DEBATT | Martin Kramer, Knowbe4
Dårlige passord er skyld i altødeleggende hackerangrep
Korte passord og for mange gjentakelser er snadder for de cyberkriminelle. Dårlige vaner og hukommelse er den største gaven når de digitale kriminelle går til angrep på virksomheter og privatpersoner.
Hvis du i tide og utide kommer i tvil om hvilket passord du skal taste inn, så la meg være den første til å rose deg. Selvfølgelig er det bra hvis du enkelt og uten problemer kan logge inn på dine sosiale medier, nettbanken din og favoritt nettbutikk, uten å tvinge de små grå til å slå saltoer over hjernebarken.
Hadde du i stedet fortalt meg at du har utrolig lett for å huske adgangskodene dine, fordi du bruker den samme om igjen og om igjen, ja, da ville uttrykket i ansiktet mitt se helt annerledes ut. Og hvis du til og med bruker HeiPåDeg1234!, Passord1234! eller 1234Nykode!, så må du for alt i verden lese videre nå.
Se for deg at koden til kredittkortet ditt eller telefonen din var 1234 eller 0000. Ville du da ikke være bekymret hvis en slu slyngel i køen på supermarkedet hadde hatt fingrene nedi vesken eller baklommen din, og knabbet verdigjenstandene dine? Det burde du være.
Mer enn flaks
Korte koder fører til katastrofale konsekvenser. Adgangskoder er første linje i våre digitale forsvarsverk. Når de først er kompromittert, skal det mer enn flaks til for å stanse katastrofen fra å utvikle seg med eksplosiv hastighet. En ny undersøkelse gjennomført av KnowBe4 avslører at dårlige passordvaner stadig utgjør en betydelig trussel mot både privatpersoner og virksomheter.
Dessverre vet mange ikke hva en multifaktor-godkjennelse er, og derfor tar de naturligvis ikke denne – mange steder påkrevde – sikkerhetsforanstaltningen i bruk.
Rapporten viser at en betydelig andel bruker korte passord – fordi de ikke klarer å huske dem hvis de blir for lange. Dessverre er ikke lange passord i seg selv løsningen – fordi en del av de som må la fingrene danse bortover tastaturet for å få tilgang til sine digitale kontoer, bruker den samme koden på tvers av alle sine profiler og kontoer. Dette tilsvarer med andre ord å lage en universalnøkkel som i feil hender kan gi dem uforstyrret tilgang til alle dine data.
Her kunne et lite plaster på såret vært bruken av multifaktor godkjennelse. Dessverre vet mange ikke hva en multifaktor-godkjennelse er, og derfor tar de naturligvis ikke denne – mange steder påkrevde – sikkerhetsforanstaltningen i bruk, likeledes vet mange heller ikke hva en passordadministrator egentlig er.
Bekvemmelighet
De aller fleste velger bort en effektiv sikkerhetsforanstaltning. Ifølge rapporten velger mange de korte og enkle passordene av ren og skjær bekvemmelighet og for å lettere kunne huske dem – noe en passordadministrator ville kunne være behjelpelig med.
Mange forstår ikke behovet for sterke passord eller konsekvensene av gjenbruk. Derfor bør virksomheter spille en sentral rolle i å endre dette gjennom opplæring og trening, slik at det blir langt vanskeligere for de cyberkriminelle å oppnå suksess med sine angrep.
Både virksomheter og private er sårbare overfor ransomware-angrep, datalekkasjer, identitetstyveri og økonomiske tap. Og selv om det it-sikkerhetsmessige sjakkspillet utvikler seg sekund for sekund og bit for bit, er det ikke for sent å forbedre og optimalisere de digitale forsvarsverkene.
Ta de ansatte i hånden og gjør livet surt for hackerne. For å ta cybersikkerheten på alvor, kreves det handling både på individuelt og organisatorisk nivå med stort fokus på håndtering av menneskerelaterte risikoer. Det er avgjørende at man slutter med å gjenbruke passord, og begynner med å bruke unike adgangskoder til hver enkelt tjeneste. Hvis man til og med omfavner mulighetene for å bruke en passordadministrator, gjør man både prosessen enklere, sikrere og raskere, samtidig med at du reduserer risikoen for menneskelige feil i administrasjonen av passord.
For å ta cybersikkerheten på alvor, kreves det handling både på individuelt og organisatorisk nivå med stort fokus på håndtering av menneskerelaterte risikoer.
Samtidig bør virksomheter ta ansvar ved å implementere klare passordregler som krever unike og komplekse passord, og innse at menneskelig adferd er en kritisk faktor i cybersikkerhet. Med en obligatorisk multifaktor godkjennelse for hver enkelt plattform styrkes sikkerheten ytterligere.
Dette bør suppleres med en omfattende strategi for menneskelig risikostyring, inklusive regelmessige risikovurderinger, adferdsanalyser og målrettede intervensjoner for å imøtegå potensielle sårbarheter forårsaket av medarbeidernes handlinger. Denne tilnærmingen stemmer overens med det økte fokuset på grunnsteinen i organisatorisk it-sikkerhet – nemlig medarbeiderutdannelse og trening, som bør skreddersys for å adressere spesifikke menneskelige risikofaktorer identifisert i organisasjonen.
Viktig med utdanning
Sikkerhetsbevissthet starter med den enkelte medarbeider. Det er viktig å erkjenne at menneskelige handlinger, uansett om de er bevisste eller utilsiktete, kan skape sårbarheter som cyberkriminelle utnytter. Derfor bør organisasjoner implementere kontinuerlige programmer som ikke bare utdanner medarbeiderne, men også overvåker, måler og reduserer risikoene forbundet med menneskelig adferd i en cybersikkerhetskontekst.
Et opplagt sted å starte er ved å understreke viktigheten av gode adgangskoder og fremme en kultur med sikkerhetsbevissthet. Akkurat som nøkkelkort, adgangsmerker og QR-koder på personalets ID-kort bør håndteres og oppbevares med den største omhu, bør vi også være forsiktige med adgangskodene våre. For cyberkriminelle bryter seg ikke inn i avlåste lokaler i arbeidstiden. De opererer i mørket, når datamaskinen er klappet sammen, og skrivebordslampen på kontoret er slukket.
