Hacket økonomichef overvejede selvmord!
Har vi glemt det menneskelige aspekt, når vi sikkerhedsfolk opfordrer vores kollegaer til at passe på hvad de klikker på? Går vores kollegaer rundt med en frygt for, at de skal være den, der udløser et hackerangreb?
En god ven fortalte mig for nyligt, at deres virksomhed havde været udsat for CEO-Fraud* for en halv millioner kroner!
CEO-fraud er, når hackerne udgiver sig for at være fx. direktøren for en virksomhed, der beder økonomidirektøren eller bogholderiet fx. om at betale en regning eller at overføre et beløb til en konto. Dette sker dagligt i mange virksomheder.
Virksomheden her havde faktisk en proces, der indebar, at den ene direktør skulle attestere alle store overførsler. Økonomi chefen havde været i firmaet i over 15 år. Så da direktøren blev alvorlig syg, og man valgte at lade økonomichefen håndtere sagerne, så slog hackerne til med et godt veltilrettelagt angreb, der betød en overførsel til Kina på over en halv millioner kroner!
Denne overførsel er naturligvis kritisk og viser, hvor vigtigt det er at have et dobbeltcheck på sådanne sager.
MEN dette er faktisk ikke mit budskab med dette indlæg. Med til historien følger, at da økonomichefen opdagede fejlen og forsøgte at stoppe overførslen, melde det til politiet, osv. så tog det så hårdt på økonomichefen, at han seriøst overvejede at begå selvmord.
Jeg har gået og funderet over denne side af IT-sikkerhed. Det er ikke en vinkel på at blive hacket, som meget sjældent adresseres!
Jeg har talt med CFO’er i mit netværk, IT-kollegaer og flere kollegaer i egen virksomhed, og kan konstatere, at ja, folk går generelt rundt med en lille angst for at netop de skal blive den person, der kommer til at klikke på det forkerte link, der starter et ransomware angreb.
Jeg sidder med ansvaret for sikkerheden i det firma, som jeg arbejder i. Dette gør jeg naturligvis med et fantastisk team. Men jeg kan da godt mærke det nede i maven, at hvad nu hvis alle vores sikkerhedssystemer alligevel ikke kan holde et angreb ude?!
På den ene side er det vel fint, at medarbejderne er på dupperne, men at det udmønter sig i “angst” er en sag, som vi også bør adressere. Det er jo ikke et spørgsmål om hvis, men mere om hvornår man bliver hacket.
ALLE virksomheder bliver forsøgt hacket. Nogle bliver udsat for et målrettet angreb. Hos andre kan det være en medarbejder, der er kommet ind på en inficeret hjemmeside.
Alle sikkerhed ansvarlige kan tage et kig på deres sikkerhedsløsninger og frembringe et tal, der viser hvor mange angreb, som systemerne har afværget.
Men alle sikkerhedsansvarlige ved også, at hackerne skal blot ind eet enkelt sted i forsvaret. Det kunne være i en mail, en hjemmeside, en sms, en video, et målrettet angreb og alt hvad hackerne ellers kan finde på.
Vi læser og hører konstant om nye danske virksomheder og organsationer, der er blevet hacket. Virksomhedernes sikkerhedsfolk adderer til dette med interne nyhedsbreve, nye sikkerhedssystemer, awareness træning og fingerede phishing angreb. Alt sammen med henblik på at sikre det svageste led: Dave!
Jeg tænker, at en virksomheds ledelse bør indarbejde de menneskelige konsekvenser i deres beredskabsplaner. Skal der en kriseterapeut med i beredskabet? Måske skal denne angst adresseres af ledelsen direkte overfor medarbejderne!?
Jeg tænker også, at de folk, der sidder med ansvaret for IT-sikkerheden, skal have ledelsen med ind over sikkerhedsdriften, så ledelsen tager medansvar, når angrebet sker, og ikke bare kigger anklagende over på IT-sikkerhedschefen eller den uheldige økonomichef, der er blevet narret af hackerne.
Vi træner medarbejderne i at undgå angreb med e-learnings videoer løbende henover året. Vi sætter plakater op ved kaffemaskinen. Vi ændrer baggrundsbilledet på alle skærme med et billeder og en tekst, der gør opmærksom på IT-sikkerhedspolitikerne. Vi designer musemåtter med gode råd. Tiltagene er talrige.
En stor dansk organisation havde kørt træning i IT-sikkerhed intensivt igennem et år og ledelsen valgte at måle den forhøjede nu sikkerhed med et fingeret phishing angreb. Til alles store overraskelse, så faldt godt 16% af medarbejderne, herunder to fra ledelsen, i fælden. Ledelsen besluttede herefter at træning skulle fortsætte de kommende år.
Ikke hvis…., men når organisationen bliver angrebet, så….
Sandsynligheden er meget stor, for at en organisation bliver ramt af et angreb, det være sig stort ransomware angreb, en webshop, der bliver udsat for et DDoS angreb eller en medarbejder, der overfører penge til hackerne.
Derfor mener jeg at alle organisationer bør have tænkt et psykologiske beredskab ind sammen med IT-beredskabsplanen, så man er klar til at at håndtere og støtte, den person, der forårsagede skaden.
Hvis du sidder i en ledelsesrolle og læser dette, så håber jeg at du vil sætte dig lidt tilbage i din stol og tænke over hvordan du vil håndtere denne ulykkelige bogholder i din organisation!
*) Læs her hvad organisationen Sikker Digital anbefaler mht. CEO fraud.