Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black

Hendelsesbasert IT-sec opplæring i helseforetak og kommuner frigjør tid til pasienter og elever

Oppdatert: 10. des. 2019


Skal kommuner og helseforetak vinne terreng i kampen mot cyberkriminelle, må de tenke utradisjonelt, og sette mennesket i fokus der som i deres arbeid forøvrig. For når cyberkriminelle planegger sitt neste angrep, er det mennesket som er øverst på listen over mål.


Europol (det europeiske datakriminalitet senteret) (EC3) publiserte en strategisk rapport om spear-phishing 4 november 2019. Rapporten legger frem synspunktene, til både politi-myndigheter, rettsapparatet og privat industri, på det som er en av de mest utbredte Cyber-truslene mot organisasjoner i hele EU i dag.


Årets «Internet Organized Crime Threat Assessment (IOCTA), konkluderer også med at spear-phishing er nummer én på listen over angrepsvektorer i EU. IOCTA rapporten er et resultat av et to-dagers møte med 70 viktige bransjepartnere innen Internett sikkerhet, telekommunikasjon og finansielle tjenester. Møte fant sted i Haag i mars, og formålet var å diskutere hva som kan gjøres for å redusere denne type kriminalitet.


“..the better users become at detecting spear phishing, the less likely the organization is to be compromised by an attacker.”


Opplæring og kompetanseheving i tillegg til AI (artificial inteligence) verktøy er en kombinasjon som kan gi betydelig effekt i kampen mot slike angrep.



Fakta: spear-phishing praksisen med å målrette angrep mot bestemte personer i en organisasjon eller bedrift med det formål å distribuere skadelig programvare eller trekke ut sensitiv informasjon, forretningshemligheter eller for finansiell gevinst. BEC eller «business e-mail compromise» er en type spear-phishing som retter seg mot ledere og deres miljø og er svært effektiv. Du kan lese mer om dette her.


Helsesektoren og kommuner er spesielt utsatt!

Helsesektoren og kommuner er store arbeidsgivere i de fleste land, og de behandler enorme mengder sensitiv informasjon og data om sine pasienter og ansatte, elever og innbyggere forøvrig. Informasjon som ikke bør komme på avveie. Kommune og helsesektoren har ofte stor omsetning av ansatte, har store komplekse IT løsninger, og gamle «legacy» systemer. De er også fragmenterte og svært sammensatt, bruker mange, gjerne egenutviklede, fagapplikasjoner og det er bruk av mange noder. Dette gjør helsesektoren og kommuner til et yndet mål for phishing-angrep.


At helsesektoren har utfordringer med phishing, er bekreftet i JAMA (Journal of the American Medical Associasion), som gjennomførte en studie hos sykehus i USA. Studien baserer seg på;

  • 95 simulerte phishing angrep/kampanjer

  • 6 store sykehus

  • 3 millioner simulerte phishing e-poster

  • Hvorav 422 062 e-poster ble åpnet (14%)

  • Median klikkrate varierte fra 7,4%-30,7%,

  • Gjennomsnittlig klikkrate på tvers av alle kampanjer og organisasjoner på hele 16,7


Studien støttes også av en tidligere rapport fra HIMSS (Healthcare Information and Management Systems Society) – en medlemsorganisasjon med over 650 helseforetak, som fastslår at 57% av angrepene kommer via e-post. De fastslår også at sårbarheten kom fra "innsidetrusselen", altså de ansatte og deres manglende sikkerhetsopplæring og kompetanse.

I kommunene står det ikke bedre til. Dette bekreftes bl.a i rapporten over anmeldte brudd på GDPR/personopplysnings "hendelser" fra Datainspectionen i Sverige. I løpet av årets 9 første måneder er 51% av alle anmeldte brudd på GPDR knyttet til den menneskelige faktoren. Det som også er skremmende er at kun ca 40% av brudd og inntreng i systemene oppdages. I følge undersøkelser fra Microsoft, tar det dessuten gjennomsnittlig 280 dager å oppdage.

Trening fungerer, men trening alene er ikke effektiv nok!


Det er bred enighet om at opplæring og kompetanseheving av de ansatte er nødvendig for å redusere antall angrep som lykkes. Slik opplæring kan f.eks være simulerte angrep. Et funn i JAMA rapporten var at klikkrateprosenten sank etter hvert som kampanjene ble gjennomført, noe som indikerer at mottakerne ble flinkere til å oppdage dem. Men dette kan være relatert til at samme type simulering blir gjenkjent – og nødvendigvis ikke blir oppdaget i et nytt, og ekte, angrep. Simuleringen skjedde i en konsentrert tidsperiode, noe som gjør at brukerne var mer «på vakt». Etter hvert som tiden går glemmer vi dessuten det vi har lært.


Opplæring og kursing fungerer, men ikke optimalt, og alene er ikke det bra nok. Til det viser all statistikk at vår evne til å huske det vi lærer er for dårlig. Vår evne til å huske er avhengig av flere faktorer slik som;


  • Hvor vanskelig og komplekst temaet er

  • Hvor mye som skal læres

  • Hvor betydningsfult det er for den som skal lære

  • Hvilken læringsmetode som blir benyttet

  • Den fysiske og psykiske allmenntilstanden til den som lærer

  • Støy og manglende konsentrasjon


Ebbinghaus sin «glemme» kurve viser at man glemmer det man lærer relativt raskt. Klarer man å huske alt umiddelbart etter et kurs? De fleste klarer 70-80%! Men om man gikk fra kurset med 100% av det du nettopp har lært, vil man etter kun èn måned ha glemt mer enn 80%. For å motvirke dette, er repetisjon en nøkkelfaktor. Men selv det viser seg å være utilstrekkelig.





Kombinasjonen av praksis av det man har lært, og det å lære bort til andre, viser seg å være mest effektivt. Dette ser man også i Edgar Dale’s learning pyramid








"Information overload"


De fleste har IT som ett av mange hjelpemiddel til å utføre sin daglige jobb. Mange bruker IT som et oppslagsverk, skrivemaskin, kalkulator, samhandlingsverktøy, fotoalbum og kommunikasjonsplattform, men selve jobben er kanskje som politi, lege, advokat, HR medarbeider, økonomiansvarlig osv. Bruk av applikasjoner som word, excel, dynamics osv, kan vi ofte lære over tid, uten at dette får de største konsekvenser.


I jobben forholder vi oss dessuten til regler, metoder, policyer og lover som man kanskje terper og repeterer hver eneste dag. For en økonomimedarbeider kan det være skattetrekksbestemmelser, merverdiavgiftsbestemmelser, datoer og kalkuleringer. Mens for en HR ansatt kan det være regler om riktig oppfølging av medarbeidere i permisjon, dokumentasjonsansvar mot NAV og rett håndtering av interne konflikter osv.


Opplæring i trygg bruk av IT, og risiko(er) forbundet med avvikende atferd og de påfølgende konsekvenser som kan oppstå i kjølevannet av avvik, er svært viktig.


Ofte er dette omtalt i ett sett med policydokumenter som sier noe om hva som akseptabel bruk (AUP), en IT policy (det fysiske utstyret), behandling av informasjonen og data som mottas (som også er regulert ved lov i bl.a GDPR) og som kanskje fins i en «privacypolicy» og en «informasjonssikkerhetspolicy», i tillegg kommer en rekke andre internspesifikke regler samt lover man skal forholde seg til. Ofte er slike policyer «gresk» for mange, og innebærer alt for mange ukjente ord, uttrykk og forkortelser. De følger som oftest med ansettelseskontrakten, og havner gjerne i en skuff så raskt de er lest. Vi forventer dessuten at IT sikkerhet håndteres av IT-avdelingen og fungerer på et infrastruktur plan.

Den totale mengden av ting vi må huske forbundet med å gjøre jobben vår på en god måte er stor fra før, og blir enorm når IT sikkerhet skal læres i tillegg. Dette resulterer i at vi prioriterer det som er relatert til kjernen av vårt arbeid – det som gjør at vi kan utføre jobben – det andre blir for mange sekundært og du har dermed en del av oppskriften på hvordan vi blir en innsidetrussel.


Har du lyst til å se en vurdering av hvor vanskelig f.eks en Privacypolicy kan være å forstå, anbefaler jeg deg å lese denne artikkelen fra NY Times.


Konsekvensen av tradisjonell kompetanseheving

Poenget mitt er; Det er for mange ting å huske til at man klarer å huske alt.

Det er også kostbart å sende ansatte på kurs gjentatte ganger, uten at de nødvendigvis klarer å huske mer enn 20% av det de lærer. De kommer dessuten tilbake og fortsetter å gjøre feil.


Opplæring tar dessuten mye tid. Dyrebar tid som kunne vært benyttet med pasienter, barna våre i barnehagen, eller lærer med elev, hjemmehjelp med bestemor. Og som vi har sett, så må det repeteres.


Ser vi det i sammenheng med tid borte fra jobben, har kursing en alternativ kostnad for samfunnet– ialle fall når den ikke virker. Med lav kost-nytteeffekt og store konsekvenser, bør vi vurdere alternativer til tradisjonell opplæring.


Jeg foreslår derfor at det bør benyttes et verktøy som kombinerer læring og IT-beskyttelse uten at det tar tid vekk fra pasienter, elever, bestemødre eller andre som er avhengig av at tjenesten som gis fungerer hver dag, hver time og hvert minutt.


AI og maskinlæring gir opplæring mens jobben utføres! Det reduserer tiden den ansatte er vekk fra jobb, borte fra pasienter, elever og bestemødre.


Hendelsesbasert opplæring reduseres tiden den ansatte er vekk fra jobb


Vi har tidligere hørt fra flere kilder, at AI kan være løsningen der hvor andre verktøy ikke er effektive, som f.eks på BEC og spear-phishing. Men kan AI være en smart løsning på utfordringer som kompetanseheving og menneskers evne til å huske også? Svaret er Ja, det kan det!

Det fins èn sikkerhetsplattform som kombinerer IT sikkerhet med hendelsesbasert opplæring og pro-aktiv beskyttelse! Kompetanseheving er automatisert som en integrert del av sikkerhetsplattformen! Dette er et system som effektivt reduserer muligheten for at de ansatte utilsiktet, eller med overlegg, blir en innsidetrussel. Det lærer opp ansatte i alle definerte regler fra første dag de bruker arbeidsgivers IT utstyr. Den ansatte får automatiske varsler når han/hun gjør noe galt, og samtidig kan man teknisk forhindrer de ansatte i å gjennomføre det gale de forsøker å gjøre. Gjør en ansatt samme feil igjen, får han/hun varsel igjen, og risiko-score for vedkommende øker. Dette er hendelsesbasert opplæring i praksis. Ansatte som ikke korrigerer sin atferd kan identifiseres og eventuelt tas ut for ekstra opplæring.



Jazz Platform er en todelt løsning for Detection & Response!


Plattformen benytter;

  1. AI og maskinlæring for å oppdage avvik fra "normal status", og beskytter mot skadevare og hendelser fra utsiden så vel som fra innsiden. Dette gjør den i kombinasjon med en

  2. policy-motor som inkluderer Microsoft Security & Content inspection. Denne varsler om brudd på policyer, lover og regler.

Varsel om avvik på policyer kan sendes direkte til brukerens skjerm og således

kombineres opplæring med sikring mot eksterne inntrengsforsøk og unormal aktivitet på noden og det aktuelle miljøet noden er plassert i. Hver minste prosess, hver fil som er rørt, og hver sensor som registrerer aktivitet til og fra noden registreres og analyseres. Bruken av dette systemet reduserer ikke bare risikoen for å bli et offer for angrep, det reduserer også kostnader forbundet med gjentakende kursing av de ansatte – og som vi forøvrig har sett, har liten virkning.



Mange fordeler


Som vi har sett over, har AI mange fordeler! Platformen lar brukerne benytte IT uten å være bekymret for å gjøre feil. Vi kan lære underveis. Plattformen har automatisk respons for kritiske hendelser eller om den ansatte gjør noe alvorlig. La oss se på noen eksempler;

  • En ansatt går fra PC’en uten å låse den? Eller deler innloggingsopplysninger, eller har passord skrevet på gule lapper. Om en annen begynner å skrive på din PC, vil verktøyet kjenne igjen hvem som taster på PC’en og gjennom det, låse PC’en for deg, eller ta bilde av skjermen for å dokumentere hendelsen. Senere kan man se på historikken og vurdere hvilke filer som er rørt, websider besøkt osv - mens du var borte fra PC'en.

  • Ansatt forsøker å laste forretningskritiske filer ned på maskinen eller en USB, eller sende de til sin private Dropbox? – Plattformen forhindrer dette ved låsing, reboot, bilde av skjerm, isolering - avhengig av hvilket tiltak du definerer for denne type alarm. Systemet kan også benytte integrasjon mot MS AIP og vil forhindre tilgang til klassifiserte filer før situasjonen oppstår.

  • Ansatt som tar utklippsverktøyet i bruk for ta bilde av et forretningskritisk dokument fordi han/hun vet man ikke skal skrive det ut eller lagre det på USB – verktøyet forhindrer også det. Man kan ta bilde av det som den ansatte tok bilde av, og samtidig varsle den ansatte på skjermen at dette er mot policy – man kan også velge å låse maskinen, isolere den eller logge bruker av.

Flere ...

Brudd på GDPR, NISD, Sikkerhetsloven, skadevare som endrer dine anti-virus og anti-malware konfigurasjoner eller gjør endringer i Windows, Network scanning, oppkall av DNS, spoof net, bruk av uautorisert applikasjon, bruk av uønsket søkeord i browser, eller besøk av usikker HTTP side, bruk av FTP eller uønsket e-postklient og mye mer.


All bruk av PC'en, alt som slipper igjennom perimetersikring som brannmur og anti-virus blir fanget opp og analysert av Jazz Platform.


Flere muligheter til respons

Administrator vil naturlig nok få anonymiserte data i tråd med GDPR. Og når uønskede hendelser eller brudd på regler skjer, vil disse få en risiko score. Avhengig av score, kan man respondere med èn eller en kombinasjon av flere måter; manuelt, eller automatisk.


1. Ta bilde av skjerm eller serie av bilder,

2, kreve restart av maskinen,

3, låse tastatur/mus,

4, sende beskjed til brukerens skjerm,

5, Isolere PC'en fra omverden

Hvor er risikoen i din organisasjon?

Plattformen logger og analyserer alle data raskt på ett sted, og presenterer status i et webgrensesnitt i sann-tid. I brukergrensesnittet for administratorer kan man se på avdelinger, eller brukere, og kan raskt vurdere hvor det er størst risiko og hva denne risikoen består i og dertil gjøre manuelle tiltak som man ikke har automatisert. Man kan også se hvem som trenger tilleggsopplæring eller konsultasjon (ja for noen vil bare ikke følge spillereglene). For en kommune, helseforetak eller organisasjon med mange ansatte delt inn i flere brukergrupper, vil man dele disse opp i forskjellige nivåer og tilordne forskjellige policyer slik at det gjenspeiler den enkeltes behov eller rolle.


Muliggjør rapportering

Man har dessuten tilgang til SOC 24/7, lokal support, får regelmessige sikkerhet- og sårbarhetsvurderinger og har tilgang til den seneste utviklingen innen AI drevet sikkerhet. Kunder er beskyttet mot angrep fra utsiden og innsiden og deres ansatte får opplæringen kontinuerlig. Samtidig har man tilgang til alle data, analysert ned til minste prosess, og kan rapportere til myndigheter eller ledelse nøyaktig hva, som har skjedd, når det skjedde og hvem og hva som er berørt. Summen av dette gjør Jazz Platform til en uslåelig tjeneste.


Jazz Platform er sertifisert i av NITTF - National Insider Threat Task Force (CNSSD 504) og vinner av US Cyber Command sin sikkerhetskonkurranse.




Paratum Consulting leverer produkter og tjenester innen Governance, Risk & Compliance. Vi er platinumpartner av Jazz Networks og forhandler markedets ledende verktøy for overvåking og beskyttelse av endepunkter.

Gjennom AI og ML samt opplæring og trening av ansatte innenfor selskapets policyer, lover og regler, beskytter Jazz Networks mot Phishingangrep, BEC svindel, Malware, uønsket adferd av brukere på maskinen og mye mye mer.


Ønsker du en demo eller vil se hvordan Jazz Platform fungerer i ditt miljø, ta kontakt med oss på info@paratumconsulting.com eller ring for en uforpliktende samtale om sikkerhet.