Markedsfører Meri Wiik skriver et godt innlegg på Digi hvor hun argumenterer for at ansattes sosiale medier er verdt sin vekt i gull. Administrerende direktør Trond Bjorøy Larsen i Nextgentel er sitert i samme sak med at selskapet oppfordrer de ansatte til å være mer synlige på Linkedin og tilbyr kurs for ansatte om hvordan de skal lykkes.
Det er virkelig ikke meningen å være en surmaget Tante Sofie. Jeg bruker selv Linkedin til å bli kjent med interessante profiler og bedrifter.
Men jeg håper disse kursene også inneholder en sikkerhetskomponent.
_logo.svg.png){kind=logo}
Risiko for bedriften
At ansatte deler refleksjoner og innblikk i egen hverdag, kan nok spare selskaper for store annonsekroner. Det kan nok bygge tillit og omdømme. Det gir hvert fall omverdenen muligheten til å bli kjent med og interessert i selskapet. Som kunde. Som arbeidsplass. Og som etterretningsmål.
Ved å dele uhemmet i sosiale medier risikerer bedriften utilsiktet å spre informasjon om sikkerhetsrutiner, ansvarsområder og trykkpunkter.
I det digitale smelter ofte privat og jobb sammen. For eksempel kan hva jeg som privatperson interesserer meg for eller behøver, brukes som inngangsvektor for en phising-epost. Å gjøre seg snasen for en rekrutterer ved å legge ut kompetanse og erfaring, kan være smart. Så lenge man husker på at man kan ende på helt andre lister over person of interest.
Digg for «slemmingene»
Innhold med «hvordan vi gjør det her på huset» eller «hvor morsomt vi har det i lunsjen», viser godt arbeidsmiljø. Flott! Men i bakgrunnen er PC-er, arkitektur, kollegaer, produkter og bevegelsesmønstre. Bilder og videosnutter fanger fort opp adgangskort og adgangskontroll.
Telefonen lekker lokalisasjonsdata, kontakter, kalender og brukermønstre med stort misbrukspotensial. Dette er nyttig for etterretningstjenester. Og hvis man ikke føler seg «viktig nok», kan jeg minne om at den samme informasjonen er interessant for cyberkriminelle og konkurrenter.
Så når man skal ha kurs, vær så snill å legge inn en powerpoint-slide ekstra. Den kan for eksempel ha tittel «Du er digg – også for slemmingene!».
Åtte inspirerende råd
Følgende (ganske generelle) råd kan være til inspirasjon:
- Ikke del bilder hvor man ser adgangskort og systemer for adgangskontroll.
- Ikke godta venneforespørsler fra alle og enhver. Catphising er også et stort bedriftsproblem hvis det fører til ransomware, omdømmekrise eller spionasje.
- Takk nei til cookies, samtykkeforespørsler og begrens sporing på telefoner.
- Vær obs på ekkokamre, mennesker blir fort forført av at «alle» er enige med oss.
- Begrens privat informasjon du deler, den kan brukes mot deg. Og den blir ikke borte. Oppfordre derfor ansatte til jevnlig husvask på telefonen: Slett apper og kundeklubber du ikke trenger.
- Husk at andre kan ha en annen smerteterskel på digitalt avtrykk, spør før du deler.
- Skal du bruke Chat GTP eller lignende, vær veldig bevisst på ikke å lekke noe sensitivt. Det er flauere enn å være uoriginal.
- Deepfakes kommer som en kule, ha en plan for hvordan dere skal sjekke om noe er ekte. For eksempel et sikkerhetsord før man overførere penger? (Som dere åpenbart ikke deler i sosiale medier….)
Husk at mange bekker små lager en stor å. Et drypp her og der er sannsynligvis helt uproblematisk, men titalls (eller hundretalls) ansatte i fri dressur kan lekke så store mengder informasjon at gruven blir en drukningsfelle.
Og apropos drukningsfelle, bedriften bør ha en plan for hva dere gjør hvis noe går galt. Vi er relativt flinke med svømmevester og brannøvelse, men ikke fult så gode med øvelse og planverk for hva vi gjør hvis vi utsettes for digitale angrep. Der er det også potensielt store penger å hente.
Fortalte om rystende hendelser: «Konsekvensene blir dyre. Det lover jeg deg»
