Af Eskil Sørensen, 28/09/22
DKCERT har i trendrapporten for 2022 beskrevet de tre typer af medarbejdere, der bevidst eller ubevidst forårsager kompromittering informationssikkerhed i en organisation: Den ubevidste, den uagtsomme og den uvederhæftige medarbejder.
Den ubevidste
Den klassiske ubevidste medarbejder er den person, som på grund af fx uklare, manglende sikkerhedspolitikker eller manglende uddannelse ubevidst bryder organisationens sikkerhedspolitikker. Denne medarbejder kan eksempelvis sætte et ukendt og derfor usikkert USB-stik ind i sin arbejdscomputer eller blive narret til at oplyse adgangskoder eller andre følsomme oplysninger over telefon eller e-mail til personer, som hævder at tilhøre fx organisationens it-afdeling. Eller forlægge eller miste medier med følsomme eller fortrolige oplysninger på, afsende åbne mails med følsomme oplysninger eller gennemføre pengeoverførsel ifm. business email compromise.
Den uagtsomme
En anden type medarbejderfejl er forårsaget af uagtsomhed; denne person kan kaldes den uagtsomme medarbejder, der bevidst undlader at efterleve organisationens retningslinjer for informationssikkerhed. Det kan skyldes at reglerne umuliggør udførelsen af deres arbejde eller på anden måde gør det besværligt.
Den uvederhæftige
Den uvederhæftige medarbejder – det der også kaldes insideren – kan udføre handlinger, der kan have betydelig skade på en organisation, og han/hun vil ofte have held med sit forehavende. Det kan skyldes, at sikkerhedsmekanismerne ikke altid beskytter mod en insider, fordi legitime it-adgange kan misbruges til fx læk af information. Skadevirkende adfærd kan til en vis grad begrænses med funktionsadskillelse, bruger/rettighedsstyring og logs.
Der er set eksempler på, at cyberkriminelle grup per systematisk har arbejdet med rekruttering af insidere mod betaling eller ved afpresning.
Læs evt. trendrapportens afsnit om menneskelige fejl insidertruslen i trusselsvurderingen for 2022
Links:
https://cert.dk/sites/default/files/uploads/PDF/DKCERT_Trendrapport_2022_END.pdf