Experiment – Varför du helst inte borde ha satt i det här USB-minnet
Skulle ni idag - med ransomware och ATP:er - beskriva ert företag som säkert och oantastligt?
Som de flesta regelbundna läsare av den här bloggen vet handlar cirka 80 % av vår dagliga verksamhet om säkerhet. Med Avanet satsade vi från början på säkerhetslösningarna från Sophos, och vi har aldrig ångrat det beslutet. Vi tycker att det är roligt att hjälpa kunder som bryr sig om sitt företags säkerhet och som, precis som vi, är övertygade om produkterna från Sophos.
Inför en marknadsföringskampanj i november 2016 valde vi däremot medvetet raka motsatsen till vår vanliga målgrupp. Vi försökte övertyga vd:ar om säkerhet som antingen aldrig hade funderat på frågan eller var övertygade om att den befintliga lösningen gav tillräckligt skydd. Vi lämnade dessutom vår vanliga marknadsföringskanal - onlinemarknadsföring - helt åt sidan. Vad blev resultatet? Tyvärr inget upplyftande, och därför bestämde vi oss för att dela våra erfarenheter med er. Kampanjen visade på ett skrämmande tydligt sätt att det behövs betydligt mer upplysning inom området ”säkerhet i företaget” och att man med mycket enkla medel, utan större problem, skulle kunna ta sig in i ett företags nätverk. Hela berättelsen kommer här.
Bakgrund
När vi av rent intresse pratar med potentiella kunder och lite diskret frågar hur det ser ut med deras it-säkerhet, får vi i princip alltid samma svar:
”Vi är tillräckligt skyddade och något sådant kan inte hända oss. Vårt företag är alldeles för litet och ointressant för en hacker.”
Faktum är att det sedan länge inte handlar om den där lilla hackern i källaren som bara siktar in sig på stora företag. Historien med krypteringstrojaner visar tydligt att alla som har en dator, internet och e‑post är ett potentiellt mål. När vi sedan påpekar riskerna med e‑postbilagor är vd:arna helt säkra på att deras medarbetare är försiktiga och absolut inte skulle göra något oöverlagt. Vad ska man säga, förutom: ”Får vi testa det här en gång?” Det är uppenbart att ingen vill ge sitt samtycke till det, och därför ställde vi oss inför vår nya marknadsföringskampanj följande fråga:
”Hur övertygar man en potentiell kund om it-säkerhet som aldrig funderat på det tidigare eller som är övertygad om att han är tillräckligt skyddad?”
Vår marknadsföringsidé och hur vi genomförde den
Vid planeringen av kampanjen var en sak särskilt viktig för oss. Vi ville vara ”de goda” och vår åtgärd skulle bidra till att öka medvetenheten om dagens hot. För att vara så effektiva som möjligt behövdes också en dos kallsvett, så att tanken ”jag är ju säker och inget kan hända mig” kunde skingras.
Vi lät därför leverera 100 USB‑minnen och kopierade ett HTML‑dokument med följande innehåll på varje:
Här vill jag än en gång betona att det faktiskt bara fanns en harmlös HTML‑fil på minnet. Som sagt var det aldrig vår avsikt att skada något företag. USB‑minnet lade vi sedan i ett kuvert tillsammans med en Post‑it‑lapp med texten:
”Som avtalat, projektdata. Hälsningar & tack”
Brevet var bara märkt med mottagarens adress. Avsändare utelämnade vi medvetet, för att trigga människors nyfikenhet och därmed öka sannolikheten att USB‑minnet skulle stoppas in.
Nu har jag tre frågor till er:
- Vad hade ni gjort om ett sådant brev hamnat i er brevlåda?
- Hur hade era medarbetare agerat?
- Vad tror ni, hur många gånger blev USB‑minnet faktiskt inkopplat?
Arga människor, hot och polis
Vi var fullt medvetna om att den här åtgärden var ganska fräck. Skulle folk förstå våra ”goda avsikter” och vara tacksamma över att de den här gången klarade sig relativt oskadda?
Svaret var ett tydligt ”NEJ”. Det stod klart tre dagar senare, när vi ringde upp mottagarna och frågade om USB‑minnet. Av cirka 80 personer som vi nådde skulle jag säga att ungefär 5 förstod poängen och till och med berömde oss för en originell marknadsföringsaktion.
Resten var arga, såg oss som fienden och hotade med rättsliga åtgärder. Två av våra USB‑minnen hamnade till och med hos polisen.
65 % inkopplingsgrad
Låt oss för ett ögonblick lägga känslorna åt sidan och fokusera på effekten av vår kampanj. Det skrämmande var att 65 % av alla personer som vi nådde per telefon hade kopplat in USB‑minnet på företaget. Om man utgår från att inte alla erkände att de faktiskt hade gjort det, är den verkliga siffran sannolikt ännu högre.
Det innebär alltså att minst 52 personer äventyrade säkerheten i sitt företag genom att ansluta ett USB‑minne utan att veta vem det kom ifrån eller vilka filer som fanns på det.
Slutsats
Även om vi naturligtvis kan förstå de upprörda reaktionerna anser vi att det egna egot inte har någon plats här. Man borde inse att man i den här situationen var sårbar inför ett dumt, enkelt USB‑minne och blev träffad av en metod från 1990‑talet. Vid en sådan attack hadd inte ens världens bästa brandvägg kunnat göra något, eftersom minnet i praktiken smugglades förbi säkerhetskontrollen. Människan var i slutändan den största risken här, för utan henne hadd USB‑minnet aldrig nått nätverket. Att utbilda personalen ordentligt och tydligt påpeka den här typen av hot är en viktig del av er it‑säkerhet.
Vår marknadsföringsaktion visade att det på varje klient i ett företag måste finnas ett endpointskydd installerat. Bara ett bra endpointskydd som arbetar beteendebaserat och inte enbart förlitar sig på signaturer är i dag måttstocken för ett modernt skydd. Den som letar efter en sådan produkt hos Sophos hamnar förr eller senare här: Sophos Central. Som grundutrustning rekommenderar vi alltid dream teamet Sophos Central Endpoint + Intercept X. Om ni vill följa vår rekommendation kan ni direkt köpa Sophos Central Intercept X Advanced, där båda produkterna ingår.
Även om vi inte fick några nya uppdrag genom den här kampanjen var den enligt vår mening ändå inte helt förgäves. Vi är övertygade om att den här åtgärden har gjort att några personer nästa gång agerar mer försiktigt och tvekar innan de stoppar in ett USB‑minne i sin dator.
