SecurityWorldMarket

10-09-2018

Nyt projekt skal finde den bedste menneskelige firewall

Anja Kivac, researcher hos DBI.

EU-projektet DOGANA stiller skarpt på cyberangreb fra svindlere, og hvilken træning af medarbejdere der giver virksomheder den bedste beskyttelse mod dem. DBI er med i projektet, som skal lede til træningsforløb i at modstå Social Engineering-angreb. 500 personer har deltaget i en undersøgelse, hvor de blev udsat for simulerede phishing-angreb

Svindlere har en motorvej ind i virksomheder. Den hedder Internettet og giver en velsignet mulighed for at angribe virksomheder ved at foregive at være en anden og snyde medarbejdere til at give adgang til information eller penge. Altså det, der kaldes Social Engineering, som 97% af alle cyberangreb anslås at indeholde en eller anden form for. Det bør virksomheder være forberedte på, hvilket er baggrunden for DOGANA-forskningsprojektet, som undersøger virksomheders sårbarhed over for Social Engineering samt metoder, der kan minimere sårbarheden. Det skriver DBI, som er partner i projektet, der blev afsluttet i august 2018.

- IT giver en platform for angreb, og når vi er på arbejde, har vi typisk mindre tid til at tænke os om, før vi f.eks. klikker på et skadeligt link i en phishing-e-mail. Det er på arbejdet, vi er mest sårbare, siger Anja Kivac, der er researcher hos DBI og har arbejdet med DOGANA.

Testet på egne medarbejdere

I projektet undersøgte man bl.a. sammenhængen mellem personlighedstyper og sårbarhed over for angreb.

- Næsten 500 medarbejdere hos fire DOGANA-partnere deltog i en undersøgelse, hvor de blev udsat for simulerede phishing-angreb, dvs. at de fik tilsendt falske e-mails, der forsøgte at få dem til at klikke på et link eller afgive deres firma-login-oplysninger, fortæller Anja Kivac.

Nogle af medarbejderne gennemførte efterfølgende et træningsforløb, hvor de med forskellige metoder blev trænet i at identificere tegn på phishing og Social Engineering. Derefter blev de angrebet med phishing igen, hvorpå alle medarbejdere blev personlighedstestet. På den måde kunne man afgøre, om tilbøjeligheden til at falde for phishing hænger sammen med personligheden og desuden se, hvilke træningsmetoder der virker bedst.

- For de medarbejdere, der ikke modtog træning, skete der ikke nogen betydelig forbedring i deres evne til at identificere phishing-angreb. Derimod var der en mærkbar forbedring blandt de medarbejdere, der havde modtaget træning. Desuden indikerer undersøgelsesresultaterne, at personlighed spiller en rolle, når den enkelte skal vurdere, om der er tale om svindel eller ej, siger Anja Kivac.

Skal styrke den menneskelige firewall

Træningsmetoderne i projektet omfatter klassiske tiltag – som videoer og informationsmateriale, der underviser i tegnene på svindelmails (f.eks. dårlig grammatik eller tidspres). Samtidig testede man mere eksperimenterende tiltag – såsom computerspil, hvor man sender phishing-e-mails til en modspiller og desuden selv skal vurdere, om de e-mails, man modtager, er valide eller svindel. Derudover er der udviklet et brætspil, der giver medarbejdere indsigt i, hvilke informationer kriminelle har brug for til gennemførelse af et succesfuldt phishing-angreb.

- Cyberangreb er et stigende problem, og undersøgelser viser, at der blandt danske virksomheder er stor bekymring for Social Engineering. Projektets resultater vil hjælpe DBI med at sammensætte et træningsforløb, der kan nedbringe risikoen for, at medarbejdere går i fælden, siger Anja Kivac.

Kilde: DBI


Tags

Leverandører
Tilbage til toppen