– Noen synes det er flaut å fortelle at de har fått en skummel epost, og det kan få fatale konsekvenser for dem, sier Secure Practice-etterforsker Lena Marthinsen.
Midt i en travel uke der Secure Practice blant annet har flere Oslo-møter og gjesteforelesning hos NTNU på Gjøvik i kalenderen, møtte Shifter det Trondheim-baserte selskapet på Spaces i Oslo.
Selskapet har utviklet en oransje knapp -- en "add-on" -- for mailbokser, der ansatte i store og små bedrifter kan varsle hver gang de får en mistenkelig epost. Formålet er å begrense antallet hacker-, svindel-, og phishingforsøk selskapet, men også kundene deres, utsettes for.
Erlend Andreas Gjære, gründer av Secure Practice, forteller at inspirasjonen bak selskapet og produktet -- MailRisk -- er egen erfaring med sikkerhetsopplæring og kommunikasjonen rundt dette.
-- Inspirasjonen til Secure Practice kommer fra en smertelig erfaring etter å ha drevet med sikkerhetsopplæring selv i flere selskap. Du kan umulig få alle til å huske alt som er farlig, alt man må passe på og alt man må gjøre til enhver tid. Det fungerer ikke å bare fortelle og mase. Så ideen er ikke bare at folk skal lære hva de skal gjøre, men også å gjøre det enkelt å gjøre det rette, sier Gjære.
Når en ansatt har varslet om en mistenkelig epost, kan IT-avdelingen etterhvert danne seg et digitalt bilde av hva som truer bedriften til enhver tid. Kanskje har mange av de ansatte fått samme eposten, og reagert på noe som fikk dem til å varsle.
Tildelt OSPA-prisen
For to uker siden ble Secure Practice tildelt OSPA-prisen -- Outstanding Security Performance Awards -- for Beste Nye Sikkerhetsprodukt 2018. Prisen ble delt ut av Næringslivets sikkerhetsråd.
-- En del av begrunnelsen for at vi vant OSPA-prisen er at vi er en kostnadseffektiv nødhjelpskanal for de minste virksomhetene. Så vi tilbyr en tjeneste som ingen andre tilbyr, og på den måten er vi unike. Vi hjelper med et veldig spesifikt problem, akkurat når folk trenger det. Samtidig ser vi også at de store bedriftene er veldig interesserte i MailRisk, for IT-folk der må jo selv følge opp kolleger som spør, og som må svare ”er dette farlig?”, sier Gjære.
Vil gjøre epostsikkerhet gøy
Og for "å gjøre det enkelt å gjøre det rette" har Secure Practice lagt inn noen "gamification"-trekk i MailRisk. Digital etterforsker Lena Marthinsen forteller at selskapet har valgt en tilnærming der epostsikkerhet får et litt mer hyggelig tilsnitt, enn det som er vanlig i tradisjonelle virusprogrammer.
-- Vi har et veldig fokus på å gjøre dette til en positiv aktivitet gjennom gamification og poenggiving. Epostsikkerhet kan være gøy, det er veldig viktig for oss. Å yte sikkerhet skal ikke være stort og uoverkommelig, sier Marthinsen.
-- Noen synes det er flaut
I samme anledning som Secure Practice ble tildelt OSPA-prisen, ble også Mørketallsundersøkelsen fra Næringslivets Sikkerhetsråd lagt frem: I den kommer det frem at det blant annet har vært en økning i phishingangrep rettet mot norske selskaper, og at dette kan gi kostnader i millionklassen for enkelte bedrifter.
Gjære forteller at måten en ansatt får beskjed om at epostkontoen deres har fått tilsendt skadelig epost, kan være helt avgjørende for hva som skjer videre.
-- Hvis ett eller annet har gått galt og du har klikket på noe du ikke skulle klikke på, så kan vi også gjøre det trygt å si i fra. Der er tiden kritisk, altså. Jo før du oppdager at du har blitt lurt, og jo før du sier i fra til noen om det og overlevert ansvaret til noen med kompetanse her – desto bedre kan det håndteres. Det tar jo hundrevis av dager før enkelte cyberangrep blir oppdaget, fordi de bare pågår og folk ikke tør å fortelle om dem, sier Gjære.
Marthinsen forteller at folk kan undervurdere hvor omfattende et epostangrep faktisk kan være, og dermed gjør situasjonen verre for seg selv når de prøver å ordne det på egenhånd.
-- Noen synes det er flaut å fortelle andre at de har fått en skummel epost, og det kan få fatale konsekvenser for dem. Kanskje de har lyst til å fikse det selv, også klarer de ikke det. Så de tar en viruskontroll og tenker at ”hurra, nå ble jeg kvitt viruset”, men så har det kanskje spredd seg til andre ting på PC-en eller i nettverket. Så da bare ligger det skadelige innholdet der og jobber for seg selv i fred, sier Marthinsen.
Bruker pedagogikk som virkemiddel
Gjære forteller at Secure Practice ikke erstatter noen produkter, men at MailRisk hjelper i tillegg. Når et spamfilter og en virusbeskyttelse tar bort 99 prosent av alt som er plagsomt og skadelig, har Secure Practice mål om at den siste prosenten -- som fortsatt kan romme et høyt antall trusler -- kan løses ved hjelp av deres teknologi.
-- Folk blir litt overrasket over at MailRisk er så positivt. Vi har noen tegnede karakterer som skaper litt liv, og menneskelig kontakt. Det føles lett og greit å håndtere virus og svindelforsøk. Det ufarliggjør det, sier Gjære.
At Secure Practice ikke velger en kommunikasjonsform der bred IT-kompetanse nærmest er obligatorisk, bunner i tillit. Og det er ikke bare de ansatte i bedriftene som får pedagogisk utviklede meldinger -- pedagogikken strekker seg til IT-avdelingen også.
-- Det er veldig viktig å skape den tilliten som gjør at folk tør å si i fra. Vi ferdigskriver for eksempel hyggelige beskjeder, hvis du skal sende en tilbakemelding til noen som spør. Da har vi skrevet ferdig en hyggelig melding til den det gjelder, og IT-personen kan bare trykke på knappen – og så er det i orden. Vi gjør det lett å skape en positiv dialog mellom IT og folk ute i bedriftene, sier Gjære.
-- Bygget for å skalere
Secure Practice er bevisst sitt ansvar: Programvaren har helt fra begynnelsen vært på både norsk og engelsk, og selskapet har planer om å skalere utenlands. Dette med bakgrunn i at hacking, svindel og phishing ikke er spesielt norske fenomener, men noe tusenvis rammes av hver dag -- over hele verden.
-- Heldigvis er vi bygget for å skalere, og vi vet at hvis MailRisk treffer riktig i markedet, kan det bli veldig stort. Det er en halv milliard brukere av Outlook på jobb i verden, og mailsikkerhet er en universell utfordring. Fremover skal vi fortsette å hjelpe folk å stoppe svindel, og vi skal være et fantastisk bra sted å jobbe. Det er et viktig mål for oss, rett og slett. Vi vil skape noe gøy, og bidra til mye positivt, sier Gjære.