Husk IT-sikkerheden i virksomheden - igen, igen, igen …
Vi er ikke sikkerhedsguruer i Dansk Revision, men vi samarbejder med andre sikkerhedseksperter, der kan hjælpe vores kunder - og os selv.
Vi arbejder med mennesker, og vi kender til mennesker og til vaner og til den travle hverdag, hvor vi lidt for hurtigt trykker på noget, vi måske ikke skulle have trykket på.
Nogle tryk betyder mindre. Andre har irreversibile konsekvenser for dig selv eller din virksomhed …
Irreversibilitet betyder den egenskab, at processer eller hændelsesforløb ikke af sig selv kan forløbe i modsat retning. Et forkert swipe i NemId kan være en sådan egenskab, og det har to forbrugere måtte sande i en nylig afgørelse fra Det finansielle ankenævn. Det kostede dem 8.000 kroner.
Du har sikkert allerede selv prøvet at modtage en mail eller en sms, hvor du bliver bedt om at udføre en handling - eksempelvis klikke på et link. Det var det, der skete for to ofre for en skummel IT-kriminel, der under dække af en beskeden underfrankering, henvendte sig til ofrene og bad dem rette op på fejlen.
De to ofre var blevet bedt om at klikke på et link og efterbetale porto på henholdsvis 24,56 kroner og 14,91 kroner, og da det tilsyneladende var et postfirme, der henvendte sig, lød det måske meget plausibelt, hvis de nu stod og manglede et eller andet.
De godkendte hvert tilfælde en overførsel med deres NemId, og så skulle den sag jo være ude af verden, men …
De to ofre blev ikke trukket for de føromtalte 24,56 kroner og 14,91 kroner. De blev franarret henholdsvis 8.600 kroner og 13.400 kroner.
Vanens magt er den IT-kriminelles partner
Hvordan kunne det så ske?
Tænk her selv over, hvornår du sidst har læst al teksten på den NemID-pop-up-anmodning, du modtager på din NemID-App via telefonen. Har du af og til taget dig selv i ikke at have forholdt dig aktivt til, hvilken bruger, du egentlig sagde ja til, alternativt tjekket det samlede beløb fra den webshop, du godkendte anmodningen fra.
Mange formoder rent faktisk, at beløbet passer - nogle vil endda påstå, at de så det samme beløb. Den psykologiske forklaring vil vi lade ligge blot konstatere, at det ikke en en formildende omstændighed for erstatning af et eventuelt tab.
Ankenævnets afgørelse
I de to sager, vi her nævner, afgjorde Det finansielle ankenævn nemlig, at de to ofre burde have reageret på teksten i NemID-appen, hvor de netop blev gjort opmærksomme på, hvilket beløb der blev overført, og hvem modtageren var.
Det gjorde de ikke, og det var således nævnets opfattelse, at de dermed selv havde muliggjort misbruget. Dermed steg “selvrisikoen” først fra 0 og til 375 kroner (som er det beløb, der hæftes for, hvis den personlige sikkerhedsforanstaltning til betalingskortet, fx NemID-appen, er brugt) og altså endelige til 8.000 kroner (som er det beløb, du skal betale, hvis banken kan godtgøre, at den personlige sikkerhedsforanstaltning, fx din NemID-app, er brugt, og at du har opført dig så uansvarligt, at du selv har gjort misbruget muligt).
I Dansk Revision dømmer vi ikke nogen …
… fordi vi ved, hvor dygtige IT-kriminelle er, og fordi vi ved, hvor let det er at komme til at dumme sig - både i den virkelige verden og i den virtuelle.
Så vi siger det egentlig bare igen igen igen … Husk nu at tænke dig om. Lad være med at trykke på noget i affekt. Giv dig tid til overblik og spørg hellere en ven eller en kollega en gang for meget end engang for lidt.
Det er ok ikke at vide alt, og vi kan garantere dig for, at det er billigere at spørge - både for dig selv og din virksomhed.
Du kan læse mere om IT-sikkerhed i tidligere artikler.
Hackere, og andet godtfolk med hang til andres informationer, er igen ude med cyber-nettet. Denne gang går det ud over NemID og MitID.
Hacking og pishing - NemID MitID
Vidste du, at det er muligt at stjæle en andens selskab eller få stålet sit eget? Og at når det er stjålet, så kan tyven have låst det med en kode, så du ikke kan få adgang.
Det er muligt at stjæle en andens selskab