Kriminelle kan benytte offentlig informasjon til å skade bedriften din

Du tenker kanskje ikke over det, men uskyldig informasjon som ansattes private kontoer på sosiale medier og firmaets hjemmeside kan sette bedriften din i fare for cyberangrep.

Et hackerangrep starter som regel med en omfattende informasjonssamlingsfase. Dette er et konsept som i etterforskingsøyemed kalles for eller OSINT (Open Source intelligence) og kan defineres som «ikke-klassifisert informasjon», noe som betyr at denne informasjonen ikke er gjenstand for proprietære begrensninger og ligger tilgjengelig for alle på internett. Denne typen informasjon har for en hacker mange viktige fordeler, men også noen begrensninger og svakheter som krever en skreddersydd og individualisert tilnærming fra den cyberkriminelles side. Eksempler på dette er sosial manipulering, kombinasjonsknekking, eller en avtale med en illojal ansatt.

En cyberkriminell innhenter informasjon fra sosiale medier, nettsider, åpne diskusjonsforum eller kommentarfelt i nettaviser, og isolert sett kan denne informasjonen oppleves som ufarlig, men den kan bygge et intelligensbilde som utgjør en sårbarhet for din bedrift.

En hacker kan benytte seg av opplysninger som omhandler daglig drift, medarbeiderinformasjon og eksisterende sikkerhetstiltak. All informasjon som den kriminelle kan ta få tak i kan være verdifull for å gi innsikt i viktig informasjon som omhandler sikkerhetssystemer internt i bedriften.

Som bedrift kan man også benytte OSINT til å kontrollere eksponering og redusere risikoen ved å benytte den cyberkriminelles teknikker og verktøy for å identifisere trusler.

Det er dessverre en stor menge data som du ikke eier, men det er heldigvis noen steg du kan ta for å beskytte bedriften din.

Sosiale medier

LinkedIn, Facebook, Twitter, Instagram og alle de andre sosiale mediene er avhengige av informasjon, og er derfor noen av de beste OSINT-plattformene. Ved hjelp av søkeverktøy som for eksempel Facebooks grafiske søk kan man på en enkel måte identifisere ansatte og deres personlige informasjon, favorittsteder, interesser og mye mer. LinkedIn-profiler og relasjoner gir informasjon om nettverk og kan benyttes for å lage overbevisende falske e-poster som fremstilles som om de kommer fra eksisterende og troverdige forretningsforbindelser.

Tilsynelatende uskyldige informasjonskilder kan være verdifulle - og farlige – om de benyttes riktig.

Ved å benytte klare retningslinjer for de ansatte og hva som publiseres av bedriftsinformasjon, kombinert med et dataklassifiseringssystem vil kunne bedre sikkerheten når det gjelder spredning av informasjon. Twitter for eksempel er en plattform man skal være forsiktig med da det ikke foreligger noen form for privatisering og denne er åpen for allmenheten, -ikke bare de som man har akseptert som en del av det personlige digitale nettverket.

Internet of Things

Med unntak av GDPR så er kanskje nåtidens største snakkis «Internet of things». Internet of Things omhandler alle digitale enheter som er tilkoplet internett og kan gi cyberkriminelle en vei inn til en bedrifts nettverk. Shodan er en søkemotor for maskinvare og tråler internett på jakt etter sårbare systemer. Disse sårbarhetene inkluderer kameraer, rutere, servere og mye mer og det er derfor viktig at alle enheter til enhver tid er oppdatert med de nyeste sikkerhetsoppdateringene.

Informasjon på nettsiden

Informasjon som ligger på bedriftens nettside kan av benyttes av cyberkriminelle, og ved å ha bilder av de ansatte og full kontaktinformasjon til hver enkelt ansatt kan kompromittere sikkerheten ved at de kriminelle kan benytte denne informasjonen til å hente ut informasjon fra sosiale medier som omhandler personlig data som igjen kan brukes til å sette bedriftens sikkerhet i fare.

Gjør OSINT til en fordel

OSINT er et viktig verktøy for en proaktiv monitorering av data og digitale enheter og er et verktøy hvor en bedrift som potensielt er i faresonen kan få informasjon om angriperen. God trusselintelligens gjør det mulig å iverksette tiltak allerede før et angrep har startet, slik at bedriften kan følge opp eventuelle risikoeksponeringer i en tidlig fase. Verktøy som Hootsuite, Social mention, og Echosec gjør det mulig å regelmessig oppdatere interne regelverk, og gir som en bonus innsikt i markedsføringskampanjer og kundetilfredshet.

OSINT og sikkerhetsopplæring

Noe av det beste med OSINT er at man kan benytte det til opplæring og bevisstgjøring. Ikke bare på arbeidsplassen, men også hvordan man kan etablere en bevisst sikkerhetskultur hjemme, -likt som på jobb. Som et eksempel kan man "stalke" seg selv på internett for å finne ut hvor ufattelig store mengder informasjon som ligger ute på nett av privat informasjon, og analysere denne på en slik måte som en hacker ville ha gjort om hunn eller hann prøvde å skaffe informasjon som potensiellt kan sette bedriftens sikkerhet i fare.

Vi tilbyr opplæring og workshops som en del av vår sikkerhetsopplæring og tar oss gjerne en tur ut til bedrifter for å fortelle om IT-sikkerhet.

Vil du snakke mer om hvordan bedriften din kan oppdatere interne retningslinjer for dataeksponering?

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →