
Kortspel för bättre informationssäkerhet
Att råka ut för digitala hot och attacker mot sin affärsverksamhet kan få stora konsekvenser. För att öka förståelsen för digitala hot och risker har forskare vid Luleå tekniska universitet tagit fram ett nytt verktyg – ett kortspel.
Kortspelet vänder sig framför allt till små och medelstora företag och syftet är att hjälpa dem att skydda sig mot angrepp utifrån. Det kan till exempel handla om att någon utifrån hindrar dig att komma åt din information eller att någon obehörig ändrar i lagrad data. Det kan vara virus, dataintrång, id-kapningar eller utpressningsprogram.
– Det som händer under spelets gång är att spelarna får en slags aha-upplevelse och börjar förstå både risker och säkerhetstänk, säger Johan Lugnet, forskare i informationssystem och projektledare för projektet Cynic inom vars ram kortspelet tagits fram.
Mänskliga faktorn
Spelets fokus ligger på att koppla samman individens betydelse som den svagaste länken i säkerhetstänket. Det handlar om att få en förståelse för att tekniska skydd, som till exempel brandväggar och virusskydd, inte är nog om människor samtidigt har ett riskbeteende.
– De flesta vet att vi inte ska klicka på länken i mejlet där det står att vi fått ärva flera miljoner. Men den här typen av mejl blir allt mer sofistikerade och kan se helt korrekta ut, det blir allt svårare för mottagarna att avgöra vad som är ett hot eller en attack, säger Johan Lugnet.
Dolda hot
Allt fler företagare utsätts för it-brott. Enligt en undersökning som nyligen presenterades av Företagarna har antalet företag som blivit utsatta för it-brott ökat från 19 till 29 procent de senaste två åren. En del av problematiken ligger i att intrången inte är direkt synliga. Med inbrottslarm, skyddsglas och låsta dörrar kan du se att en fastighet är skyddad mot inbrott. Ett tekniskt skydd däremot, är inte lika bestående eftersom brottsligheten hela tiden förändras. Det krävs kunskap för att övervaka systemen som ska förhindra attacker, och när det väl händer gäller det att sätta in rätt motåtgärder.
– De vanligaste riskerna för företag är främst slarv av egna anställda eller konsulter, slarv eller misstag hos en tredje part, fel i system eller it-processer eller riktade externa attacker, säger Johan Lugnet.
– Det behövs en rejäl dos tvivel och mera sunt förnuft på individnivå – egenskaper som det faktiskt går att träna upp. Kortspelet ska inspirera och väcka intresse för informationssäkerhet. Istället för att små och medelstora företag helt och hållet överlåter informationssäkerhet till någon annan att ta hand om, blir resultatet förhoppningsvis ett ökat säkerhetstänk i vardagsarbetet.
Projektet Cynic finansieras genom ERDF INTERREG Nord 2014–2020, som stödjer gränsöverskridande samarbete för att stärka konkurrenskraften och attraktiviteten i och mellan norra Sverige, norra Finland, norra Norge och Sápmi. Projektet stöds även av Region Norrbotten och Lapin Liitto.
Tänk säkert – tips på hur du skyddar dig från IT-attacker
Säkra lösenord. Tidigare förespråkades komplexa lösenord som byts regelbundet – det har dock visat sig skapa förutsägbara mönster. Använd istället långa lösenord, minst tolv tecken, som är alfanumeriska, det vill säga som består av både bokstäver och siffror. Byt ut lösenordet först när du misstänker att det blivit stulet eller när du glömt bort det. Ta hjälp av en lösenordhanterare, då behöver du inte komma ihåg dina lösenord. Alternativt skapa en association så att du lättare kan memorera dem.
Logga ut från it-system när du är klar. Använd unika lösenord till alla dina system. Undvik att låta webbläsaren minnas dina lösenord.
Bedöm trovärdigheten. Social engineering är en kombination av teknisk kunskap och social manipulation och målet är att utnyttja människors godtrogenhet för brottsliga aktiviteter. Genom att skriva till synes trovärdiga mejl luras du att till exempel klicka på länkar. Om mejl har stavfel och dålig grammatik kan du ana ugglor i mossen, är du osäker på sanningshalten i mejlet – kontakta den påstådda källan.
Var uppdaterad. Att kontinuerligt uppdatera telefon, dator och andra plattformar och program är en bra förutsättning för att minska risken för intrång.
Uppdaterad:
Sidansvarig: Forskning