BankID varnar för en ökning av falska sms.
5 min lästid
Artikel
Skydda företaget mot bedrägerier under semestern
Äntligen! Semestern står för dörren och snart är det dags att aktivera autosvaret, byta ut skrivbordet mot badlakanet och avnjuta morgonkaffet i lugn och ro.

Tyvärr tar inbrottstjuvar och cyberkriminella inte semester. Tvärtom. Lediga sommarveckor är mumma för både digitala och fysiska intrångsförsök, vd-bedrägerier och bolagskapningar.Se därför till att tillsammans med kollegorna gå igenom vilka rutiner, processer och regler som gäller hos just er innan ni skiljs åt för era ledigheter.

Behöver ni hjälp på vägen? Spana gärna in våra tips och rekommendationer!

Undvik sommarbedrägerierna — företagets checklista inför semestern


Se över nycklar, behörigheter och enheter

I det hybrida arbetslivet är det lätt att tappa kontrollen över såväl fysiska nycklar som digitala behörigheter till system och företagets enheter. Inför semestrarna rekommenderar vi på SSF att ni går igenom:

  • Vilka nycklar, fysiska såväl som digitala passerkort, finns till era lokaler? Vilka anställda, samarbetspartners eller leverantörer har och ska ha access? Säkerställ att ni har en övergripande lista på vilka de här personerna är, vilken roll de har och varför de har tillgång till företagets lokaler.
  • Exitrutiner: Anställda som slutat, konsultavtal som löpt ut? Se till att återkalla digitala accesser och inloggningar till företagsspecifika programvaror och verktyg. Stäng omgående mejlkonton till anställda som slutat för att minska risken för missbruk. Kräv tillbaka nycklar, mobila enheter och datorer.
  • Befintlig utrustning och förvaring under sommaren. Låt inte stöldbegärligt gods som dyra datorer,surfplattor, mobiler eller skärmar bli stående utan tillsyn under sommaren. Utöver stöldrisken finns även skäl att tänka över kylning och hårdvarans livslängd. Det är inte bara de digitala hoten ni bör ta hänsyn till. Att t.ex. lämna datorerna ståendes över sommaren i ett kokhett rum med gassande kan bli dyrt.

Antivirus och MFA

Visste du att de flesta kriser emanerar inifrån företaget? Den mänskliga faktorn är och förblir svår att fullt ut skydda sig emot. Trots tydliga regler, riktlinjer och policys kommer ni alltid att få räkna med att det dyker upp svårbedömda undantag samt att anställda delvis använder företagets enheter även till privata ärenden.

Om ni inte redan gjort det, bör ni omgående se till att installera och kontinuerligt uppdatera antivirusprogram på alla företagets datorer. Ni bör också kommunicera en tydlig policy gentemot de anställda att inga inloggningar mot företagets konton och tjänster får ske på enheter som saknar antivirusprogram.

Ett bra tips är att också rent konkret hjälpa alla anställda att aktivera tvåstegsverifiering på konton, inläggningar och programtjänster som ni använder. Tänk på att vi alla har olika kunskapsnivåer och intresse för säkerhetsfrågorna! En del av dina kollegor kanske helt enkelt har låtit bli att koppla på ytterligare säkerhetslager av rädsla för att göra fel.

Bolagskapningar

Bolagskapning är precis som en ID-kapning, men i det här fallet utgör sig bedragaren istället för att vara ditt företag. Motivet för bolagskapning är ibland ”bara” att ta lån eller beställa varor i företagets namn, men i värsta fall kan kriminella helt och hållet ta över bolaget.

Minska risken att drabbas:

  • Ladda ner bolagsverkets app och aktivera notiser. På så vis får du genast kännedom om exempelvis styrelseändringar. Genom att hålla koll på vilka ärenden Bolagsverket tar emot kan du snabbt upptäcka och agera ifall att en obehörig försöker kapa ditt företag genom att skicka in en falsk styrelse- eller adressändring.
  • Spärra funktionen att utse deklarationsombud via fysisk blankett på Skatteverkets hemsida. På så sätt minskas risken för obehöriga att registrera sig som deklarationsombud och på så sätt komma över konton och kontouppgifter.
  • Anslut företaget till en digital brevlåda. Spärra även obehörig adressändring på Skatteverkets hemsida
  • Se över företagets offentliga kanaler och vilken information som presenteras. Överväg att låta kontakten till känsliga beslutsfattare gå via företagets press- eller marknadsfunktion och publicera inte e-postadresser och telefonnummer i onödan.

Vd-bedrägerier

Vd-bedrägeriet yttrar sig typiskt sett som att en bedragare utger sig för att vara en högt uppsatt chef inom företaget. Den falske vd:n mejlar en annan person på företaget, från en mejladress som ser ut att komma från rätt person, och ber mottagaren att göra en stor överföring till ett konto.

Kännetecknande för vd-bedrägerierna är bedragaren som mejlar offret ofta uppget att det är bråttom och att överföringen ska ske till ett annat konto än i vanliga fall. För att lyckas med detta har bedragaren registrerat en liknande domänadress som den personen han försöker imitera använder, samt kartlagt vilka personer på företaget som kan hjälpa till med bedrägeriet genom att bli lurade och utföra överföringen.

Tyvärr blir de här bedrägerierna allt mer sofistikerade.

Undvik att drabbas:

  • Ha tydliga rutiner och riktlinjer för vad som gäller för företagets utbetalningar och transaktioner, framför allt om de ska ske till utlandet
  • Vid misstanke om att något är fel: kontrollring till vd och finanschef innan någon utbetalning sker
  • Upprätta rutiner som innebär möjlighet att nå beslutsfattare för extra verifiering vid betalningar över ett visst belopp. Exempelvis att betalningar över 100 000 kronor alltid ska verifieras av både finanschef och vd, alternativt en i förväg överenskommen kontaktlista.
  • Ha rutiner för att kontrollera ändrade betalningsuppgifter för samarbetspartners och leverantörer. Får ni mejl om att en leverantör bytt kontonummer, mejla då inte tillbaka till samma adress för att verifiera uppgiften. Kontrollring istället via företagets växel eller till en betrodd kontakt och verifiera uppgifterna innan ni registrerar de nya betalningsuppgifterna.
  • Var observant på avsändarens mejladress! Se till att alla medarbetare har kunskap för att kunna identifiera falska mejl. Var uppmärksam på att domänen stämmer överens med avsändarens mejladress: .se eller .com. Det förekommer att bedragare stavat namnet rätt, men att domänen är fel. På mobila enheter är det inte lika lätt att identifiera, ta för vana att bygga in ett extra kontrollager och kontrollera på dator.

Krisplanen klar

Sist men inte minst: oavsett om det är ett phishingförsök eller fysiskt inbrott som inträffar måste alla anställda veta hur de ska göra när krisen är ett faktum.

Vem ringer man om man misstänker att datorn är kapad, om man i misstag klickat upp en länk på mobilen eller noterat en obehörig i anslutning till kontoret?

Ett angrepp på företaget påverkar inte bara it - ni behöver även legala, finansiella och kommunikativa resurser för att hantera krisen. En välfungerande krisplan ska inte vara längre än max två sidor, allra helst bara en. Av krisplanen bör framgå hur ni ska agera, när, var vem och vilka som agerar och varför de behövs. Har ni etablerade krispartner, exempelvis inom säkerhet, fysiskt skydd eller kommunikation, ska kontaktuppgifterna till dem också finnas med.

Vem som helst av oss kan ha otur en stressig dag och göra fel. Säkerställ att företagets anställda vågar informera om missöden och incidenter så bygger ni en kultur som minskar risken för säkerhetsincidenter.

Berätta för dina vänner innan de blir lurade:

Var den här sidan till hjälp för dig?

Nej, inte alls
Ja, mycket