Daglig leder Kai Roer i CLTRe. Foto: Katrine Lunke / CLTRe

Mer enn én av tre i byggenæringen biter på epostsvindel

Byggenæringen er den næringen i hele det norske arbeidslivet som er dårligst til å identifisere skadelige eposter. I arbeidslivet for øvrig blir 30 prosent lurt av epostsvindel. I byggenæringen er andelen 37 prosent.

Blant de 18.000 bedriftene globalt som benytter seg av programvareleverandør KnowBe4s tjenester for benchmarking og kursing innen datasikkerhet, lar nesten én av tre seg lure av såkalte phishing-eposter.

KnowBe4 og deres norske datterselskap CLTRe har det siste året testet brukerne sine på evnen til å motstå forsøk på svindel og dataangrep, og lanserte nylig hovedfunnene i en rapport. I denne rapporten er det spesielt én næring som skiller seg ut som den klart letteste å lure.

– Byggenæringen er dårligere enn alle andre næringer i rapporten. I praksis betyr det at folk i byggenæringen er mer tilbøyelige til å åpne vedlegg, klikke på linker og på den måten utsette arbeidsgiverne sine for større trusler, sier daglig leder i CLTRe Kai Roer til Byggeindustrien.

Alvorlig trussel

Svindel-eposter kalles ofte phishing. Gjennom phishing forsøker nettkriminelle å få folk til å gi fra seg sensitiv informasjon, og eposten utformes gjerne slik at den ser ut til å komme fra en pålitelig avsender.

– Min påstand er at alle i hele Norge blir utsatt for ulike typer angrep daglig. Heldigvis er det mye god teknologi der ute som fanger opp det meste, og mye god opplæring, men jeg har ingen tvil om at dette er en av de største sikkerhetsproblemene som verden har sett de siste årene, sier Roer.

De vanligste angrepene er såkalte direktørsvindler og løsepengeangrep. I direktørsvindelen lures ansatte med økonomifullmakter til å betale ut store summer på sjefens befaling, men alt baserer seg på lureri. Når det kommer til løsepengeangrep, såkalt randsomware, lures ansatte til å installere skadelig programvare som låser bedriftens datamaskiner.

– Det var dette som skjedde med Norsk Hydro, og det er mange eksempler de siste årene, hvor man har betalt store summer i løsepenger for å låse opp systemet, forteller Roer.

Biter på

CLTRe er et norsk selskap som siden oppstarten i 2015 har fokusert på måling av sikkerhetskultur i norsk næringsliv. Gjennom morselskapet KnowBe4s måleplattform testes brukerne på sin tilbøyelighet til å trykke på skadelige linker i epost, og tilbys dermed målrettet kursing basert på egne svakheter.

Selskapet sender ut simulerte phishing-eposter til de ansatte hos kundene sine, og ser hvem som trykker på hva, hva de åpner og hvor mye informasjon de gir fra seg.

– Vi ser rett og slett hvor dypt de svelger den kroken. Jeg ble for eksempel lurt av en slik epost nylig, for vi måler oss selv også. Jeg fikk en epost som så ut til å komme fra toppsjefens sekretær, og jeg gikk rett på. Da fikk jeg opp en rød advarsel og tilbud om opplæring på akkurat det jeg interagerte med, forteller Roer.

Hvem som helst kan altså bli lurt, men hvorfor er det akkurat byggenæringen som er dårligst i klassen?

Roer har ikke noe klart svar, men tillater seg å komme med en hypotese.

– Utgangspunktet her er at dette er en bransje som i økende grad blir automatisert. Man får stadig mer tilgang til cyberteknologi, men man kombinerer dette med mangelfull opplæring om risikoene. Folk læres opp i hvordan de bruker utstyret, men ikke i å gjenkjenne trusler, sier CLTRe-sjefen.

38 prosent i selskaper med én til 249 ansatte og 37 prosent i selskaper med 250 til 999 ansatte i byggenæringen har trykket på svindeleposter i KnowBe4 og CLTRes tester. Roer mener riktig opplæring kan få tallet ned, og viser til at blant bedrifter med ett års kursing trykker gjennomsnittlig to prosent på svindel-epost.