epost
E-post er som et vannhull – pass deg for krokodillen
E-post er et viktig verktøy i hverdagen, men det tiltrekker seg kriminelle. Her er noen ting du kan gjøre for å sikre virksomheten din, skriver Tollef Erstad i Transcendent Group.
Tollef Erstad er sikkerhetsrådgiver i Transcendent Group.
SYNSPUNKT. E-post er et fantastisk arbeidsverktøy; informasjon leveres mer eller mindre umiddelbart til mottakere i hele verden, det er lett å bruke, gir store friheter til utforming av innhold, og tillater oss å legge ved filer. Det er vanskelig å se for seg en hverdag uten e-post. Men dette nærmest gratisverktøyet kommer med en pris, og dessverre en svært høy pris for de som har altfor høy tillit til verktøyet.
E-post tiltrekker seg en rekke ulike aktører – akkurat som vannhullet på savannen. Sebraer, gnuer og giraffer kommer for å drikke av det lett tilgjengelige vannet. Det er ikke noe gjerde rundt vannhullet, og alle får komme så lenge de kan gå, krype eller fly. På overflaten er det trygt og rolig, men under overflaten ligger krokodillene og lusker. Krokodillene er ikke der bare for å kose seg i vannet – de er der fordi maten deres kommer dit for å drikke.
På den samme måten ser kriminelle miljøer muligheter ved bruk av e-post. Muligheter i form av lett tilgang til mange offer, i et øyeblikk hvor offeret er sårbart. Vanligvis ønsker de kriminelle å svindle oss, å drive utpressing, eller å bare ødelegge. Det er vanskelig å si hvor store verdier kriminelle miljøer skaffer seg med nettkriminalitet, men de lever for tiden godt.
De kriminelle foretrekker størst mulig bytte, så lett som mulig, og derfor benytter de ofte den enkleste veien inn – e-post. Inngangsporten bygger på tilliten i e-postkommunikasjon. Tilliten til at avsenderen er den hen utgir seg for å være til tross for at mottakeren har begrensede muligheter for å kontrollere at dette stemmer. Som mottaker må man derfor stole på at personen man snakker med er den hen utgir seg for.
Vanligvis ønsker de kriminelle å svindle oss, å drive utpressing, eller å bare ødelegge.
Denne tilliten bør begrenses, og vi trenger tiltak for å kontrollere at påstanden om hvem avsender er stemmer. En slik kontroll finnes det tekniske virkemidler for å oppnå, men tiltakene må være satt i verk både hos avsender og hos mottaker. Her spør mottakerens e-posttjener den påståtte avsenderens e-posttjener om e-posten kom derfra. Om den får i svar at «nei, det var ikke herfra e-posten kom» så kastes e-posten rett i søppelposten. På denne måten blir det mye vanskeligere å forfalske avsenderadressen. Men det krever en felles innsats.
Men hva om avsenderens e-postkonto er stjålet? Det kan man vel ikke se dersom man mottar en e-post? Nei, det kan man ikke. Derfor er det viktig at vi passer godt på e-postkontoene våre. Vi må ha gode passord, og helst to-faktor-autentisering. Vi må sikre våre digitale identiteter, og vi må stole på at de vi kommuniserer med gjør det samme. Her må det altså være en grad av tillit til at våre samarbeidspartnere er med på dugnaden for å styrke e-postsikkerheten.
De ansatte trenger å vite hva de skal se etter, og hvordan de skal reagere dersom de blir mistenksomme til en e-post
Selv med disse sikkerhetstiltakene kan vi ikke være helt trygge – kriminelle kan fremdeles omgå sikkerhetstiltakene, og de kan fremdeles nå oss på e-post. Derfor må vi også være årvåkne - et lag med menneskelige sikringstiltak som reagerer dersom en e-post kommer på et litt merkelig tidspunkt, inneholder et malplassert eller uventet vedlegg, eller om avsenderen er en man sjeldent eller aldri samarbeider med.
De ansatte trenger å vite hva de skal se etter, og hvordan de skal reagere dersom de blir mistenksomme til en e-post. Opplæring av ansatte blir derfor et tredje, og viktig, lag med sikkerhet.
Og så er det selvsagt de gangene der de tekniske sikkerhetstiltakene blir omgått, og e-postmottakeren blir lurt. Da er det viktig at virksomheten har evne til å reagere hurtig og riktig for å minimere skadene – man har selvfølgelig brannslukkingsapparat selv om man har røykvarsler. Å vite hvordan man skal håndtere denne typen hendelser krever ofte spesiell dybdekompetanse. Om virksomheten ikke har denne kompetansen selv, så bør den inngå et samarbeid med en sikkerhetsleverandør som kan bistå ved behov.
Kriminelle vil fortsette med å benytte e-post som metode for svindel, utpressing og hærverk – men sammen kan vi gjøre det vanskeligere å være krokodille i vannhullet.