Coronakrisen gør os mere sårbare over for hackere
It-sikkerheden er under pres, når vi arbejder hjemme og al vigtig kommunikation foregår over nettet. Hackere forsøger at udnytte vores psykologiske og tekniske sårbarheder i forbindelse med coronakrisen, fortæller Oksana Kulyk, som forsker i de menneskelige faktorer ved it-sikkerhed på ITU.
Institut for Datalogicyberkriminalitetit-sikkerheddigitaliseringOksana Kulyk
Skrevet 8. december 2020 11:11 af Vibeke Arildsen
Mennesker er det svageste led, når det handler om it-sikkerhed. Det er en kendt sandhed inden for it-sikkerhedsverdenen. Vi laver for svage passwords, falder for phishingmails og bruger usikre forbindelser til at sende følsomme dokumenter. Ikke fordi vi er dumme, men fordi det er svært at huske lange, indviklede passwords, fordi de fleste af os ikke er tekniske eksperter, og fordi vi har travlt og er nødt til at prioritere andre opgaver højere end it-sikkerhed i det daglige.
Oksana Kulyk forsker i de menneskelige faktorer, som er så afgørende for, at sikkerhedsmekanismerne, vi har, rent faktisk fungerer.
”De fleste, der benytter sig af it-systemer, er hverken it-sikkerhedseksperter eller dataloger. Sikkerhedsmekanismerne i vores systemer virker derfor ikke, hvis systemerne for eksempel antager, at brugerne forstår tekniske ord i advarselsmeddelelserne. For så er der er en risiko for, at brugerne bare klikker videre uden at forstå de sikkerhedsmæssige konsekvenser,” fortæller hun.
”Min forskning fokuserer på, hvordan menneskelige faktorer påvirker it-sikkerheden, og hvordan man kan bygge systemer, der tager hensyn til disse faktorer, for eksempel ved at forebygge, at menneskelige fejl sætter it-sikkerheden over styr. Det handler blandt andet om at få brugerne til at forstå, hvordan de beskytter it-sikkerheden og hjælper dem til at forstå, hvori farerne ligger,” siger hun.
Øget risiko i forbindelse med corona
I forbindelse med coronakrisen og øget hjemmearbejde er en stor del af virksomhedernes kommunikation rykket online, og det øger risikoen for cyberangreb, fortæller Oksana Kulyk.
”Folk arbejder hjemme, holder møder online, og al vigtig kommunikation foregår via nettet. Det giver selvfølgelig nye muligheder for angribere,” siger hun.
Center for Cybersikkerhed fastslog tidligere i år, at hackere forsøger at udnytte coronasituationen til deres egen fordel, og at der er en øget risiko for, at cyberangreb lykkes under pandemien på grund af den ændrede arbejdssituation, mange i øjeblikket befinder sig i.
Oksana Kulyk nikker genkendende til dette billede. Hackerne prøver at udnytte både psykologiske og tekniske sårbarheder i forbindelse med coronakrisen, fortæller hun.
Vi har set en stigning i antallet af phishingmails, hvor angribere prøver at udnytte folks mentale tilstand, som kan være præget af frygt og usikkerhed over coronapandemien.
”Vi har set en stigning i antallet af phishingmails, hvor angribere prøver at udnytte folks mentale tilstand, som kan være præget af frygt og usikkerhed over coronapandemien. Det kan påvirke vores evne til at tænke rationelt, når vi for eksempel modtager usædvanlige mails,” siger hun og fortsætter:
”Der har været eksempler på phishingmails, der fortæller modtageren, at de har været i kontakt med én, der er testet positiv for corona, og at man skal klikke på et link for at få mere information. Den type mails kan selvfølgelig gøre modtageren bange. Vi har også set mails, der fortæller folk, at de har ret til offentlig støtte på grund af pandemien. Igen et forsøg på at udnytte, at folk føler sig mere udsatte i øjeblikket,” siger hun.
Hackerne kan også finde på at udnytte, at vi ikke sidder fysisk sammen med kollegaerne, og at der dermed er ringere sandsynlighed for, at vi dobbelttjekker tvivlsomme henvendelser.
Hvis en kollega beder os om at sende en fil med sensitiv information, kan vi normalt bare stikke hovedet ind på hans kontor og spørge, om mailen virkelig er fra ham. Den mulighed har vi ikke, når vi arbejder hjemme.
”Hvis en kollega beder os om at sende en fil med sensitiv information, kan vi normalt bare stikke hovedet ind på hans kontor og spørge, om mailen virkelig er fra ham. Den mulighed har vi ikke, når vi arbejder hjemme. Man kan selvfølgelig stadig spørge, men kommunikationen er sværere,” siger Oksana Kulyk.
It-infrastrukturen ikke sikker nok
Derudover kan det være et problem, at it-infrastrukturen ikke er sikker nok, når vi arbejder hjemmefra.
Det kan for eksempel være, at vores hjemmenetværk ikke er tilstrækkeligt beskyttede. Eller at ens bofæller kan få adgang til følsomme arbejdsdokumenter. Den type potentielle sikkerhedsrisici skal virksomhedernes it-sikkerhedsansvarlige være opmærksomme på – og det bør ikke være den enkelte medarbejders ansvar, understreger Oksana Kulyk.
Hjemmefra har man typisk ikke direkte adgang til en it-afdeling, som man kan få et hurtigt svar fra, og hvis man ikke har erfaring med at sætte sit netværk op på en sikker måde, kan det være et problem.
”Igen, de fleste er ikke it-eksperter, og det er de færreste, der ved, hvordan man beskytter sit hjemmenetværk ordentligt. Folk er vant til at have en it-afdeling på arbejdet, som man kan gå til for at få hjælp til at tilgå netværk på en sikker måde, og det kan man ikke på samme måde derhjemme. Hjemmefra har man typisk ikke direkte adgang til en it-afdeling, som man kan få et hurtigt svar fra, og hvis man ikke har erfaring med at sætte sit netværk op på en sikker måde, kan det være et problem,” siger hun.
Mere bevidsthed om it-sikkerhed
Oksana Kulyk tror dog på, at almindelige mennesker generelt er blevet mere opmærksomme på it-sikkerhed og privacy i forbindelse med pandemien. Krisen kan derfor være en gylden mulighed, når det gælder om at skabe mere bevidsthed om it-sikkerhed.
En større bevidsthed om vores digitale privatliv kan blive en positiv effekt af coronakrisen.
”Der har for eksempel været mange diskussioner om Smittestop-appen og om, hvilke data den indsamler. Det virker til, at det har skabt en ny bevidsthed om, hvilke data der bliver indsamlet om os og om, hvordan disse data bruges. Derudover har der været en del snak om de risici, der er forbundet med at føre private samtaler via for eksempel Zoom og Teams, og om, hvem der egentlig har adgang til og ejerskab over vores data, når vi bruger disse platforme. En større bevidsthed om vores digitale privatliv kan blive en positiv effekt af coronakrisen,” siger hun. Oksana Kulyk, adjunkt, email okku@itu.dk
Vibeke Arildsen, presserådgiver, telefon 2555 0447, email viar@itu.dk