• en
  • sv
  • Intervju med Mats Isakson

    Vi ser att fler och fler kunder hör av sig gällande phishing-incidenter i sin Office 365-miljö. Därför passade vi på att ställa fem snabba frågor till Mats Isakson som är ansvarig för vårt Digital Forensiska Center.

    Vad är phishing?
    Det vanligaste är att man via ett mejl försöker få ut känslig information som man inte har rätt till. Det kan vara inloggningsuppgifter, känslig information eller kontaktuppgifter för att kunna komma djupare in i en organisation.

    Vad är det viktigaste att tänka på när min organisation har blivit utsatt för en incident?

    • Det viktigaste är att inte få panik. Sättet att hantera det kan i värsta fall göra saken värre.
    • Logga allt som ni gör.
    • Upprätta lägesbild – ta reda på vad som har hänt.
      • Identifiera hotet.
      • Vem har blivit drabbad?
      • Kan vi isolera händelsen?
      • Vilken information kan ha läckt?
    • Det är viktigt att fatta affärsmässiga beslut som är förankrade tillsammans med IT-säkerhetsfunktionen i bolaget.

    Vad kan min IT-avdelning göra för att förebygga en phishing incident?
    Det är viktigt att förstå att det är den enskilda medarbetaren som är måltavlan, vilket samtidigt innebär att den enskilda medarbetaren också är den största sårbarheten. En organisation kan ha världens bästa tekniska skydd, men om medarbetarna inte har rätt kunskap så kommer phishing attacker fortsätt vara lyckosamma. För att ändå minska risken vid de tekniska skydden rekommenderar vi:

    • Någon form av MFA – Multi Faktor Autentisering
    • Smarta antivirussystem som är bra på end point security
    • Att loggfunktioner är påslagna

    Vad kan övriga i organisationen göra?
    Det är viktigt att det finns styrdokument som efterföljs. Att kontinuerligt arbeta med utbildning och upplysning för sina anställda kring nya rutiner och angriparnas sofistikerade sätt att genomföra intrång är givetvis också att rekommendera med jämna mellanrum.

    Risken att drabbas av en IT-incident är tyvärr stor, därför är det viktigt att öva på potentiella scenarion. Det gäller inte bara IT-organisationen, utan även övriga delar av organisationen. Även eventuella partnerbolag och underleverantörer som kan tänkas bli delaktiga i en incident av det här slaget kan behöva delta. Allt för att säkerställa att man har rätt rutiner, resurser och förmåga att kunna hantera olika typer av incidenter.

    Mats, har du något övrigt att tillägga?
    Ja, misstänker man att man har blivit av med personuppgifter så måste man kontakta Datainspektionen skyndsamt, dock senast 72 timmar från upptäckt. Om man däremot har blivit av med säkerhetsskyddsklassad information så ska man skyndsamt kontakta Säkerhetspolisen.

    Det viktigaste är att ha koll på sin information, vad det är som är skyddsvärt och hur det skyddas på bästa sätt. Tyvärr är det så att många organisationer brukar missa att logga tillräckligt, vilket medför att det blir svårare, mer kostsamt och tidskrävande att få reda på vad som har hänt och vilken skada som skett vid händelse av en incident. Så se till att göra rätt redan från början!

    Mats Isakson, 2Secure.