Uddan din organisation i god digital adfærd Dubex Security & Risk Management Update 2016 12.05.2016 Dorthe Gyldenkærne, CMO, Dubex A/S Bygholm Park, Horsens, den 12. maj 2016
Agenda Hvorfor er det så vigtigt at uddanne vores brugere? Hvordan kunne indhold i et awareness-uddannelsesprogram se ud? Hvordan kommer I i gang?
Hvad med det menneskelige operativsystem?
Når den digitale verden oversættes til fysisk verden
Vores brugere er konstant udsat Organiserede, fokuserede og finansielt motiverede hackere Over 100.000 nye malware-varianter hver dag Over 800 millioner phishing e-mails sendes hver dag
Markant stigning i angreb Kilde: Verizon Databreach Investigation Report 2016
Phishing Åbnede phishing e-mails inden for de første 24 timer
Hændelser - Danmark Bølge af fup-e-mail fra Marokko Kommuner udsat for hackerangreb og afpresning Af Jens Beck Nielsen og Henrik Jensen 22. januar 2015, 22:30 Flere kommuner er nu for første gang blevet angreb af hackere, som kræver penge for at trække sig. En voldsom aktivitet på Gribskov Kommunes drev afslørede mandag eftermiddag, at kommunen for første gang var ramt af cyberangreb. Hackere havde krypteret filer i kommunens systemer og forlangte penge for at slippe kontrollen over dem. Kommunen afviste at betale og politianmeldte sagen, som i går blev sendt videre til Europol. Foreløbig er der ikke noget, der tyder på, at følsomme oplysninger om borgerne er sluppet ud, men kommunaldirektør Holger Spangsberg Kristiansen understreger, at angrebet tages»meget, meget alvorligt.«af Henrik Jensen / 11. februar 2015, 22:30 Det er en ekstraordinær stor mængde e-mail fra primært marokkanske bagmænd, som i disse dage forsøger af franarre danskerne deres kreditkortoplysninger. Få danskere er hoppet i fælden, siger ekspert. Bagmændene bag e-mailsvindlen benytter sig af en metode, der kaldes phishing. Her sender de typisk flere tusinde e-mail rundt, hvor de udgiver sig for at være en troværdig kilde som eksempelvis en bank, Skat eller Nets. Ved de mest professionelt udførte angreb kan det være svært at se, at der er tale om en falsk e-mail. Andre gange kan det ringe sprog i e-mailen give et praj om, at der er tale om svindlere. Herefter forsøger gerningsmændene at overbevise modtagerne om, at e-mailen er ægte, og at de derfor skal gøre, som de instrueres til. Hvis modtagerne klikker på linket, bliver vedkommende typisk ledt ind på en hacket hjemmeside, hvor man for eksempel bliver bedt om at indtaste sine kreditkortoplysnigner. Nogle få klik og en indtastning af kreditkortoplysninger. Herefter kan tyvene købe flybilletter, elektronik og andre varer i dit navn. Mandag d. 28. september 2015, kl. 12.20 / Thomas Breinstrup To kommuner er ramt, men der er højst sandsynligt flere, som der ikke er Det kan være konsekvensen, hvis man ikke er opmærksom på den bølge af kendskab til endnu, forklarer Mads Nørgaard Madsen, sikkerhedsekspert PostDanmark og har politianmeldt virus, som foregiver at komme fra falske e-mail, som i denne uge hærger de danske indbakker. Her udgiver partner i revisionsfirmaet PWC, der har været i kontakt med de ramte postvæsenet, men som låser folks filer og kræver løsepenge. gerningsmændene sig for at være nøglekortudbyderen NemID og vil lokke kommuner. modtageren af de falske e-mail over på en hacket hjemmeside, hvor de skal En særdeles ondsindet computervirus, som udgiver sig for at komme fra indtaste deres kreditkortoplysninger. Det fortæller IT-sikkerhedsekspert Peter Ifølge Mads Nørgaard Madsen skyder hackerne med spredehagl og krypterer postvæsenet, spreder sig i Danmark og koder filer, så man ikke længere Kruse har fra virksomheden CSIS, der overvåger udviklingen. vilkårlige filer. Og ifølge ham er der altså ikke etale om målrettede forsøg adgang på at til dem. stjæle f.eks. personfølsomme oplysninger.»det handler her om at lave så meget ravage som muligt, så man kan kræve så mange penge som muligt. I tilfældet her har hackerne henvendt sig via mail, og nogle brugere er kommet til at hente en inficeret fil ned. Derfor handler det også om, at der kommer en http://www.b.dk/nationalt/boelge-af-fup-e-mail-fra-marokko øget bevidsthed om sikkerheden. Uden at pege fingre kunne det måske have imødegået disse angreb,«siger Mads Nørgaard Madsen. http://www.b.dk/nationalt/kommuner-udsat-for-hackerangreb-og-afpresning Ond postvirus angriber danske virksomheder PostDanmark advarer på sin forside mod den falske besked, som mange danskere har modtaget, og som rummer en farlig virus. I sidste uge er adskillige danske virksomheder blevet angrebet af Cryptolocker 2-virussen, som ankommer med det elektroniske postbud i en mail, der foregiver at være fra PostNord. Klikker man på et link i beskeden, bliver virussen installeret og går i gang med at kryptere - altså kode - vigtige filer på
og det handler om penge
Brug for mailadresser til spamming ellers phishing?
Phishing tekstservice
Cryptolocker/CTB-Locker/CryptoWall etc. http://malware.dontneedcoffee.com D a t e Countrys
Udfordringen Vores brugere udgør en risiko "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 79 procent af folk, der arbejder med informationssikkerhed i Danmark, oplever, at brugerne i deres organisationer er den største udfordring for sikkerheden! DK CERT 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro
Medarbejderne spiller en afgørende rolle i 9 ud af 10 tilfælde Kilde: 2015 DATA BREACH INVESTIGATIONS REPORT
Ændret fokus på awareness vedholdende påvirkning af adfærd
Adfærdsmodeller Motivation Evne Nemt at gøre
Målsætninger for et awareness-uddannelsesprogram Afmystificere problemstillinger Synliggøre trusler Øge vidensniveau Påvirke adfærd Skabe proaktivitet Opnå færre hændelser Øge sikkerheden Synliggøre værdien for den enkelte også i privatregi
Klæde medarbejderne på 1 Viden Hvad skal jeg gøre? 2 Evne Hvordan skal jeg gøre det? 3 Attitude/motivation Jeg ønsker at gøre det!
Du spiller en rolle Ansvarlig it-bruger Værdifuld viden Almindelig sund fornuft
Hvilke elementer bør inddrages når adfærd skal ændres? Artikler Phishing test Plakater Foredrag E-mail Social platform Foldere Nyhedsbreve Eksamen Portal
Blended learning fører til adfærds ændringer Information & retningslinjer Inspirerende Relaterbare Aha-oplevelser Gode råd privat & på job Interaktive elementer Genkendelse Forskellige indlæringstyper Billeder & illustrationer Quiz Fysisk event Video Tekst
Vores anbefalinger
Historisk It-afdelingen Kommunikation
Tværorganisatorisk samarbejde HR IT MKT Uddannelsesprogram i god digital adfærd
3 niveauer Ledelsen Præsentation/ Gå hjem møde It-ledelsen & it Præsentation/ Gå hjem møde Workshop Medarbejdere Kick-off præsentation (fysisk og online) Pentest Social platform Videndeling E-learning Intern awareness kampagne (7 temaer) CEO/ledelsesbrav Plakater Emails / intranetartikler Informationsfolder E-learning kursus Quiz / test Rapportering
Dokumentation er vigtig Start- og slutquiz dokumenterer medarbejdernes viden Saml resultaterne I en ledelsesrapport Brug det til at få overblik over effekten Giver indsigt I hvor indsatsen skal.prioriteres
En relevant kampagne for din virksomhed - udvælg 7 temaer pr år Nye temaer bør tilføjes løbende ud fra det aktuelle trusselsbillede Introducerende kurser få grundviden på plads Informationssikkerhed Hackerens motiver og metoder Social engineering Specifikke kurser hvad er mest aktuelt for jer? Phishing Kodeord Fysisk sikkerhed Sikker på nettet Databeskyttelse Virus Sociale medier Mobile enheder Backup
Phishing - plakat Bider du på krogen? Når du modtager tilbud eller opfordringer via e-mail eller på internettet, kan der skjule sig et forsøg på at misbruge din tillid og snyde dig. Det kaldes phishing. Det kan være en e-mail fra en ven eller bekendt, en forretningsforbindelse eller offentlige myndigheder. Hvis noget virker for godt til at være sandt, er det det nok også. Det er sund fornuft. Derfor betaler det sig at være skeptisk - især på internettet. For vi har alle noget, som vi gerne vil passe ekstra godt på. Læs de gode råd om phishing på sikkerhedsportalen. Din viden er værdifuld pas på den!
Eksemplar plakater/annoncer
Eksempel brochure/folder
Læringsportal
Udvalgte kunder Ledelsen ønskede med awareness-kampagnen at signalere, at vi tager it-sikkerhed alvorligt, og at det er et fælles ansvar og en del af vores daglige rutiner. Derfor delte vi selvfølgelig også vores testresultater. Vi oplevede generelt en høj svarprocent, så vi er overordnet rigtig godt tilfredse med forløbet og samarbejdet med Dubex, der var gode til at lytte og give os det rigtige tilbud første gang. Søren Kromann forvaltningsdirektør i KOMBIT
Opsummering Manglende kommunikationsevner og vedholdenhed - primær årsag til at de fleste awareness-programmer ikke har effect Nøglen til succes ligger i at få medarbejderen til at forstå sin rolle og værdien Ram medarbejderne på flere platforme med flere virkemidler Adfærd flyttes ikke gennem en kort kampagne, men kræver kontinuerligt fokus
Hvad skal du gøre, når du kommer hjem? På mandag Identificér de 7 vigtigste temaer for din organisation over 12 måneder Næste uge Arbejd på at få din ledelses opbakning de er kulturbærere Sæt Kommunikation & Marketing i spil Næste måned Integrér awareness i årshjulet det stopper ikke!
Spørgsmål & next step?
Udviklet i tæt samarbejde for optimalt udbytte Governance, Risk & Compliance specialister ISO27001 specialister It & sikkerhedsspecialister Kommunikations- og marketingspecialister
Køber ind på en fælles platform bliver opdateret ift. nye trends og tendenser udvikles i takt med, at vores Security Analytics Center opdager nye trusler udvikles i takt med nye områder dukker op, som er vigtige at uddanne brugerne i som eksempelvis EUpersondataforordningen.