IT-kriminelle bliver mere og mere avancerede. Ofte ligger der omfattende research forud for, at en virksomhed bliver angrebet, og risikoen for at der er ”muldvarpe” i virksomheden kan heller ikke negligeres.
Svindel-moden ændrer sig i takt med, at teknologien giver nye muligheder. Skal man finde en trøst i det, er det, at det også er ”gentleman-tyven”, der er genoplivet. For hackere er det ikke rå muskelkraft, der tæller, men viden, dygtighed, evnen til at begå sig socialt og digitalt charmerende.
Desværre indebærer det også, i lighed med Oceans-filmene fra begyndelsen af 00’erne, hvor banden for hver film blev udvidet med et medlem, der typisk var rekrutteret fra deres offer i den forrige film, at nogle af de kriminelle er overløbere. Det er altså folk, som har opbygget deres viden i erhvervslivet.
At være proaktiv
Det er professor Colin Coulson-Thomas, der i en række sammenhænge rådgiver om it-sikkerhed, der i en artikel gør opmærksom på dette forhold. Han kommer ikke med noget bud på, hvordan man undgår netop risikoen for, at f.eks. en konsulent er en trojansk hest, men hans artikel kan hjælpe bestyrelser og direktioner med at systematisere deres arbejde for at undgå svindel. Dette er, anfører han, i reglen det bedste, de kan gøre: Er de først blevet svindlet, vil de ofte vælge at holde det hemmeligt, fordi formelle politianmeldelser dels vil svække virksomhedens troværdighed overfor kunderne, dels kan give andre svindlere viden om, at virksomheden er sårbar.
Virksomhederne er også allerede fra starten bagude på point, netop på grund af den forskel til deres modpart, som Hollywood kan romantisere over: Virksomhederne må nødvendigvis systematisere deres arbejde ud fra den målsætning, at risikoen skal reduceres til et absolut minimum. Samtidig skal de overholde lovgivningen. Det er alt sammen stift og formelt. Svindlerne, derimod, kan handle fleksibelt og opportunistisk, og de behøver langt fra have succes hver gang. Tværtimod kan de satse på, at bare en ud af 10, 100 eller 1000 går i fælden.
Ikke desto mindre er tendensen, ifølge Colin Coulson-Thomas, at svindlerne bliver mere avancerede og forbereder sig bedre. De vil have gjort et omfattende forarbejde, før de bryder ind i en virksomheds systemer, og når det lykkes dem, vil de heller ikke nødvendigvis begynde at stjæle penge, data eller informationer med det samme. I stedet vil de give sig tid til at kigge sig omkring og lægge en plan for, hvordan de kan få mest mulig indtjening med mindst mulig risiko.
Og virksomhederne har yderligere en ulempe: Sikkerhedssystemerne kommer med en pris – ikke blot i omkostninger, men også i tabt indtjening, hvis kunderne oplever, at det bliver for tungt at handle med virksomheden. Altså kan man ikke bare satse på at bringe risikoen ned på nul. Hver enkelt virksomhed må vurdere, hvor stor en risiko den vil acceptere, og altså hvor meget spillerum, den vil give svindlerne.
Det kan virksomhederne gøre
Men heldigvis har virksomhederne også deres fordele. Først og fremmest den, at svindlerne ikke kan gemme sig hele vejen igennem – før eller siden må de vise et ansigt. Det er det, vi alle i det små kender fra spam-mails, der søger at få os til at åbne filer eller indtaste oplysninger. På den måde viser der sig et mønster, som virksomhederne kan indbygge rutiner mod.
De mere originale svindelnumre er naturligvis tilsvarende sværere at gardere sig mod. Men man kan f.eks. opfordre sine medarbejdere til at læse om svindelnumre, der har ramt andre virksomheder. På den måde får de en fornemmelse af, hvad de skal holde øje med.
Virksomhederne kan også være proaktive på den måde, at de overvejer hvilke typer af angreb, de selv kan håndtere, og hvilke typer angreb de skal have hjælp til fra eksterne konsulenter. Ligeledes kan de overveje, i hvilke situationer de kan og vil involvere politiet og andre myndigheder, og dermed offentligheden.
Men først og fremmest, pointerer Colin Coulson-Thomas, skal bestyrelsen forstå, at området er dynamisk. Man skal ikke tro, at fordi man har vedtaget en handlingsplan for et halvt år siden, er alt godt og på plads. Løbende opfølgning er nødvendig.