Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Findes der noget værre end teenagere, der er helt ligeglade med regler og god opførsel? Nej vel?
Og nu er det sågar blevet et problem for informationssikkerheden – og et alvorligt et af slagsen, for vores normale tilgang til hackere bliver sat ud af kraft.
En af de nyeste trusler mod informationssikkerheden er nemlig uforudsigelige grupper af mindreårige teenagere, der begår, hvad man bedst kan beskrive som digitalt hærværk. AP Teens er de blevet døbt.
Et ordspil på Advanced Persistance Threat. På trods af det fængende navn er der ikke tale om en samlet gruppe, men om uafhængige grupper, der blot er forenede af at se hacking som en spændende og farlig leg.
De benytter sig typisk af social engineering, hvor de narrer medarbejdere til at udlevere oplysninger, der kan give dem adgang til systemer.
Og det gør det typisk godt, fordi de angriber lokalt, hvor de kender sproget og kulturen og dermed ikke så nemt bliver spottet.
Derudover er de kendetegnet ved at have masser af tid til at gennemføre deres angreb, og de er ofte helt bevidste om, at de ikke kan blive straffet, fordi er under den kriminelle lavalder.
Men hvad er det – udover for meget fritid og en frisk dåbsattest – der gør dem så farlige?
Ikke som de gode gamle banditter
Deres metoder er velkendte, og de er egentlig ikke særligt avancerede, så hvorfor være så bange for dem?
Sagt helt kort handler det om, at de er helt uforudsigelige.
De er ikke motiverede af det samme som traditionelle hackere, der typisk er i gamet for økonomisk vinding. Det gør dem mere uforudsigelige.
Det svarer til at stå i en gidselforhandling, hvor du ikke ved, om gidseltagerne er mere interesserede i at gøre gidslerne ondt end at score løsesummen.
Det betyder, at man ikke kan bruge den sædvanlige drejebog i den slags situationer. Der er ingen spilleregler.
Deres anderledes motivation giver sig altså udslag i en langt mere uforudsigelig adfærd.
Ligesom en flok utilpassede teenagere i nattelivet er de primært ude efter at få gang i gaden.
De kan for eksempel finde på at gennemføre noget, der ligner et ransomware-angreb, og så bare slette de stjålne filer, selv om den berørte virksomhed egentlig var indstillet på at betale.
Eller de kan sætte sig for at ødelægge en stakkels CISO’s karriere med deep fakes og personlige angreb. Bare for sjov.
Skru endnu mere op for den sunde mistro
Hvordan håndterer man så denne nye og uforudsigelige trussel?
Først og fremmest bliver man nødt til at møde den med samme respekt og alvor, som man er vant til at møde de traditionelle hackere med.
Det kan være nærliggende at trække på skuldrene over mindreårige, der sidder hjemme på teenageværelset og ’leger’ hacker.
Disse grupper vil dog sandsynligvis blive antændt, hvis man åbenlyst ser ned på dem.
De skal ikke tirres. Og hvis man skulle have held med at lukke ned for deres angreb, skal man heller ikke blære sig offentligt med det, for så kan man være helt sikker på at blive et mere ’juicy target.’
Den vigtigste måde at imødegå AP Teen grupperne på er dog at skrue yderligere op for den interne uddannelse.
De går efter jeres svageste punkt, medarbejderne, så det er også her, I skal sætte ind.
Selv om det ikke lyder så rart, så bliver alle medarbejdere i din virksomhed nødt til at lære at nære en sund mistro til alle henvendelser.
Hellere verificere en gang for meget end en gang for lidt. Ellers risikerer du at få uregerlige teenagere på uanmeldt besøg.
Og det er sjældent en god oplevelse – hverken fysisk hjemme i privaten eller digitalt på arbejdspladsen.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
