Små virksomheder og foreninger er lette ofre
Både frivillige foreninger, solo-selvstændige og mindre virksomheder er i stigende grad kommet i de IT-kriminelles søgelys. Det er fordi små virksomheder og foreninger er lette ofre. Formålet med indlægget, sådan undgår du at blive svindlet, er at give dig ideer til, hvordan du kan arbejde mere bevidst med din IT-sikkerhedskultur.
Det er nemlig gået op for svindlerne, at disse potentielle ofre er lette at skræmme og overbevise om, at “nogen” er ved at tømme foreningens konto for penge. Flere idrætsforeninger blev ofre for svindel i det forgangne år med milliontab til følge.
En anden form for svindel er CEO-fraud – eller direktørsvindel – hvor en person har sat en mailkonto op, så den ligner direktørens eller en anden topleders mail. Når en intetanende kasserer eller regnskabsmedarbejder så får besked på lige hurtigt at overføre et beløb til en konto, så er der desværre nogen, der bliver lokket i fælden.
Det kan specielt ske i ferieperioder, hvor de ledende medarbejdere ikke er til stede, og har proklameret på LinkedIN eller andre sociale medier, at de glæder sig til ferien efter et fantastisk forår med stor omsætning i firmaet. Det er nærmest en stående invitation for de IT-kriminelle.
Men med simple foranstaltninger undgår du at blive svindlet.
Den IT-kriminelle er en doven hund
Hvad kan du så gøre som forening, solo-selvstændig eller mindre virksomhed, så du undgår at blive svindlet?
Det første du skal gøre er at indse, at der er IT-kriminelle nok til os alle sammen.
IT-svindel er en “branche” i vækst, og der “omsættes” for milliarder af kroner på verdensplan hver eneste måned.
For det andet skal du arbejde bevidst med at forbedre IT-sikkerhedskulturen i din forening eller virksomhed, så du undgår at blive svindlet. Også selvom du er solo-selvstændig, driver en mindre virksomhed eller er forperson for en forening.
Låser du din hoveddør, når du tager hjemmefra om morgenen? Formentlig.
Bruger du et bøvlet password og to-faktorlogin i dine IT-systemer, når det er muligt? Hvis ikke, så er sandsynligheden større for, at det bliver dig, der bliver offeret næste gang. Måske. Måske ikke. Men hvis du låser din hoveddør, hvorfor lader du så døren til dine IT-systemer stå pivåben?
Den forbryder der kommer forbi, vil hellere gå ind ad en uløst dør end bruge tid på at bryde ind. Kort sagt, så er den IT-kriminelle en doven hund. Han vælger de lette ofre.
Sådan undgår du at blive svindlet: Det kan du gøre
Der findes en såkaldt standard for informationssikkerhed, som indeholder en lang række foranstaltninger, der kan øge din IT- og Informationssikkerhed. Den hedder IEC/ISO ISO27001.
Funktionsadskillelse – A.5.3
Foranstaltning A.5.3 i ISO 27001 hedder Funktionsadskillelse. Et eksempel på funktionsadskillelse er, at den samme person ikke både kan godkende og udbetale større pengebeløb fra virksomheden eller foreningen, som det for eksempel var tilfældet i Britta Nielsen-sagen.
Når så regnskabsmedarbejderen får en mail “direktøren” om at overføre et større beløb, så skal medarbejderen have bemyndigelse fra en anden ledende medarbejder i virksomheden.
Samme foranstaltning kan indføres i den frivillige forening, hvor pengeoverførsler ikke både kan godkendes og udføres af kassereren, men skal godkendes af forpersonen eller et andet medlem af bestyrelsen i foreningen. Alternativt kan man beslutte og aftale med pengeinstituttet, at større overførsler foretages af banken.
I små organisationer kan det være vanskeligt at gennemføre funktionsadskillelse, og i så fald foranstaltninger overvejes. Det kan f.eks. være indlagte pauser med tilsyn og kontrol eller en “ring tilbage” eller call-back procedure, som nævnt nedenfor.
Det er desuden en god idé at lave en konkret procedurebeskrivelse for sådanne arbejdsgange, så alle ved, hvordan man skal forholde sig.
ISO 27001 er meget mere end dette, så læs gerne mere her.
Call-back procedure
En anden foranstaltning du kan indføre, så du undgår at blive svindlet, er at indføre en “call-back” procedure. Som det fremgik af linket om foreningen, der blev svindlet ovenfor, så ringer de IT-kriminelle ofte direkte til den pligtopfyldende kasserer, og udgiver sig for at være fra banken eller sågar fra Politiet.
Hverken din bank eller Politiet vil ringe til dig, og bede dig om at overføre penge!
Hvis du bliver ringet op, og bliver udsat for afpresning, og nu skal du gøre noget, ellers går det galt, så skal du frem for alt bevare roen, og ikke lade dig styre af frygt. Forklar personen i den anden ende, at du ikke har bemyndigelse til at gøre det, du bliver bedt om. Hvis personen (helt sikkert) bliver ved at presse på, så sig, at du er nødt til at få bemyndigelse først, og at du så kan ringe tilbage.
Det gør du selvfølgelig ikke!
I stedet ringer du til dit pengeinstitut for at få bekræftet, at overførslen er berettiget eller at den påståede svindlen er i gang. Og dernæst ringer du til Politiet, og anmelder sagen, så du undgår at blive svindlet.
Mit bud er, at du ikke hører fra denne svindler igen, fordi det viste sig, at det ikke lod sig gøre uden videre. Du havde med andre sat en ekstra lås på din IT-sikkerhedsdør. Sådan undgår du at blive svindlet!
Også for denne foranstaltning er det en god idé at lave en skriftlig procedurebeskrivelse, som hurtigt kan findes frem, så man har noget at holde sig til, hvis en sådan opringning skulle komme.
Følg med i Fredagsfinten
Hver fredag kan du starte dagen med at forbedre din GDPR-efterlevelse, din IT- og Informationssikkerhed eller den sikkerhedskultur, du gerne vil have skal understøtte jeres daglige arbejde din virksomhed, forening eller organisation.
Fredagsfinten er enkle tips og tricks, som du kan implementere med minimal indsats, men med stor virkning. God arbejdslyst!