De fleste cyberangreb starter ikke med avancerede hackere, der infiltrerer et system, men med en medarbejder, der klikker på et link.
Martin Brogaard Nielsen, der er partner og Head of IT Risk Assurance hos Grant Thornton Danmark, fortæller, hvordan virksomheder kan reducere risikoen for cyberangreb.
For Martin Brogaard Nielsen er især tre områder vigtige i arbejdet med cybersikkerhed:
Adgangsstyring, awareness-træning og overvågning.
Medarbejderen Jytte som eksempel
"Forestil dig en medarbejder. Lad os kalde hende Jytte. Hun modtager en mail, der ser helt legitim ud. Jytte klikker på et link i mailen, som viser sig at være phishing. Nu er den gal, for Jytte har kompromitteret den virksomhed, hun arbejder hos,” fortæller Martin Brogaard.
Til dagligt rådgiver han og hans team virksomheder, myndigheder og organisationer om, hvordan man bedst styrker sin cybersikkerhed. De ser jævnligt, at et enkelt klik fører til alvorlige databrud – også i virksomheder, der ellers har styr på deres systemer.
”Som virksomhed er man nødt til at se indad og give sine medarbejdere de bedste forudsætninger for at undgå, at det sker. For selvom det er Jytte, der ender med at klikke på det forkerte link, kan det være udtryk for, at virksomhedens generelle cybersikkerhed ikke er tilstrækkelig.”
Ét klik må ikke kompromittere hele virksomheden
Spørger man Martin Brogaard, er der en række ting, man kan gøre. Det handler ikke kun om at bruge de rette it-systemer, men i lige så høj grad at have fokus på adfærd og adgangsstyring.
”En del af problemet bunder i, at medarbejdere som Jytte ofte har adgang til alt for meget af virksomhedens data. Det kan skyldes, at det ganske enkelt har været det nemmeste i hverdagen, men konsekvenserne bliver omfattende den dag, hun trykker på det forkerte link,” forklarer Martin Brogaard.
"Hvis Jytte kun har adgang til det, hun har brug for, er skaden langt mere begrænset, hvis noget går galt. Det princip kaldes ‘least privilege’. Gør man samtidig brug af multifaktorgodkendelse (MFA), så den enkelte medarbejders identitet skal godkendes med flere faktorer, kan man bedre sikre, at adgangen er forbeholdt de rette personer," forklarer han.
Awareness-træning som værktøj
Ifølge Martin Brogaard er den menneskelige faktor fortsat den største udfordring i arbejdet med cybersikkerhed. Langt de fleste sikkerhedsbrud sker nemlig på grund af fejl eller uvidenhed.
Derfor er det afgørende, at medarbejdere på tværs af organisationen forstår, hvad god it-skik betyder, og at de ved, hvilke mails, filer og hjemmesider, de enten skal reagere på eller holde sig fra.
Mange virksomheder gør brug af awareness-træning, og spørger man Martin Brogaard, er der en god grund til det.
"Awareness-træning er en af de mest effektive og billigste måder at forebygge sikkerhedsbrud på. Det handler i praksis om løbende at give medarbejderne de rette vaner og værktøjer gennem træningsmoduler. Lige fra at spotte falske mails og links til at håndtere data sikkert, bruge stærke adgangskoder og vide, hvad man skal gøre, hvis man alligevel får klikket på noget mistænkeligt,” fortæller Martin Brogaard.
Overvågning kan gøre forskellen, når angrebet rammer
Dog kan selv de mest robuste sikkerhedsforanstaltninger ikke forhindre alle angreb. Og selv de mest trænede medarbejdere kan stadig lave fejl. Derfor bør virksomheder også overveje at opsætte overvågning af deres it-systemer for at kunne opdage trusler og reagere hurtigt.
"Hvis en virksomhed for eksempel bruger Microsoft Entra ID, kan man opsætte overvågning, der opdager mistænkelig aktivitet såsom gentagne loginforsøg eller uventede adgangsmønstre. Det giver mulighed for at handle, før skaden bliver alvorlig," siger Martin Brogaard.
Når adgangsstyring, awareness-træning og overvågning af it-systemer komplementerer hinanden, bliver medarbejderen en del af virksomhedens samlede cybersikkerhed. Og netop den forståelse er essentiel, mener Martin Brogaard:
"Cybersikkerhed starter og slutter med mennesker. Teknologi hjælper os langt, men den vigtigste barriere mod angreb er stadig vores kollegaer – og deres adfærd. Med den rette træning og de rigtige værktøjer er medarbejderne faktisk det bedste forsvar, man kan have mod cyberangreb."
Få rådgivning
Hos Grant Thornton Danmark hjælper vores eksperter virksomheder, organisationer og myndigheder med at styrke deres cybersikkerhed.
Vores team rådgiver om alt fra ISO 27001 og NIS2 til databeskyttelse, revision og compliance-programmer – og hjælper virksomheder med at skabe et overblik over risici, leverandører og kontroller.
Kontakt os, hvis vi også skal hjælpe dig.
