I dette innlegget skal du få oppskriften på hvordan du kan redusere vellykkede datangrep via e-post med 80%. Med denne metoden kan du effektivt hindre at ansatte og brukere klikker på farlige lenker og vedlegg i e-post som gir hackere tilgang til bedriften.
91% av alle dataangrep via e-post
Ifølge en undersøkelse utført av Deloitte, kommer 91% av dataangrep inn i virksomheter via e-post. E-postangrep er svært effektive for hackeren fordi det nesten er garantert at en eller flere mottakere i bedriften vil la seg lure og klikke på skadelige vedlegg eller lenker. Formålet er å lure brukere til å gi fra seg sensitive opplysninger eller installere skadelig programvare. Målet er å få tilgang til data eller informasjon i bedriften. Angripere bruker teknikker som Phising eller manipulering for å få tilgang til passord eller brukernavn for å få tilgang til sensitive data elle opplysninger.
18% prosent av dine ansatte klikker
Ifølge en undersøkelse utført i 2020 klikker hele 18% av ansatte på farlige vedlegg eller linker i phishing-e-poster. Det betyr at for hver tiende ansatt kan du regne med at ca. to av dem vil klikke på den farlige e-posten. Med en slik statistikk betyr det at du nesten er garantert at bedriften vil oppleve vellykkede dataangrep, og at angriper får tilgang til eller kan ødelegger dine bedrifts-data.
Hvorfor klikker folk så ukritisk
De fleste ansatte klikker fordi de tror e-posten er legitim eller at den er sendt av en autoritetsfigur i organisasjonen. Et typisk eksempel er e-post som ser ut som om den kommer fra daglig leder og som ber økonomiansvarlig overføre en sum eller betale en «falsk» regning.
Du blir satt under press
En annen grunn til at ansatte kan klikke på phishing-e-poster, er distraksjon. E-post som ber brukeren om å logge på Microsoft 365 og verifisere innboksen sin. E-post gir utrykk for at noe haster, så du må bytte passord nå eller så mister du tilgang.
3 enkle tiltak mot angrep på e-post
Det finnes flere enkle tiltak du kan gjøre for å redusere angrep på e-post. Her er noen av dem.
2-faktor autentisering
2-faktor autentisering (MFA) vil ikke redusere angrep på e-post men vil bidra til at du effektivt kan stoppe at brukerkontoer blir hacket. Her kan du aktivere MFA som en standard i din Microsoft 365 løsning. Slik aktiverer du MFA på Microsoft 365
Avansert e-post beskyttelse
Du kan aktivere Microsoft Endpoint Protection som ligger med i Microsoft 365 Business Premium pakken som du allerede abonnerer på. Denne tjenesten vil filtrer og teste vedleggene og linkene i e-poster som du mottar og fjerne skadelig innhold dersom den finner det.
Antivirus
Dette er siste skanse og kan redde deg fra at brukeren aktiverer løspengevirus og andre hackerverktøy når det blir klikket på linker og vedlegg i e-posten.
Den menneskelige faktoren
Alle disse tiltakene er effektive og kan hjelpe deg med å filtrere bort e-post med skadelig innhold. Men e-post som klarer å komme seg gjennom filtre og havner i innboksen avhenger alt av den menneskelige faktoren. Elefanten i rommet er deg og meg. Det er vi som til syvende og sist klikker å invitere inn hackeren i systemene våre slik at de kan forsyne seg av dataene våre. Så hva kan du gjøre for å hindre klikkingen?
Trening reduserer vellykkede angrep med 80%
Det viser seg at dersom du trener «elefanten» til å kjenne igjen farlige e-poster, og gir den litt grunnleggende opplæring i sikkerhet så den blir mer sikkerhetsbevisst. Ja, bare etter 3 måneder med trening og opplæring faller klikkraten til under 2 %. Her kan du enkelt redusere klikk på farlige e-poster med hele 80% ved å lære opp de ansatte til bedre sikkerhet.
Hvordan trene og lære opp brukerne
Du kan effektivt øke sikkerhetsbevisstheten til dine ansatte ved å gjøre to ting samtidig. Du starter med å teste brukerne med e-poster som likner på typiske Phising angrep, og deretter vise dem hvordan de kan kjenne de igjen. Samtidig gir du dem mikroopplæring, små kurs som øker kompetansen på sikkerhet.
Du trenger en tjeneste som automatisk tester og lærer opp ansatte
Det finnes mange slike tjenester som tilbyr sikkerhetstrening og Phising tester som du kan benytte i markedet. Noen av dem tilbyr video-opplæring, men er ofte bare på engelsk. Andre er mer avanserte og krever mer oppfølging og vedlikehold av bedriften. Prisen kan også variere veldig. Noen har AI funksjoner der systemet f.eks. sender ut mer avanserte tester etterhvert som læringskurven til brukeren blir høyere.
Hva bør en slik løsning inneholde
Ett lite tips når du skal velge løsningen!
- Den bør være laget for norske forhold med mikrokurs på norsk, og at innholdet i Phising testene er noe som norske brukere kan kjenne seg igjen i.
- Videokurs er ikke alltid det beste, ofte er små interaktive kurs som tar liten tid i hverdagen det som fungerer best. Videoer tar ofte for lang tid og blir spolt og skippet slik at brukeren ikke får med seg alt.
- Du bør også passe på at den er automatisert slik at du ikke trenger å vedlikeholde den. Den skal kunne jobbe selv og gjerne bruke kunstig intelligens til å teste og lære opp brukerne dine.
- Systemet bør også la deg enkelt få ut rapporter som viser hvordan sikkerhetsnivået i bedriften ligger an og hva du kan bli bedre på. Her er en portal som du kan logge deg inn og få ut informasjon på en enkel måte et must.
Nimblr test og opplæring fra AGS IT-partner
En løsning som vi anbefaler er Nimblr som både inneholder enkle og brukervennlige mikrokurs på norsk, og automatisk phishing test som bruker AI til å teste brukerne.
Løsningen synkroniserer seg med brukerne dine i Microsoft 365. Dette er en fordel for da kan du legge til nye ansatte eller fjerne ansatte som slutter i Microsoft 365 og så speiles disse over i Nimblr. Når en ny ansatt begynner så får han automatisk trening.
Nimblr settes opp en gang med informasjon om daglig leder, økonomiansvarlig og viktige kunder slik at løsningen kan jobbe selv og bruke AI til å sende ut «troverdige» tester.
Du kan lese mer om Nimblr på nettsiden vår