Kategorier
Security awareness

Vanity Awards – ett hot mot både plånbok och värdighet

Under de senaste åren har erbjudanden om utmärkelser mot betalning – s.k. Vanity Awards – blivit allt vanligare. Nimblr beskriver fenomenet, dess vanliga förlopp, samt diskuterar eventuella säkerhetsrisker förknippade med dessa “lånta fjädrar”. Slutligen ges förslag på ett mindre laddat terminologiskt alternativ: Pyrrhus-priser.

Pris, men till vilket pris?

Många och djupa är de fallgropar vi riskerar att hamna i när vår strävan efter uppmärksamhet och erkännande inte regleras av bättre vetande. Ett gott exempel på detta är Vanity Awards, där företag erbjuds att acceptera vagt beskrivna nomineringar, alternativt att nominera sig själva, till “prestigefyllda utmärkelser” för att sedan bli varse att priserna är prissatta, dvs. kan lösas ut mot betalning. Företagen bakom dessa charlatanerier är vanligtvis noga med att befinna sig på rätt sida av lagen, och kan därför leva gott på sina godtrogna offers förhävelser. Nimblr får inte sällan denna typ av erbjudanden, och kan därför ge en beskrivning av ett typiskt “Vanity Award”-förlopp.

Hur det kan gå till

Under november och december 2022 mottar Nimblr mer än ett halvdussin e-postmeddelanden från ett företag – låt oss kalla det Corporate Foresight – vars uttalade agenda är att “uppmärksamma och hylla företag över hela världen som varje dag strävar efter att bli bättre än de var tidigare”. Det inledande meddelandet är välutformat och kan, vid första anblick, verka förtroendeingivande och seriöst. Vi informeras att “Nimblr Ab har identifierats som en potentiell kandidat till Security Awards 2023” och ges, via två länkar, möjligheten att acceptera denna potentiella nominering eller inte. Vidare får vi följande information: “Det finns inga obligatoriska kostnader om du väljer att acceptera nomineringen eller om du blir framgångsrik. Om ett företag blir framgångsrikt erbjuder vi paket för att få ut det mesta av det som uppnåtts, men dessa är helt frivilliga, och vi erbjuder alltid ett kostnadsfritt paket till våra pristagare.” Så långt allt väl, eller? Företaget är registrerat, har adress, telefonnummer och en väldesignad hemsida. Med mailet följer dessutom ett fotografi på personalstyrkan, fem leende kvinnor som – likt Spice Girls – på ytan exemplifierar fem olika arketyper eller stilar. Vi får till och med reda på deras förnamn/smeknamn; korta, lättutalade, “vanliga” namn.

Vid närmare granskning…

I Security Awareness-branschen får man tidigt lära, att det som inte sägs många gånger är mer informativt än det som sägs. Vi får inte veta på vilka grunder denna potentiella nominering vilar; vad vi har lyckats med? Inget sägs heller om vem eller vilka som nominerat oss. En diskursiv granskning av meddelandet tydliggör dessutom några klassiska bondfångerier:

  1. Vi är utvalda/speciella/enastående
  2. Belöning (kanske) väntar, på kort och lång sikt
  3. Vi behöver agera skyndsamt

Utöver dessa varningstecken framstår meddelandet – inklusive fotografi – som lite väl tillrättalagt: ett pluralistiskt fångstnät, vars differentierade maskor avses snärja ett vitt spektra av tilltänkta bytesföretag. I Nimblr vet vi, att det bästa sättet att avstå från ett suspekt online-erbjudande är att ignorera det, dels för att negera den risk som interaktion med osäkra länkar innebär och dels för att undersöka motpartens beteenden vid utebliven respons. Vi lät således meddelandet från Corporate Foresight gå obesvarat. Genast inleddes ett intensivt spammande, där skyndsamhetsbudskapet mer och mer hamnade i förgrunden samtidigt som Nimblr, okommenterat, gick från “potentiellt nominerad” till “nominerad”. Självklart besvarade vi inte heller något av dessa meddelanden.

Vad händer sedan?

Det finns dock företag som – av misstag eller ren nyfikenhet – accepterat denna typ av nomineringar. Från deras erfarenheter kan vi lära, att nomineringar alltid leder till vinster och att en vinst emellanåt innebär någon form av kostnadsfri exponering, exempelvis via en kort intervju i utmärkelseföretagets egen nättidning. Utöver detta tillkommer erbjudanden om s.k. prispaket, med plaketter, troféer och dylikt, till en kostnad av allt från 1500 till över 50000 kronor. Eventuella kostnadsfria intervjuer tycks – i bästa fall – ge minimala positiva revenyer. En mer trolig följdverkan av Vanity Awards är ett fortsatt och intensifierat spambombardemang med liknande erbjudanden.

Mer än pengar på spel

Det är lätt att betrakta Vanity Awards som störningsmoment mer än som reella hot, då interaktion med deras spam-meddelanden, länkar och erbjudanden är på frivillig basis, utan explicita köpkrav. Det rör sig således varken om phishing eller om rena bedrägerier. Verksamheten och tillvägagångssättet är inte olagligt, men kan med fog rubriceras som oseriöst, och i detta sammanhang står mer än bara pengar på spel. Som redan nämnts, öppnar deltagande ofta upp dammluckorna för en störtflod av liknande “erbjudanden”, vilket medför en ökad säkerhetsrisk. Till yttermera visso innehåller spammeddelandena en mängd olika länkar, vars legitimitet kan och bör ifrågasättas. För ett Security Awareness-företag som Nimblr kan den negativa exponering som ett Vanity Award bibringar vara förödande, då aktivt deltagande vittnar om brister i både säkerhet och medvetenhet.

”Fler sådana priser, och vi är förlorade.”

Det går dock att ha förståelse för att företag låter sig duperas på detta vis. Den globala affärsvärlden är en djungel, och varken karta eller kompass erbjuder skydd mot de rovdjur som lurar i mörkret. Det är av stor vikt att, på ett tydligt och icke-dömande vis, kunna diskutera Vanity Awards och andra typer av lurendrejerier utan att driva gäck med de som låtit sig luras. På så vis sprids information om fenomenet, vilket leder till att företag blir mer vaksamma och motståndskraftiga. I denna anda vill Nimblr föreslå ett terminologiskt skifte, där det stigmatiserande begreppet Vanity Awards byts ut mot den mer neutrala termen Pyrrhus-priser, uppkallat efter kung Pyrrhus som, efter en dyrköpt seger över romarna i slaget vid Asculum 279 f.Kr., lär ha yttrat frasen ”En sådan seger till, och jag är förlorad.” Till skillnad från kung Pyrrhus för du, som företagare – tack och lov – inte en kamp mot ett resursstarkt Romarrike, utan i detta fall står kampen mellan förnuft och högfärd. Om du företräder och/eller har byggt upp ett varumärke och en affärsidé som du tror på och är stolt över så är det bättre att fokusera på välförtjänta och genuina utmärkelser, och om du inte ids vänta på sådana kan du alltid investera i en “världens bästa chef”-mugg till dig själv. Dessa är både billigare och mer användbara än Pyrrhus-priser.

Kategorier
News Security awareness

NIS2 och Security Awareness

Nu har det hänt! EU-parlamentets klubba har svingats och mött bordsytan i en resolut knackning. Direktivet om nät- och informationssäkerhet – NIS – uppdateras till NIS2 och EU:s medlemsländer skall nu, inom 21 månader, implementera direktivet i sina respektive nationella lagstiftningar. Vad innebär detta, och vilka berörs? Säger direktivet något specifikt angående säkerhetsmedvetenhet och säkerhetsutbildning? Nimblr reder ut begreppen.

NIS-direktivet, vars syfte är att uppnå hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU, trädde i kraft 2018 genom ”Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster”. Direktivet har sedan införandet kritiserats för att vara ofullständigt, ospecifikt och uddlöst, samt för att ha underskattat den ökade hotbilden och den snabba utvecklingen inom området. Vidare har behovet av utökat samarbete och samordning mellan EU:s medlemsländer inom detta område lyfts. Den 28 november 2022 klubbades därför beslutet om NIS version 2 igenom. Uppdateringen innebär en vidgning och skärpning av det ursprungliga direktivet, med nya bestämmelser och ökade skyldigheter för betydligt fler aktörer än tidigare.

Allriskperspektiv med ökad tillsyn

NIS2-direktivet fastställer skyddsåtgärder för både lagring och överföring av data som anses vara av vikt för upprätthållande av samhällsbärande funktioner. Här förespråkas ett allriskperspektiv, med höjd beredskap för såväl naturbetingade risker och tekniska fel som för mänskliga misstag och cyberbrott. NIS2-direktivet betonar även vikten av säkra leverantörskedjor, vilket innebär att högre säkerhetskrav ställs på betydligt fler företag, myndigheter och organisationer än tidigare. Vidare får EU-ländernas tillsynsmyndigheter ökade möjligheter att utdöma varningar och sanktioner när berörda aktörer brister i sitt säkerhetsarbete.

Fler berörda parter

Det ursprungliga NIS-direktivet gällde verksamheter inom följande sektorer: 

  • Energi
  • Transport
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektor
  • Leverans och distribution av färskvatten
  • Digital infrastruktur

NIS2 fortsätter gälla för dessa sektorer samt för följande sektorer:

  • Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
  • Avlopps- och avfallshantering
  • Rymdverksamhet
  • Tillverkningsindustrin
  • Post
  • Livsmedel

Utöver direkt berörda verksamheter kommer antalet indirekt berörda entiteter att öka, då dessa ingår i samhällsviktiga leverantörskedjor. NIS2-direktivet omfattar dessutom verksamheter utanför EU som levererar tjänster till EU-länder.

Cybersäkerhetsutbildning och medvetandehöjande åtgärder 

Ytterligare en nyhet i det uppdaterade NIS-direktivet är ökade krav på säkerhetsmedvetenhet hos företagsledningar. Det kommer inte längre att vara tillräckligt att enbart lämna över säkerhetsfrågor till verksamhetens IT-avdelningar, då direktivet fastslår att: ”Medlemsstaterna ska säkerställa att ledningsorganens medlemmar regelbundet genomgår särskild utbildning för att skaffa sig tillräckliga kunskaper och kompetenser så att de förstår och kan bedöma cybersäkerhetsrisker och praxis för hantering av cybersäkerhet och deras inverkan på entitetens verksamhet.” Som ett led i denna säkerställan lyfts behovet av mätbarhet; verksamheters policyer skall på ett tydligt sätt påvisa en prioritering av cybersäkerhet, bl.a. genom relevanta utbildningsprogram och medvetandehöjande åtgärder för alla anställda. Direktivet förespråkar således inte enbart en skärpning av synen på IT-säkerhet utan även en vidgning av begreppet, där inte enbart tekniska och reaktiva skyddsåtgärder nämns utan även pedagogiska och proaktiva ansatser.

Nimblr och NIS2

I Nimblr ser vi positivt på att det från EU:s håll förordas ett ökat cybersäkerhetsfokus, då vårt samhälle blir alltmer beroende av säkra system för lagring och överföring av data. Vi förstår samtidigt att omställningen till NIS2 kan bli tids- och resursmässigt kostsam. Dessutom uppstår lätt en osäkerhet i samband med förändring, med frågor som “Vad är tillräcklig säkerhetsnivå?” och “Hur vet vi om våra vidtagna åtgärder har effekt?”. Rörande träning och utbildning är Nimblr’s automatiserade lösning ett utmärkt sätt för er verksamhet att uppnå de utbildningskrav som fordras av NIS2-direktivet. Med Nimblr Security Awareness Training tryggas er NIS2-övergång genom tillgång till relevant och uppdaterad information, interaktiva simuleringar och verksamhetsanpassade utbildningsmoment.

Kategorier
News Security awareness

Vad vet dina användare om GDPR?

Vad ska man göra om något inträffar som riskerar att personuppgifter hamnar i obehörigas händer? Vad klassas som personuppgifter? Vilka påföljder det kan få att bryta mot GDPR? Nimblr introducerar en ny kurs, i microtraining-format, som ger dina användare en grundläggande förståelse om GDPR och personuppgifter.

I dagens informationssamhälle är det svårt att undgå att, på ett eller annat sätt, hantera personuppgifter i sitt arbete. Nimblrs nya kurs riktar sig till alla medarbetare och höjer på ett enkelt sätt lägsta-nivån samt hjälper medarbetarna att förstå och tillämpa GDPR i praktiken.

Kursen är en del av Nimblrs automatiserade Security Awareness-program. Innehållet är utvecklat i samarbete med IT-säkerhetsexperter, jurist och psykolog för att vara relevant och enkelt att ta till sig.

Nimblr’s Micro Training kan genomföras direkt i mobilen eller i datorns webbläsare. Inga inloggningsuppgifter krävs av användaren, istället identifieras varje användare genom den unika länken i e-postinbjudan. Systemet skickar också påminnelser till de användare som inte slutfört kurser inom ett givet tidsspann och rapporterar kontinuerligt genomförandegraden till administratören.

Kategorier
Phishing

Därför ska du prioritera nätfisket

Om du bara får välja ett område att fokusera på i ditt IT-säkerhetsarbete, välj då nätfisket. Phishing är den mest använda metoden i attacker mot företag och organisationer, och orsakar årligen miljontals kronor i kostnader.

Som tur är slipper de flesta av oss att bara välja ett enda område att fokusera på i arbetet med IT-säkerhet. Självklart klarar vi oss inte många sekunder utan fungerande brandvägg och antivirussystem; lösningar som i princip alla moderna företag och organisationer har på plats, och dessutom har haft tid att trimma och fila på så att de faktiskt gör sitt jobb ganska bra.

Men inför nästa års budget kan det vara värt att fundera över prioriteringarna. Att utöka säkerhetsfunktionerna i brandväggen, eller att byta till ett ännu mer intelligent antivirussystem är kanske inte den rätta vägen när man ser vad man får för pengarna. Det yttersta syftet med att investera i IT-säkerhetslösningar är att stoppa de kriminella, minska antalet angrepp och minmera incidenterna.

Enligt IBM X-Force är phishing den vanligaste kända attackvektorn för cyberbrottslingar som riktar sig mot organisationer. Föregående år hade nästan en tredjedel (31 procent) av alla cyberincidenter en känd infektionsvektor som kan spåras tillbaka till ett skadligt e-postmeddelande eller nätfiskeattack. Den näst vanligaste attackvektorn, som står för 29% av angreppen är användning av stulna användaruppgifter – som kan ha tillskansats genom en mängd olika metoder, inklusive phishing.

För att få bästa möjliga utväxling av IT-säkerhetsbudgeten kan det vara en god idé att att se över vad som kan göras åt det förhatliga nätfiskandet. Här finns alltså en attackvecktor som ligger bakom majoriteten av alla IT-attacker, men som många verksamheter helt eller delvis förbisett i sina IT-säkerhetsinvesteringar. En relativt liten investering i phsihing-förebyggande åtgärder kan ge mycket stora netto-effekter på säkerheten.

Det finns en rad kostnadsfria åtgärder som kan förebygga phishing i en verksamhet, t.ex. förtydligande av policys, nya rutiner för att verifiera avsändare av e-post som behandlar en viss typ av information etc. En av de mest effektiva metoderna är att aktivera ett Security Awareness-program där slutanvändarna kontinuerligt utbildas och tränas.

Nimblr Security Awareness Program kombinerar phishing-simuleringar, korta online-kurser och zero-day-classes. Lösningen levereras som en tjänst och kan aktiveras på några minuter.

Kategorier
Security awareness

Utbilda mina användare hur då?

Med en strid ström av varningar om nya cyberhot, phishing-attacker och bedrägerier i tidningar och säkerhetsbloggar så följer också vanligtvis något klokt expertutlåtande. Ett antal råd till företag och organisationer om hur de ska skydda sig. 

I nio av tio fall trycker man extra hårt på vikten av att utbilda sina användare om IT-säkerhet, men sällan presenteras något konkret förslag om hur det kan göras. Vi på Nimblr har länge funderat över frågan om hur man lyfter säkerhetsmedvetenheten hos vanliga datoranvändare. 

Både dagspress och branschtidningar varnar oss ständigt för nya attacker, falsk e-post och andra e-bedrägerier. Få kollegor i IT-branschen blir särskilt förvånade över att höra hur företag drabbats av kostsamma IT-bedrägerier eller tidskrävande virus. Många av oss skulle kunna återge experternas råd och förslag i sömnen; uppdaterad mjukvara, fungerande antivirus och så viktigast av allt, att utbilda sina användare. 

Redan för fem år sedan började jag och mina kollegor fundera över experternas ständiga förmaningar om vikten av att utbilda sina användare. Företaget som jag då arbetade för utvecklade och levererade tekniska säkerhetslösningar såsom antivirus, spam- och web-filter och vi kunde erbjuda våra kunder lösningar som hjälpte dem med mjukvaruuppdateringar och antivirus. Men det viktigaste rådet, det om att utbilda sina användare, hade vi inga lösningar för.

Att utbilda sina användare om IT-säkerhet kan låta som ”mission impossible”. Hur ska vanliga datoranvändare hitta tid och motivation att sätta sig in i ett, för gemene man, så ointressant ämne som IT-säkerhet? Även om vi, mot förmodan, lyckas samla alla våra användare för en dags utbildning är risken stor att kunskaperna snabbt blir inaktuella eller glöms bort. Dessutom hade det blivit mycket kostsamt att avsätta en heldag för samtliga anställda.

På Nimblr började vår idé om att utbilda användare att växa. Tillsammans med beteendevetare, e-learningexperter och psykolog utformade vi ett online-baserat koncept med fokus på att förändra användarens beteende och stärka säkerhetsmedvetandet. 

Genom korta interaktiva mikroutbildningar, övningar och simuleringar kunde vi nå samtliga användare. Vi lånade hackarnas egna modell, som de använder för att motivera användare att klicka på skadliga länkar, och skapade ofarliga simuleringar som leder användarna till mikro-utbildningar i just det ögonblicket de gjort ett potentiellt skadligt val.

Resultatet talade för sig själv. Hos våra tidiga test-kunder kunde vi, efter bara några månader med Nimblr Security Awareness, notera en signifikant minskning av antalet klick på våra simulerade attacker. Genom att automatiskt använda information som våra kunder registrerat hos oss gör vi med tiden simuleringarna mer avancerade och svårare att genomskåda – precis som hackare gör i verkliga attacker. Användarna bygger successivt upp en medvetenhet och försiktighet och motiveras av sina egna misstag. Vi hade äntligen ett svar på frågan; hur utbildar man sina användare? Det gör man inte – användarna utbildar sig själva!

www.nimblr.se

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.