Vores store fokus på ransomware og diffuse cybertrusler fjerner ofte opmærksomhed fra den skadelige adfærd, som kan finde sted internt i en virksomhed. Mange synes, det er svært at tale om, men teknologien til at bremse det er her allerede. Og den kan dæmme op for både de ubevidste fejl og den bevidste svindel.
Det er ikke så underligt, at det er den udefrakommende, organiserede cyberkriminalitet, som generelt får størst opmærksomhed i medierne og er det, man taler om med kollegaerne ved kaffemaskinen.
Når cyberkriminelle på den ene eller anden måde har succes med at angribe en virksomhed, er det godt forsidestof. Men selv om både de målrettede og mere tilfældige cyberangreb selvfølgelig skal mødes med den allerstørste alvor, må virksomhederne ikke stirre sig blinde på dem. De bliver også nødt til at forholde sig kritisk til det, vi kunne kalde ”elefanten i rummet”, nemlig den svindel, der finder sted inde bag organisationernes egne linjer.
Mennesker begår fejl – bevidst og ubevidst
Det er menneskeligt at fejle. Desværre er nogle ”fejl” også bevidste handlinger. Din kollega ved siden af dig kan vise sig ikke at have reelle hensigter og dermed udgøre en fare for firmaet. Du ved det ikke.
Langt de fleste har rent mel i posen, men de jævnlige sager om svindel begået af betroede medarbejdere, der udnytter en virksomheds system til at opnå fordele for sig selv, vidner om, at der er undtagelser.
Det er en problematik, der er svær at italesætte og sætte ind over for, for i Danmark er vores samarbejder i høj grad baseret på tillid, og vi tror grundlæggende det bedste om hinanden.
Vi skal ikke mistænke hinanden
Vi har tillid til hinanden på arbejdspladserne, og det skal vi selvfølgelig blive ved med at have. Et arbejdsmiljø gennemsyret af mistillid er ikke en attraktiv arbejdsplads.
Men vi skal turde tale åbent om, at risikoen for brodne kar i organisationen er til stede. Så hvad kan du som virksomhed gøre for at minimerer risikoen for, at en enkelt kollega – bevidst eller ubevidst – får bragt virksomheden i digital og ofte også økonomisk forlegenhed?
Intern svindel sker i alle brancher
I min tid som specialist i IT-sikkerhed har jeg beskæftiget mig både med efterforskning og forebyggelse af IT-kriminalitet, og jeg har oplevet flere forskellige eksempler på intern svindel.
Hændelserne fordeler sig på et bredt spænd af brancher og på alle medarbejderniveauer. Det er ikke begrænset til ”manden på gulvet”, men foregår i høj grad også i betroede stillinger.
Nogle industrier er af forskellige årsager mere årvågne over for intern IT-kriminalitet end andre, men ingen er 100 procent sikre. For intern svindel kan finde sted alle vegne, hvor der er mennesker involveret i digitale processer.
Men det er også vigtigt at understrege, at mange af de eksempler på svindel, jeg har erfaringer med, kunne være undgået, hvis de pågældende virksomheder og myndigheder havde installeret systemer til at styre og monitorere hvilke medarbejdere, der havde adgang til hvilke funktioner og hvornår.
Og hvorfor har de så ikke haft det? Det er der mange forskellige forklaringer på, og her kommer jeg med de i mine øjne vigtigste.
Når tillid bliver en sovepude
Vi har tillid til hinanden, og vi har tillid til, at ”det nok skal gå godt”. Det er ikke os, der har de brodne kar, og det er ikke os, men nabovirksomheden, som sikkert har en medarbejder, der begår ulovligheder.
Men vores tillid må ikke blive en sovepude. Det er ikke desto mindre tilfældet, når vi pludselig bliver ramt af intern svindel og må krybe til korset og erkende, at vi burde have sikret os bedre – hvilket vi måske godt var klar over i forvejen, men ikke anså som en reel risiko.
Sikkerhed tænkes sjældent ind fra starten
Jeg har alt for ofte set, at sikkerhedsaspektet ikke bliver integreret klart nok i de IT-projekter, der løbende bliver sat i søen for at drive forretningen fremad. Jeg vælger bevidst at skrive ”sat i søen” frem for ”gennemført”, for min holdning er, et IT-projekt først er komplet, når sikkerheden er med.
Når udviklerne har leveret virksomhedens nye applikation og faktureret den rette afdeling, er første fase af applikationen i produktion. Men i de forudgående specifikationer for projektet har forretningen som oftest undladt at stille krav om, at der skal indbygges IT-sikkerhedsmæssige discipliner som logning, funktionsadskillelse, brugeradministration osv.
Hvis IT-sikkerhedskrav skal implementeres i applikationen fra starten – Security by Design, som det så smukt hedder på fagsproget – vil det ofte gøre projektet dyrere og give en længere leveringstid. Det er der i sagens natur ikke særligt mange, der er interesserede i. Og i tilgift er der ofte ikke klarhed over hvilken del af organisationen, der skal løfte økonomien og de ressourcer, der skal til for at få sikkerheden integreret.
Når sikkerheden ikke er tænkt ind fra starten, opstår der interessekonflikter på et område, der er helt afgørende for virksomhedens trivsel og udvikling.
IT-sikkerhed kræver indsigt og penge
Det er tidskrævende at arbejde med IT-sikkerhed, og det er en næsten umulig opgave for en virksomhed at holde sig opdateret på de seneste udviklinger. Derfor er der som oftest brug for eksperthjælp. Du kan ikke selv fremtidssikre hele virksomheden ved at sætte dig ned og læse en guide.
Skal virksomheden bruge ressourcer på at få lavet en risikovurdering og prioritere indsatser, eller skal pengene i stedet bruges på f.eks. en opgradering af WiFi, som medarbejderne kan mærke en direkte effekt af? Ingen IT-chefer bliver klappet på skulderen, når de har gennemført en risikovurdering og igangsætter projekter, som medarbejderne måske ikke kan mærke nogen effekt af. Derimod skal den IT-ansvarlige nok få det at vide, hvis det trådløse netværk er dårligt.
Stor udskiftning af medarbejdere
Brancher med stor udskiftning af medarbejdere kan være særligt udsatte for IT-svindel, fordi der i mange tilfælde mangler systemer til at oprette, vedligeholde og slette medarbejdernes adgangstildelinger i rette tid – hvis man overhovedet får det gjort.
Problemet ses især inden for detailbranchen. På butikkens computer hænger der måske en gul seddel med et fælles login, og dermed bliver login og brugen af systemer ikke personhenførbar. Et eksempel kunne være, at en butiksmedarbejder går ind og nedjusterer prisen på nogle meget dyre varer og derefter ringer til en bekendt, der så går ind og køber varen online til en forkert, lavere pris – hvorefter butiksmedarbejderen sætter prisen op igen. Den fremgangsmåde er desværre set mange gange.
Hvis der bruges fælleslogin, er man som virksomhed dårligt stillet i en eventuel erstatningssag, da det er svært at dokumentere, hvem der var logget ind, da prisen blev rettet. Omvendt så hjælper det heller ikke, at man ansætter medarbejdere, som først har adgang til it-systemerne efter 14 dages ansættelse. Et system, der automatisk opretter, vedligeholder og sletter medarbejdere, ville kunne øge IT-sikkerheden markant og tilmed give en besparelse i forhold til den manuelle håndtering, vi desværre stadig oplever i 2024.
Vælg de rigtige løsninger
Systemer til effektiv bruger- og adgangsstyring– Identity Governance & Administration (IGA) – er en af nøglerne til at få opbygget en IT-sikkerhed, der beskytter virksomheden mod lækage og intern IT-svindel. IGA er ikke hele løsningen, men en robust forsvarslinje, fordi det begrænser brugernes adgang, så de kun kan gå ind i de systemer og oplysninger, der er relevante for deres arbejde. Og deres adgange justeres automatisk, hvis de skulle gå hen og få en anden jobfunktion i virksomheden.
En god IGA-løsning bør ikke stå alene. Der bør også være systemer, der håndterer privilegerede brugere og adgange, fx. i form af to-faktor godkendelse og tilføjelse af engangspasswords, hvor brugeren – uanset om det er en person eller en systemkonto - ikke kender det password, der åbner for adgang til systemet. Så snart brugeren er færdig med sine opgaver genererer systemet et nyt password.
Så teknologien findes. Det gør de svage sjæle også.
Vi skal være bedre til at tale åbent om de to ting i sammenhæng.