Disse cybertruslene vil vi se mer av på 2020-tallet

Avansert e-postsvindel og deepfake telefonsamtaler fra sjefen er noe av cybertruslene vi vil se mer av på 2020-tallet.

EN NY TID TRUER: Å ha årvåkne ansatte med antennene ute vil bli langt viktigere for bedrifters IT-sikkerhet de kommende årene, sier Kai Roer i Knowbe4.  Foto: Selskapet

IT-sikkerhetsaktøren Knowbe4 har forsøkt å spå om hva som blir de største utfordringene mot virksomheters IT-sikkerhet de neste ti årene.

– Vi må nok forberede oss på stadig flere og stadig mer avanserte former for sosial hacking. Grunnsikkerheten er blitt så god at de tradisjonelle angrepsformene er mindre effektive, og dermed går hackerne over til nye og mer innbringende metoder, forklarer Kai Roer, en av tre gründere bak IT-sikkerhetsselskapet CLTRe .

Lavthengende frukt

– Der man tidligere brøt seg inn med en hammer, er det nå mye lettere å bli venn med eieren og så stjele nøkkelen. Og det er mange kreative måter å gjøre det på, sier Roer.

Det norske selskapet ble startet i 2015 med en egenutviklet måleteknologi som hjelper virksomheter med å kartlegge styrkene og svakhetene i de ansattes IT-kompetansen.

– Det er et verktøy for måling av sikkerhetskultur, og ble utviklet i samarbeid med universitetet i Ljubljana, sier Roer

Kundetilstrømmingen var upåklagelig, men i fjor valgte de likevel å fusjonerte med det amerikanske KnowBe4, som også jobbet innenfor det samme feltet, men med en mer praktisk tilnærming i form av opplæring, testing og monitorering av ansatte.

– De kom inn døren praktisk talt idet vi selv sto på springbrettet til å oppskalere, og sa «hør her, vi liker veldig godt det dere gjør, men tror vi kan få til noe veldig bra sammen», forteller Roer.

Direktørsvindel 2.0

– Mange av de tradisjonelle formene for hacking går tilbake fordi grunnsikkerheten er blitt så god. Men hackerne har ikke forsvunnet, bare endret metode.

En av angrepsmetodene som har økt kraftig i popularitet de seneste årene er såkalt direktørsvindel (CEO scam). Målet er å lure ofrene, vanligvis underdirektører og mellomledere, til å overføre penger, gi fra seg passord eller konfidensiell informasjon, ved hjelp av falske e-poster eller SMS som utgir seg for å være fra en overordnet.

– De bruker lang tid på å samle informasjon og bruker social engineering, og bygger oppstadig mer overbevisende dekkhistorier, sier Roer.

– Men det som er virkelig skremmende, er å se på hvilke teknologier som nå er på full fart inn på dette feltet.

Deepfake-sparken

Selskapet sier i rapporten at såkalt deepfake, det vil si falske, datagenererte lydopptak eller filmsnutter av andre mennesker, vil bli en av de største utfordringene for IT-sikkerhet det kommende tiåret.

– Direktørsvindel er allerede et kjempeproblem i næringslivet, og ennå er vi bare er på det skriftlige stadiet. Tenk hvor effektivt det vil være når man kan deepfake en telefonsamtale fra sjefen. På telefon har du bare stemmen, og ikke kroppsspråk, mimikk eller noen av de andre cluene du har i en vanlig samtale.

– Så når du blir vekt grytidlig av en illsint telefon fra sjefen, som skjeller deg ut og truer deg med sparken – så forventes det at du har mot og tilstedeværelse nok til å ikke utføre ordre?

– Ikke sant? Det sier noe om hvilken utfordring dette blir. Den menneskelige brannmuren vil bli stadig viktigere. Ansatte må lære mer om hvilke signaler de skal se etter, stille kontrollspørsmål, og generelt bruke sine menneskelige antenner i langt større grad.