Cybersäkerhetsföretaget Proofpoint har nyligen släppt den tionde upplagan av sin årliga State of the Phish-rapport som kartlägger hur cyberkriminella använder såväl nya som beprövade taktiker i sina attacker. Årets upplaga av rapporten visar att svenska företag ligger i den absoluta toppen när det handlar om att bli utsatta för olika typer av hot – och att två tredjedelar av svenska anställda (66 procent) inte förstår sin roll och sitt ansvar när det handlar om den egna organisationens cybersäkerhet.
Om man tittar på de enskilda typerna av hot som omfattas av undersökningen framkommer det att svenska företag oftare drabbas av e-postbaserade ransomware-attacker (92 procent) och är mer utsatta för riktade nätfiskeattacker mot enskilda medarbetare (90 procent) än de flesta av de 14 andra undersökta länderna. Rapporten visar även att svenska organisationer är mest utsatta för såväl BEC-attacker (Business Email Compromise, 92 procent) och supply chain-attacker (88 procent) som så kallade TOAD-attacker – som kommer antingen i form av röstsamtal eller textmeddelanden till nyckelpersoners mobiltelefoner (84 procent).
– Cyberkriminella vet att människor är enkla att utnyttja, antingen på grund av att de försummar säkerheten, har fått sin identitet stulen eller – i en del fall – att de faktiskt har ett illvilligt motiv, säger Ryan Kalember, Chief Security Officer på Proofpoint, i ett pressmeddelande.
– Den enskilda individen spelar en central roll i organisationens övergripande cybersäkerhetsskydd, inte minst sett till att 74 procent av alla intrång bygger på någon form av mänsklig komponent. Årets undersökning visar att det är viktigt att bygga en säkerhetskultur, men att cybersäkerhetsutbildningar inte är den självklara lösningen. Att veta vad man bör göra och att göra det man bör är två helt olika saker. Utmaningen är inte bara att öka medvetenheten, utan att förändra beteendet.
Sverige ligger inte bara i topp när det gäller hur utsatta företagen är för olika typer av hot, medarbetarna är också bland de sämsta när det gäller sådant som att återanvända eller dela lösenord, klicka på okända länkar eller lämna ifrån sig sina inloggningsuppgifter. 82 procent av de tillfrågade uppger att de utför riskabla handlingar och 94 procent av dem uppger att de är medvetna om riskerna det medför, vilket innebär att 77 procent av dem medvetet underminerar organisationens cybersäkerhetsarbete.
– Det kan vara så att många organisationer sätter för stor tilltro till cybersäkerhetsutbildningars effektivitet. Resultaten av undersökningen visar att svenska företag är hårt ansatta av olika former av attacker, och att det ofta är enskilda medarbetare som utsätts, säger Michael Järpenge, teknisk cybersäkerhetsexpert på Proofpoint i Sverige.
– Vi ser att det är många organisationer som håller på att anpassa sitt säkerhetsarbete efter hur den faktiska hotbilden ser ut och vilka risker som är störst – och en stor del av det handlar om att utgå från hur man bäst täpper till, eller patchar, de ”mänskliga säkerhetsluckorna”.
Årets State of the Phish-rapport ger en djupgående analys av det nuvarande hotlandskapet där teknologier som generativ AI, QR-koder och flerfaktorsautentisering (MFA) utnyttjas av cyberbrottslingar. Rapporten bygger på telemetri från Proofpoints infrastruktur och analyser av fler än 2,8 biljoner scannade mejl från 230 000 organisationer och på resultaten av 183 miljoner simulerade phishingattacker under en 12-månadersperiod. Rapporten innehåller också resultaten av en intervjuundersökning med 7 500 anställda och 1 050 cybersäkerhetsexperter från 15 länder.
Några av de viktigaste punkterna för Sverige i Proofpoints 2024 State of the Phish:
- Ransomware är fortsatt lukrativt: 92 procent av svenska organisationer var måltavlor för e-postbaserade ransomware-attacker (upp från 90 procent förra året). Av dem rapporterade 66 procent att de drabbat av en framgångsrik ransomware-infektion under det gångna året (ned från 82 procent året innan). Oroväckande nog uppgav hela 63 procent av de svenska säkerhetsexperterna att deras organisation drabbats av flera, separata ransomware-infektioner. Av de svenska organisationer som drabbades av ransomware gick 60 procent med på att betala angriparna (en minskning från 80 procent år 2022), och endast 21 procent fick faktiskt tillbaka åtkomst till sina data efter en enda betalning (en minskning från 52 procent för ett år sedan).
- MFA fortsätter att ge en falsk känsla av säkerhet och lämnar företag utsatta: Varje månad genomförs över en miljon attacker med MFA-bypass-ramverket EvilProxy, men oroväckande nog svarar 84 procent av de svenska säkerhetsexperterna i undersökningen fortfarande att MFA ger ett fullständigt skydd mot kontoövertagande.
- Anställda vidtar inte riskfyllda åtgärder för att de saknar säkerhetsmedvetande: 82 procent av tillfrågade vuxna anställda medgav att de vidtagit riskfyllda åtgärder, som att återanvända eller dela lösenord, klicka på länkar från okända avsändare eller lämna ut sina uppgifter till en opålitlig källa. 94 procent av dem gjorde det med vetskap om de inneboende riskerna, vilket innebär att 77 procent av svenska medarbetare frivilligt underminerade sin organisations säkerhetsarbete. Motiven bakom varierar, och de flesta anställda anger bekvämlighet (37 procent), att de vill spara tid (46 procent) eller att de känner sig stressade (22 procent) som sina främsta skäl.
- Glapp mellan IT-avdelning och anställda försvårar verklig beteendeförändring: Så många som 84 procent av de tillfrågade säkerhetsexperterna säger att en majoritet av de anställda vet att de är ansvariga för säkerheten, men bara 66 procent av de tillfrågade anställda var antingen inte säkra på deras ansvar eller hävdade att de inte alls var ansvariga.
- Praktiskt taget alla medarbetare som vidtog en riskfylld åtgärd uppger att de känner till de inneboende riskerna (94 procent) och det är en tydlig indikation på att säkerhetsutbildning fungerar för att öka medarbetarnas medvetenhet. Men det finns tydliga skillnader mellan vad säkerhetsexperterna och medarbetarna ser som är effektivt för att uppmuntra till verklig beteendeförändring. Säkerhetsexperter anser att mer utbildning (78 procent) och strängare kontroller (67 procent) är lösningen, men nästan alla tillfrågade medarbetare (93 procent) säger att de skulle prioritera säkerheten om det blev enklare och mer användarvänligt att göra det.
- BEC-attacker (Business Email Compromise) drar nytta av AI: I Sverige har 92 procent av organisationerna varit utsatta för BEC-attacker under 2023 (samma andel som 2022). Totalt sett rapporterade färre organisationer försök till e-postbedrägerier globalt, men attackvolymen ökade i länder som Japan (35 procent ökning jämfört med året innan), Sydkorea (ökning med 31 procent) och Förenade Arabemiraten (upp 29 procent). Dessa länder kan tidigare ha varit mindre utsatta för BEC-attacker på grund av kulturella eller språkliga hinder, men generativ AI gör det möjligt för angripare att skapa mer övertygande och personliga e-postmeddelanden på flera språk. Proofpoint upptäcker i genomsnitt 66 miljoner riktade BEC-attacker varje månad.
- TOAD-angrepp fortsätter att blomstra: Även om det till en början ser ut som ett godartat meddelande som inte innehåller något annat än ett telefonnummer och lite felaktig information, aktiveras attackkedjan när en intet ont anande anställd ringer till ett bedrägligt callcenter och lämnar ut sina uppgifter eller ger fjärråtkomst till sin enhet. Proofpoint upptäcker i genomsnitt 10 miljoner TOAD-attacker per månad, med en ny toppnotering i augusti förra året, då 13 miljoner enskilda incidenter inträffade.
- Trots att hot som ransomware, TOAD och MFA-bypass blir allt mer framträdande och sofistikerade är många organisationer inte tillräckligt förberedda eller utbildade för att hantera dem. Endast 22 procent av de svenska organisationerna utbildar sina användare i hur man känner igen och förhindrar en TOAD-attack, och lika få utbildar sina användare i generativ AI-säkerhet.