Kriminelle kan benytte offentlig informasjon til å skade bedriften din

23. juli 2018 | Lena Marthinsen

Du tenker kanskje ikke over det, men uskyldig informasjon som ansattes private kontoer på sosiale medier og firmaets hjemmeside kan sette bedriften din i fare for cyberangrep.

Et hackerangrep starter som regel med en omfattende informasjonssamlingsfase. Dette er et konsept som i etterforskingsøyemed kalles for eller OSINT (Open Source intelligence) og kan defineres som «ikke-klassifisert informasjon», noe som betyr at denne informasjonen ikke er gjenstand for proprietære begrensninger og ligger tilgjengelig for alle på internett. Denne typen informasjon har for en hacker mange viktige fordeler, men også noen begrensninger og svakheter som krever en skreddersydd og individualisert tilnærming fra den cyberkriminelles side. Eksempler på dette er sosial manipulering, kombinasjonsknekking, eller en avtale med en illojal ansatt.

En cyberkriminell innhenter informasjon fra sosiale medier, nettsider, åpne diskusjonsforum eller kommentarfelt i nettaviser, og isolert sett kan denne informasjonen oppleves som ufarlig, men den kan bygge et intelligensbilde som utgjør en sårbarhet for din bedrift.

En hacker kan benytte seg av opplysninger som omhandler daglig drift, medarbeiderinformasjon og eksisterende sikkerhetstiltak. All informasjon som den kriminelle kan ta få tak i kan være verdifull for å gi innsikt i viktig informasjon som omhandler sikkerhetssystemer internt i bedriften.

Som bedrift kan man også benytte OSINT til å kontrollere eksponering og redusere risikoen ved å benytte den cyberkriminelles teknikker og verktøy for å identifisere trusler.

Det er dessverre en stor menge data som du ikke eier, men det er heldigvis noen steg du kan ta for å beskytte bedriften din.

Sosiale medier

LinkedIn, Facebook, Twitter, Instagram og alle de andre sosiale mediene er avhengige av informasjon, og er derfor noen av de beste OSINT-plattformene. Ved hjelp av søkeverktøy som for eksempel Facebooks grafiske søk kan man på en enkel måte identifisere ansatte og deres personlige informasjon, favorittsteder, interesser og mye mer. LinkedIn-profiler og relasjoner gir informasjon om nettverk og kan benyttes for å lage overbevisende falske e-poster som fremstilles som om de kommer fra eksisterende og troverdige forretningsforbindelser.

Tilsynelatende uskyldige informasjonskilder kan være verdifulle - og farlige – om de benyttes riktig.

Ved å benytte klare retningslinjer for de ansatte og hva som publiseres av bedriftsinformasjon, kombinert med et dataklassifiseringssystem vil kunne bedre sikkerheten når det gjelder spredning av informasjon. Twitter for eksempel er en plattform man skal være forsiktig med da det ikke foreligger noen form for privatisering og denne er åpen for allmenheten, -ikke bare de som man har akseptert som en del av det personlige digitale nettverket.

Internet of Things

Med unntak av GDPR så er kanskje nåtidens største snakkis «Internet of things». Internet of Things omhandler alle digitale enheter som er tilkoplet internett og kan gi cyberkriminelle en vei inn til en bedrifts nettverk. Shodan er en søkemotor for maskinvare og tråler internett på jakt etter sårbare systemer. Disse sårbarhetene inkluderer kameraer, rutere, servere og mye mer og det er derfor viktig at alle enheter til enhver tid er oppdatert med de nyeste sikkerhetsoppdateringene.

Informasjon på nettsiden

Informasjon som ligger på bedriftens nettside kan av benyttes av cyberkriminelle, og ved å ha bilder av de ansatte og full kontaktinformasjon til hver enkelt ansatt kan kompromittere sikkerheten ved at de kriminelle kan benytte denne informasjonen til å hente ut informasjon fra sosiale medier som omhandler personlig data som igjen kan brukes til å sette bedriftens sikkerhet i fare.

Gjør OSINT til en fordel

OSINT er et viktig verktøy for en proaktiv monitorering av data og digitale enheter og er et verktøy hvor en bedrift som potensielt er i faresonen kan få informasjon om angriperen. God trusselintelligens gjør det mulig å iverksette tiltak allerede før et angrep har startet, slik at bedriften kan følge opp eventuelle risikoeksponeringer i en tidlig fase. Verktøy som Hootsuite, Social mention, og Echosec gjør det mulig å regelmessig oppdatere interne regelverk, og gir som en bonus innsikt i markedsføringskampanjer og kundetilfredshet.

OSINT og sikkerhetsopplæring

Noe av det beste med OSINT er at man kan benytte det til opplæring og bevisstgjøring. Ikke bare på arbeidsplassen, men også hvordan man kan etablere en bevisst sikkerhetskultur hjemme, -likt som på jobb. Som et eksempel kan man "stalke" seg selv på internett for å finne ut hvor ufattelig store mengder informasjon som ligger ute på nett av privat informasjon, og analysere denne på en slik måte som en hacker ville ha gjort om hunn eller hann prøvde å skaffe informasjon som potensiellt kan sette bedriftens sikkerhet i fare.

Vi tilbyr opplæring og workshops som en del av vår sikkerhetsopplæring og tar oss gjerne en tur ut til bedrifter for å fortelle om IT-sikkerhet.

 


MailRisk på 90 sekunder

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Vil du snakke mer om hvordan bedriften din kan oppdatere interne retningslinjer for dataeksponering?

Gå til bloggen →