Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mange spotter straks en e-mail fra en ukendt afsender, der indeholder stavefejl og mistænkelige links, så snart den lander i indbakken.
Vi har med tiden lært at alt, der kommer udefra, potentielt kan udgøre en trussel mod virksomhedens sikkerhed.
Derfor er mange tilbøjelige til at grovsortere deres indbakke, hvor de hurtigt vurderer, hvad de ved første øjekast kan stole på, og hvilke e-mails der straks bliver slettet eller flyttes over i spam-mappen.
Alligevel bliver tusindvis af mennesker hver dag narret til at åbne og reagere på ondsindede e-mails, fordi de ser ud til at komme fra en kendt afsender.
De cyberkriminelle har lært at udnytte vores tillid til vores kolleger og gjort det til et våben, de kan bruge imod os.
I KnowBe4’s nye Phishing Roundup-rapport for tredje kvartal af 2025 lyder konklusionen, at e-mails, der udgiver sig for at være fra interne afdelinger som HR og it, fortsat er de mest effektive lokkemidler.
Når henvendelsen ligner en intern orientering om ferieopgørelse, sikkerhedsopdateringer eller sociale arrangementer, falder selv erfarne medarbejdere i fælden.
Når tillid bliver en sårbarhed
Rapporten viser, at ni ud af de 10 mest effektive phishing-emner handler om netop interne forhold.
Næsten halvdelen af afsenderne (45 procent) udgiver sig for at være fra HR-afdelingen, mens it-relaterede beskeder som “Din adgangskode udløber” eller “Systemopdatering påkrævet” står for en stor andel af de resterende 55 procent.
Denne udvikling understreger et grundlæggende problem og skaber stor bekymring, da vi har opbygget vores digitale kommunikation omkring tillid.
Når en mail ser ud til at komme fra en kollega eller en kendt afdeling, stiller vi færre spørgsmål og handler hurtigere. Det er netop her, de cyberkriminelle finder deres indgang.
Særligt vigtigt er det at forstå, at truslen ikke kun handler om teknologi.
Den handler om menneskelig adfærd og basale menneskelige behov for at gøre det rigtige – at reagere på ”vigtige opdateringer” eller udfylde ferieønsker for at gøre det administrative arbejde lettere for vores kolleger.
Den menneskelige faktor i cybersikkerheden
Rapporten fra KnowBe4 viser også, at 70 til 90 procent af alle sikkerhedsbrud starter med phishing eller social engineering.
Derfor kan vi kalde det for et systemisk problem, som kræver organisatorisk forståelse. Det er ikke et spørgsmål om “dårlige brugere”, men snarere et behov for at skabe en ændring i organisationen, der ruster de ansatte til at blive mere bevidste om de farer, der ikke virker åbenlyse.
En stærk sikkerhedskultur handler ikke om frygt, men om forståelse.
Når medarbejdere får indsigt i, hvordan cyberkriminelle arbejder, og samtidig oplever et trygt læringsmiljø, hvor fejl bruges til at lære af, kan adfærd ændres varigt.
Cybersikkerhed må ikke reduceres til en teknisk disciplin, som kun it-afdelingen skal håndtere.
Tværtimod bør det ses som en kulturdisciplin, hvor hele organisationen – på tværs af siloer og afdelinger - bidrager til en fælles bevidsthed om risici og adfærd.
Den stærkeste forsvarsmur er ikke kun software, men en kombination af teknologiske løsninger, træning af medarbejdere der forstår deres rolle i virksomhedens cybersikkerhedsforsvar og interne processer, der gør det let at rapportere mistænkelige e-mails og beskeder.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
