Cybersecurity Mystery Shopping

Test den menneskelige faktor i jeres sikkerhed

I kan have den bedste firewall og de mest opdaterede systemer. Men hvis en medarbejder lukker den forkerte ind, er det ligegyldigt.

De fleste vellykkede angreb starter ikke med et teknisk hack. De starter med et menneske, der bliver narret.

Cybersecurity mystery shopping tester, hvordan jeres medarbejdere reagerer, når nogen forsøger at snyde sig til adgang, oplysninger eller tillid.

Hvad er cybersecurity mystery shopping?

Mystery shopping kender de fleste fra detailhandlen. En person udgiver sig for at være kunde og vurderer servicen.

Cybersecurity mystery shopping bruger samme princip til at teste jeres sikkerhed. Vi udgiver os for at være nogen, vi ikke er, og ser, hvor langt vi kan komme.

Det kan være:

  • En phishingmail, der beder om login
  • Et telefonopkald fra “IT-afdelingen”
  • En person, der følger med ind ad døren
  • En falsk håndværker, der vil ind i serverrummet
  • En mail fra “direktøren” med en presserende anmodning

Målet er ikke at udstille enkeltpersoner. Målet er at finde ud af, om jeres procedurer virker, og om jeres medarbejdere er klædt på til at genkende forsøg på manipulation.

Hvorfor teste den menneskelige faktor?

Angribere ved, at mennesker er nemmere at hacke end systemer.

Social engineering virker, fordi det udnytter normale menneskelige reaktioner: ønsket om at hjælpe, respekt for autoritet, frygt for at lave fejl, travlhed i hverdagen.

En medarbejder, der holder døren for en fremmed, er ikke dum. De er høflige. En, der klikker på et link fra “IT-afdelingen”, er ikke uopmærksom. De vil gerne samarbejde.

Problemet er, at angribere udnytter netop de egenskaber.

Cybersecurity mystery shopping viser jer, hvor jeres medarbejdere er sårbare, så I kan træne dem i at reagere rigtigt, uden at de mister deres menneskelige egenskaber.

Hvad tester vi?

Vi tilpasser altid testen til jeres organisation og jeres bekymringer. Typiske testområder:

Phishing og digital manipulation

E-mail phishing: Falske mails, der forsøger at få medarbejdere til at klikke på links, åbne vedhæftninger eller afgive oplysninger.

Målrettet phishing (spear phishing): Mails skræddersyet til specifikke personer eller roller. Mere overbevisende, sværere at gennemskue.

SMS og beskedtjenester: Forsøg via SMS, Teams, LinkedIn eller andre kanaler.

Telefonbaseret social engineering

Opkald fra “IT”: Forsøg på at få passwords, adgang eller oplysninger ved at udgive sig for at være intern IT-support.

Opkald fra “leverandører”: Forsøg på at få oplysninger om systemer, kontaktpersoner eller processer.

Direktørsvindel (CEO fraud): Opkald eller mails, der udgiver sig for at være en leder med en presserende anmodning.

Fysisk social engineering

Tailgating: Forsøg på at følge med ind ad døren uden selv at have adgang.

Falsk identitet: Forsøg på at komme ind ved at udgive sig for at være håndværker, leverandør, revisor eller lignende.

Adgang til følsomme områder: Test af, om det er muligt at komme ind i serverrum, arkiver eller andre beskyttede områder.

Clean desk: Vurdering af, om følsomme oplysninger ligger frit fremme på skriveborde, printere eller skærme.

Læs mere om red teaming, som kombinerer disse metoder med tekniske angreb.

Hvad får I ud af det?

Efter en cybersecurity mystery shopping ved I:

Hvor jeres medarbejdere er sårbare: Hvilke typer forsøg virker? Hvem falder for hvad? Er der afdelinger eller roller, der er særligt udsatte?

Om jeres procedurer følges: Det er én ting at have en politik. Det er noget andet, om den bliver fulgt i praksis.

Hvad I skal træne: Konkret grundlag for awareness-træning, der adresserer de reelle sårbarheder, ikke de teoretiske.

Hvordan I ligger i forhold til truslen: Er jeres medarbejdere klædt på til de angreb, I reelt kan forvente?

Anonymitet og respekt

Cybersecurity mystery shopping handler om at teste organisationen, ikke om at hænge enkeltpersoner ud.

Resultater rapporteres anonymt: Vi rapporterer fund på afdelings- eller rolleniveau, ikke på individniveau. Ingen navne i rapporten.

Fokus på læring, ikke straf: Formålet er at finde huller og lukke dem. Ikke at finde syndebukke.

Respektfuld tilgang: Vi designer tests, der er realistiske, men ikke ydmygende. Ingen offentlig udstilling.

Det er vigtigt, at jeres medarbejdere bagefter oplever det som læring, ikke som en fælde. Ellers ødelægger det mere, end det gavner.

Erfaring med den menneskelige faktor

Teknik er kun halvdelen af sikkerhed. Den anden halvdel er mennesker.

I mere end 30 år har jeg arbejdet med sikkerhed i organisationer, hvor begge dele skal fungere.

Finanssektoren: Danske Bank og EDC, hvor medarbejdere dagligt håndterer forsøg på svindel og manipulation.

Offentlige myndigheder: Styrelser, hvor borgernes data kræver, at medarbejderne ved, hvad de skal holde øje med. Miljøstyrelsen er blandt mine referencer.

Kritisk infrastruktur og forsyning: Organisationer, hvor et enkelt fejltrin kan have store konsekvenser.

Den erfaring har lært mig, at mennesker ikke er det svageste led. De er det første led. Og de kan trænes til at være et stærkt forsvar.

Sådan foregår cybersecurity mystery shopping

  1. Planlægning
    Vi aftaler scope, metoder og mål. Hvilke typer tests? Hvilke afdelinger eller roller? Hvad vil I gerne have svar på?
  2. Gennemførelse
    Vi udfører de aftalte tests over en aftalt periode. Jeres medarbejdere ved ikke, at det foregår.
  3. Dokumentation
    Alle forsøg dokumenteres: Hvad gjorde vi? Hvad skete der? Hvad lykkedes, og hvad blev afvist?
  4. Rapport
    I får en rapport med anonymiserede resultater, mønstre og konkrete anbefalinger til forbedring.
  5. Opfølgning
    Hvis I ønsker det, kan vi hjælpe med at designe awareness-træning baseret på de faktiske fund.

Det får I med cybersecurity mystery shopping hos Nielco IT

  • Realistisk test af, hvordan jeres medarbejdere reagerer på manipulation
  • Overblik over sårbarheder i den menneskelige del af jeres sikkerhed
  • Anonymiserede resultater, der fokuserer på læring
  • Konkret grundlag for målrettet awareness-træning
  • Test af, om jeres politikker og procedurer følges i praksis
  • Sparring med en specialist, der har 30+ års erfaring med sikkerhed i komplekse organisationer

Find ud af, om jeres medarbejdere er klar

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om, hvilke tests der giver mening for jeres organisation.

Skal vi kontakte dig?

Udfyld formularen - så tager vi en hurtig og uforpligtende snak om, hvad vi kan gøre for din virksomheds IT.

Seneste på bloggen

Dit domæne kan blokeres uden varsel

Dit domæne kan blokeres uden varsel

Forestil dig, at din virksomheds website og mail pludselig ikke virker. Ikke på grund af hackere. Men fordi et præsidentielt dekret har blokeret dit .com eller .net domæne. Og samme dekret forhindrer dig i at flytte dit domæne. Det lyder som science fiction. Men det...

Hvem kontrollerer din firewall?

Hvem kontrollerer din firewall?

65% af alle firewalls solgt globalt kommer fra fem amerikanske virksomheder. Ved du, hvilken firewall din virksomhed bruger? Og hvornår den sidst blev opdateret? De fleste ledere svarer nej til begge dele. Det er IT-afdelingens domæne. Eller leverandørens. Men din...

Din eks har stadig adgang. Sådan stopper du det.

Din eks har stadig adgang. Sådan stopper du det.

Mere end 30.000 opkald i løbet af 7 måneder. Forestil dig, at telefonen ringer hver eneste dag. Ikke 5 gange. Ikke 50. Men 100. 200. 400 gange. Du blokerer nummeret. Han får et nyt nummer. Du får nyt SIM. Han sender mails. Du lukker mailen. Han møder op. Det er ikke...