Din personlig cybersäkerhet
Agenda 1. Varför är befattningshavare så attraktiva mål för hotaktörer? 2. Det digitala hotlandskapet 3. Hur kan organisationer arbeta med personlig cybersäkerhet? 4. Tips, tricks och rekommendationer
Varför är befattningshavare så attraktiva mål? Styrelser, ledningsgruppsmedlemmar och andra nyckelindivider är väldigt attraktiva målval för hotaktörer p.g.a. informationen de hanterar. Tänk på följande: Tillgång till känslig data Suddig gräns mellan arbete och kontor Internationella resor Tidspress Omfattande nätverk Mandat att fatta beslut Delegerad åtkomst Blandad IT-säkerhetsmognad 3
Det digitala hotlandskapet För hemligheterna För ändamålet Spionage Hacktivism INSIDERS Terrorism / Sabotage Organiserad brottslighet För skadan För pengarna 4
Hur kan organisationer arbeta med personlig cybersäkerhet? För all personal Syfte Awareness Training Att öka medarbetarnas kunskaper om informationssäkerhet och därigenom minska risken att medarbetarnas digitala beteende överför risker till organisationen. Genomförande Utbildning genomförs antingen virtuellt eller i föreläsningsformat. Bör även inkluderas i introduktionsutbildning. Syfte Phishing Training Ökad medvetenhet i syfte att minimera risken att medarbetare klickar på skadliga länkar eller ger ifrån sig känslig information. Genomförande Över längre tid skickas phishing epost till slumpmässiga medarbetare. Eposten är utformade efter vi ser i våra incidentutredningar. Om en medarbetare klickar på en felaktig länk får man en mikroutbildning som förklarar vilka Leverabler Alla medarbetare får en gemensam bild och förståelse för informationssäkerhet och digitalt beteende. Höjd lägstanivå. Leverabler Då en medarbetare faller för ett phishingförsök så öppnas en kort mikroutbildning som förklarar vilka indikatorer som fanns kring eposten. Statistik levereras månadsvis som visar på click-rates och hur ökad medvetenhet (förhoppningsvis) minskar organisationens risker. 5
Hur kan organisationer arbeta med dessa frågor? Styrelse, ledningsgrupp samt nyckelindivider Syfte Executive Digital Footprint Identifiera potentiella sårbarheter som skulle kunna utnyttjas av en hotaktör och stöd att minimera individens riskexponering. Genomförande En hotanalytiker genomför en djupgående inhämtningsprocess där vi nyttjar informationskällor som finns tillgängliga för potentiella hotaktörar. Informationen analyseras ur ett angriparperspektiv för att identifiera digitala sårbarheter. Leverabler En skräddarsydd rapport som beskriver identifierade sårbarheter eller risker som kan skada individen eller de företag där denne är aktiv. Exempel på hur olika attacker skulle kunna ske, potentiella konsekvenser av dessa attacker, samt konkreta rekommendationer på hur dessa risker kan minimeras. Syfte Game of Threats Game of Threats är ett digitalt spel som är utvecklat för att stimulera och skapa bästa möjliga upplevelse av effekten av cyberrelaterande incidenter, kriser eller attacker. Genom Game of Threats får deltagare på kort tid en ökad förståelse för riskerna och vilka verktyg som krävs för att hantera cyberrelaterade hot. Genomförande Deltagarna spelar under ledning av PwC:s cybersäkerhetsspecialister, och ni får direkt feedback på val av strategi och beslutsfattande. Spelmiljön är utvecklad för att spaka en realistisk upplevelse där båda sidor tvingas ta snabba och avgörande beslut med minimal information. Leverabler Kunskap om er nuvarande förmåga att hantera en cyberattack Förståelse för effekten av återhämtningen efter en cyberattack Förståelse för hur ni kan motverka en cyberattack Kunskap i terminologi och trender inom cybersäkerhet 6
Daniels checklista för att arbeta med din personliga cybersäkerhet alltid Var försiktig och medveten om du använder publika och/eller oskyddade trådlösa nätverk. Nyttja isf en VPN. Se upp med misstänksam e-post, bifogade filer och länkar som kommer oväntat. Använd starka och unika lösenord nyttja en lösenordshanterare. Installera uppdateringar. Håll alltid programvara och operativsystem uppdaterade. Stäng av Bluetooth på dina enheter när du inte använder det. https://haveibeenpwned.com/ hemma Använd olika e-postadresser för olika syften. Spärra obehörig adressändring hos Skatteverket. Använd tvåfaktorsautentisering när det finns tillgängligt (e-post, icloud, sociala medier, etc.) Se över dina privacy inställningar på sociala medier (och stäng av platstjänster) Behöver dina kontaktuppgifter finnas på Hitta och Eniro? Om inte så kan dessa tas bort. Ge inte personlig information när du registrerar användarkonton om inte detta är absolut nödvändigt. på arbetet Kryptera känslig information som skickas via e-post. Använd endast externa hårddiskar och USB-stickor som tillfällig lagring, och kryptera alltid denna informationen. Undvik att använda personliga konton (epost, molnlagring) för arbetsrelaterad information. Var medveten om de vanligaste bedrägerierna och intrångsteknikerna så du kan känna igen tecknen och skydda dig. 7
Daniel Erlandsson daniel.erlandsson@pwc.com This publication or presentation has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication/presentation without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, Öhrlings PricewaterhouseCoopers AB, PricewaterhouseCoopers AB, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication/presentation or for any decision based on it. 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, PwC refers to Öhrlings PricewaterhouseCoopers AB or PricewaterhouseCoopers AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. 8