Hvad er Social Engineering?
Det er i dag generelt erkendt, at et af de svageste led, når der tales it-sikkerhed, er virksomhedens egne medarbejdere. Villigheden hos mange mennesker til at tage andres ord for gode varer, gør dem sårbare over for social engineering-angreb. Social engineering bruges som betegnelse for angreb, hvor it-kriminelle forsøger at lure/intimidere/manipulere fortrolige informationer ud af medarbejdere i virksomheder, typisk med det formål at opnå adgang til virksomhedens it-systemer og herigennem til de data/informationer som er det endelige mål for angriberne.
Eksempelvis når en hacker (cracker) lokker et password ud af en anden person. Eller når en hacker opnår fysisk adgang til en pc eller et netværk ved, at anstille sig som at være ansat eller konsulent.
Hvem er udsatte og hvilke konsekvenser medførers?
Alle virksomheder kan principielt udsættes for Social Engineering men, Jo større virksomhed jo større interesse fra omverdenen og desto større er truslen for at blive offer for Social Engineering. De store og mellemstore virksomheder er dog bedre til at sikre sig, da der ligger en større usikkerhed når man har flere afdelinger. Her kender alle medarbejderne ikke hinanden og på den måde laver man en struktur over identifikationen imellem dem. I en mindre virksomhed kan man godt halte lidt, her kender alle hinanden og det er lidt anderledes de har tillid til hinanden, og det er med til at en sikkerhedspolitik ikke bliver respekteret på samme måde.
En anden faktor er at det ikke er samtlige brancher som er lige udsatte. Det kan være specielt den finansielle sektor og virksomheder som ligger inde med forretningshemmeligheder f.eks. medicinalindustrien, banker eller militæret.
Forebyggelse:
Generelt bruger virksomheder ikke de nødvendige ressourcer på at sikre sig mod Sociale Engineering. Der fokuseres i højere grad på antivirus og firewalls, altså de tekniske former for sikkerhed. Det er her vigtigt at pointere, at antivirus og firewalls er glimrende mod virus og hackerangreb og hvordan man teknisk kan begrænse adgang til virksomheden. Dette er ikke tilfredsstillende til at bekæmpe de tekniske former for Sociale Engineering, da det også indeholder psykologiske faktorer.
Det varierer ofte fra en virksomhed til en anden, hvordan virksomheden sikrer sig. I nogen brancher er det et lovkrav, om at sikre sig mod Sociale Engineering hvilket kan være en selvforstærkende motivationsfaktor. Det forbyggende for at virksomheder sikres mod Sociale Engineering er, ved at indføre sikkerhedspolitiker, sikkerhedskontroller og sammenhængende uddannelse af personalet.
Vi udfører en Sociale Engineering-test hvor vi simulerer et hacker-angreb og forsøger at få medarbejdere til at frigive oplysninger som evt. kunne misbruges. Dette kan vi udføre på flere måder, f.eks. sociale netværk, phishing-angreb, falske identiteter. mv. omfanget af testen bliver naturligvis fastsat i tæt samarbejde med jer.