26. juni: Ferielukket og forsvarsløs?

Men glemte du nu alligevel noget?

Feriesæson er også de cyberkriminelles højsæson. Bemandingen på mange arbejdspladser kører på et minimum. Måske er der indkaldt nogle ferieafløsere eller vikarer til at passe driften, og ellers skiftes man til at dække hinandens opgaver.

Desværre inkluderer overdragelsen af opgaver og ansvar sjældent en gennemgang af, hvad ferien betyder for virksomhedens cybersikkerhed. Hvad skulle da være anderledes nu? Teknologien er (forhåbentlig) på plads: Firewalls, lange passwords, to-faktor-godkendelse, opdateret software osv. Så alt er, som det plejer. Det nye i ferietiden er, at mange medarbejdere har nogle alternative rutiner. De varetager andre opgaver, end de plejer, og derfor er billedet af normal-situationen ikke helt så skarpt som under den daglige drift.

Det giver de cyberkriminelle en god mulighed for at få succes med at klemme et velanbragt angreb ind. De fleste angreb starter med at udnytte menneskelige svagheder og tilbøjeligheder, som ender med en fejl, der giver hackerne adgang

Direktøren er på ferie – det er hackeren ikke
Det klassiske eksempel er CEO-fraud – en form for målrettet phishingangreb, hvor afsenderen (hackeren) udgiver sig for at være virksomhedens direktør. Hackerne ved fra de flotte billeder på Facebook, at direktøren netop nu ferierer på Gran Canaria, og de sender derfor en kæk hilsen fra ”direktøren” og gengiver nogle detaljer fra den skønne ferie for at skabe troværdighed om e-mailen. Beskeden kan så også lige indeholde en vedhæftet faktura, som akut skal betales.

Det er blot et eksempel, og svindlen kan forekomme i mange variationer over samme tema. Fakturaen kan indeholde malware. Det kan være et forsøg på faktisk at få pengene overført til hackerens konto. Eller et forsøg på at få yderligere oplysninger. Eller en kombination af det hele. 

Sagen er, at hvis ikke virksomheden har solide procedurer på plads og har sikret sig, at også de medarbejdere, der holder fortet under ferien, kender de procedurer, så er man sårbar

Det kan for eksempel være en klar procedure for, hvordan fakturaer skal håndteres og godkendes af flere personer. Det kan være en klar procedure for, hvordan direktøren kommunikerer eller ikke kommunikerer under sin ferie, så det er lettere at genkende en falsk besked. Alt dette skal kommunikeres og øves inden ferien, så alle har en skærpet opmærksomhed på truslen.

Så efterlader du ikke virksomheden forsvarsløs - og ferien bliver lige en tand bedre.

Debatindlægget blev bragt i Sjællandske Medier den 26. juni 2025.