Sosiale medier har etter hvert blitt en verdifull del av virksomheters verktøykasse, enten Instagram brukes som salgsbod for eget håndarbeid, eller en godt etablert bedrift eller organisasjon bruker Facebook som markedsføringskanal. Disse verdiene er det mange som ikke tenker på å beskytte på lik linje med andre viktige systemer, og prisen kan bli høy om kontoen kapres og tilgangen går tapt.
Fakta
- 28 % av alle yrkesaktive nordmenn som bruker sosiale medier, bruker dem også til å dele ting fra jobben sin.*
- Blant selvstendig næringsdrivende er det 36 % som sier det samme.*
- Blant de som bruker sosiale medier til å dele ting fra jobben, sier 41 % at de har sikret kontoen med totrinnspålogging.
- 28 % av de som ikke har aktivert totrinnspålogging på sosiale medier, begrunner dette med at de ikke ser noen grunn til at noen skulle stjele kontoen.
- Kontoer kapres, og 30 % av henvendelsene til hjelpetjenesten Slettmeg.no gjelder tap av kontoer i sosiale medier. Hva er kontokapring? Og hvorfor skjer det?
* Undersøkelse utført av YouGov, sept. 2022 for NorSIS.
Merk: Ikke spurt om de administrerer bedriftens konto eller deler innhold fra egen konto.
Små og mellomstore bedrifter er ikke mindre utsatt for digitale angrep enn store bedrifter og virksomheter. Snarere tvert imot, for kaprere antar at de ofte tar sikkerheten mindre alvorlig og dermed blir ansett som et enklere mål. I denne sammenheng vil sosiale medier både eksponere og utvide den digitale angrepsflaten.
Mistet alt i løpet av 1 minutt
En tidlig ettermiddag i mars fikk Leila Dayvary en e-post om at noen hadde logget seg på butikkens Instagramkonto fra en ny enhet. Hun driver interiørbutikken NoDe i Oslo. Instagram har aktivt blitt brukt som butikkens utstillingsvindu for å nå ut til nye og faste kunder, og til å ta imot bestillinger fra kunder i hele landet. På under ett minutt etter den første e-posten mottok hun tre e-poster til. En om endret brukernavn, en om endret passord, og til slutt en fra kapreren som truet med å selge kontoen om hun ikke betalte.
Hun svarte aldri på kaprerens e-post, men la umiddelbart ut en post på Facebooksiden til butikken for å informere kundene om hva som hadde skjedd. I kommentarfeltet dukket nye svindelforsøk opp. En tilsynelatende reddende engel kunne hjelpe henne med å få tilbake kontoen. I panikk gikk hun i dialog med vedkommende. Det viste seg å være en falsk profil som skulle ha godt betalt for å hjelpe henne. Pengene skulle selvfølgelig betales på forskudd. Hun stanset i tide.
Jeg hadde så panikk at jeg ikke tenkte klart.
Interiørdesigner Leila Dayvary, NoDe
Kort tid senere var Instagram-profilen slettet. Med den forsvant 11 000 følgere og kunder, og en enorm bildekatalog som det hadde tatt 13 år å bygge opp. Et av hennes viktigste utstillingsvinduer var borte.
Jeg ble sjokkert. Jeg hadde mistet kontrollen over noe som var mitt, og som vi har jobbet så lenge for å bygge opp.
Interiørdesigner Leila Dayvary, NoDe
– Upraktisk med totrinnspålogging
Det er uklart hvordan kapringen skjedde, men én ting angrer Leila på. Hun skrudde av totrinnspålogging på kontoen da de ble flere som skulle bruke den. Med tre brukere på tre ulike lokasjoner, som i tillegg skulle ha tilgang til kontoen fra både PC og mobiltelefon, ble det for upraktisk at Leila måtte være tilgjengelig for å dele kode til totrinnspålogging, som var knyttet til hennes mobiltelefon. Det var rett og slett enklere å skru den av.
På spørsmål om hva hennes råd er til andre små virksomheter, er hun tydelig:
– Alle som bruker virksomhetens konto, må bruke totrinnspålogging. Og sterke passord.
Tiltak
- Bruk den sosiale medieplattformens bedriftsløsning. De fleste tilbyr muligheten til å styre alt av innhold, annonser, kommentarer og meldinger på en sikker måte. Se lenker til de største tjenesteleverandørene under.
- Aktiver totrinnspålogging på alle personlige kontoer som har tilgang til virksomhetens profil.
- Tenk nøye gjennom hvilke tilganger og roller den enkelte trenger. Gi for eksempel ikke administratorrettigheter til alle, så begrenser du også adgangen for en eventuell kaprer.
- Innarbeid en rutine for å slette tilganger når noen slutter.
- Ikke del innloggingsinformasjon med andre.
- Unngå å bruke samme brukernavn og passord for å administrere en felles konto.
- Gi de ansatte en innføring i de vanligste formene for sosial manipulering.
- Skap en kultur der det er lett å si ifra om det er gjort en feil. Da kan skadevirkningene raskere reduseres.
- Om uhellet er ute, vær åpen.