Pas på phishing – det er den mest almindelige trussel

I pressen læser og hører man ofte om ransomware, hvor virksomheder udsættes for afpresning. Det er en alvorlig form for IT-kriminalitet, som hvert år koster danske virksomheder dyrt i IT-udgifter og tabt omsætning. Ifølge en undersøgelse fra konsulentvirksomheden PWC – Cybercrime Survey 2019 – er det imidlertid ikke ransomware, men phishing, der rammer de fleste virksomheder. Hele 68 procent af virksomhederne i undersøgelsen har været udsat for phishing.

Phishing sker hele tiden – men hvad er det egentlig? Lad os tage et eksempel: En medarbejder i en virksomhed eller offentlig organisation modtager en mail, hvor medarbejderen bliver bedt om at videregive bank- og NemID-oplysninger til afsenderen. Afsenderen, dvs. forbryderne, udgiver sig for at være for eksempel en bank eller en offentlig institution. Herefter går forbryderne i gang med at tømme medarbejderens (eller virksomhedens) bankkonto.

Eksemplerne er utallige. Et af dem er fra Børne- og Undervisningsministeriet. Her blev en medarbejder sidste år franarret et beløb efter at have indtastet oplysninger fra sit tjenstlige kreditkort. I en mail havde afsenderen udgivet sig for at være fra Nets.dk og havde bedt om kortoplysningerne. Medarbejderen opdagede heldigvis sin fejl, og kortet blev hurtigt spærret, så svindlerne nåede kun at trække 9000 kroner. Men tit og ofte går det desværre meget værre.

Går efter små virksomheder

Svindel af denne type, hvor medarbejdere eller privatpersoner franarres bankoplysninger – herunder NemID-koder – er et af de største sikkerhedsproblemer på mange arbejdspladser lige nu.

Hvert år spørger konsulentvirksomheden PWC over 300 danske virksomhedsledere om it-sikkerhed. Her er phishing kommet ind på en klar førsteplads tre år i træk. I 2019 angav hele 68 procent, at deres virksomhed havde oplevet et phishing-angreb inden for de seneste 12 måneder.

Men når nu phishing er så udbredt, skulle man tro, at organisationer og virksomheder var godt forberedt på denne trussel. Men sådan er det desværre ikke. Især er der manglende fokus på IT-sikkerheden i små og mellemstore virksomheder.

Ifølge PWC-rapporten havde virksomhederne i 2019 et gennemsnitligt sikkerhedsbudget på 700.000 kroner. Det lyder måske ikke så galt, men det, som nok kan ryste en garvet sikkerhedsmand er, at virksomhederne havde planlagt at reducere beløbet til 550.000 kr. i 2020.

Få lagt en sikkerhedspolitik

At det især er de små og mellemstore virksomheder på markedet som de IT-kriminelle er interesseret i, skyldes, at halvdelen af denne type virksomheder ikke har brugt penge på at beskytte sig. De ligger så at sige, som de har redt.

Sikkerhed er et ledelsesanliggende, ikke kun noget for IT-folk. Og virksomhederne bliver nødt til at investere og sikre sig, ellers kan det ende med et selvmål, som i sidste ende kan vælte en hel virksomhed.

Tag fat i kompetente sikkerhedsfolk med den rette faglige indsigt, så der bliver lagt en IT-sikkerhedspolitik for hele organisationen og dernæst taget nogle konkrete skridt, som kan forhindre, at IT-forbryderne har let spil. Så sikrer du både din virksomhed og dine medarbejdere.