det i dagsläget är ganska dyrt och komplicerat, säger Måns Jonasson. 

Framöver behöver du alltså vara än mer observant och varken tro dina öron eller ögon om chefen eller kollegan ringer upp dig via teams och ber dig utföra någon tjänst som i förlängningen kan leda till att företagets konton töms. 

– Det gäller att inta ett skeptiskt förhållningssätt och ha känselspröten ute, säger Måns Jonasson.  

– Men det är taskigt att lägga hela ansvaret på de anställda, internetsäkerhet är en utmaning som kräver jobb på flera fronter. IT-systemen måste också bli smartare och enklare att använda så att det blir svårare att göra fel. 

Ordlista

Social engineering/social ingenjörskonst: Social manipulation som omfattar flera olika tekniker för att lura åt sig uppgifter. 

Spoofing: Bedragaren använder falsk avsändare i mejl, sms eller via telefon. 

Phishing - nätfiske: Falska länkar infekterade med virus

Spearphishing: Nätfiske riktade mot specifika personer

Astroturfing/konstgräsrötter :- Fejkade kampanjer eller budskap som ser ut som det kommer från vanligt folk

Ransomewere: utpressningsvirus

DDOS: Hör till de cyberattacker som ökar mest. Attacker mot webbplatser för att överbelasta system med följden att dessa går dåligt eller kraschar helt. 

Deepfake/djupfejk: Förfalskade videor, bilder, ljud som genom avancerad AI  låter avatarer tala och agera. 

Så skyddar du dig – en liten påminnelse

  1. Öppna ej bifogade dokument/länkar från okända – de kan infektera med skadlig kod i syfte att norpa värdefull information/utpressa. Öppna heller inte bifogade dokument eller länkar från kända avsändare som verkar atypiska eller konstiga. Avsändaradressen kan vara förfalskad eller fått kontot kapat.  För att kolla att avsändaren av ett mejl är ok: För musen över adressen utan att klicka och jämför adressen som dyker upp i rutan.
  2. Ett långt lösenord är bättre än ett kort komplicerat. Använd inte samma lösenord överallt. Det går nämligen att köpa avlagda lösenord på Darknet.
  3. Logga inte in på olika ställen via Facebook – du lämnar spår som kan användas mot dig.
  4. Uppdatera mobilen och datorn omgående när det kommer propåer  – säkerhetsuppdateringar beror ofta på att man hittat luckor som behöver täppas till. 
  5. Undvik att koppla in dig på gratis nätverk. Genom att använda en vpn-anslutning skyddas din dator.
  6. Sätt inte in ett upphittat usb-minne eller laddsladd i datorn för att stilla din nyfikenhet. De kan innehålla skadligt virus eller spionsystemvara.
  7. Lämna aldrig jobbdatorn obevakad och låt ingen annan använda den. Det förekommer att barn duperats att göra förälderns dator mottaglig för hackerattacker.