Studien visar också att 81 procent av världens toppchefer har fått sina personuppgifter exponerade på spamlistor och läckta marknadsföringsdatabaser.
Nästan var tredje storbolags-vd har blivit ”pwned” när de använt sin företagsmejladress på olika webbtjänster. Detta visar en ny rapport från F-Secure som undersökt hur vanligt det är att vd:ars tjänstemejl finns i de databaser som läckt efter stora intrång. I praktiken betyder detta att de använt sin företagsmejl när de registrerat sina konton hos andra webbtjänster, och när dessa tjänster sedan hackats har e-postadresserna och lösenorden för kontona läckts. Om man haft dåliga lösenordsrutiner skulle det kunna innebära en ökad risk för riktade cyberangrepp.
Teckna din prenumeration av Aktuell Säkerhet här
Studien, CEO Email Exposure: Passwords and Pwnage, undersöker mejladresser som används av toppchefer på över 200 av de största företagen i tio olika länder. Forskarna jämförde dessa adresser med F-Secures databas över läckta personuppgifter som röjts efter intrång hos välkända webbtjänster. Studien finner bland annat att:
• LinkedIn och Dropbox är de två tjänster som utsatts för intrång där det är vanligast att vd:ar registrerat personliga konton med sin företagsmejl.
• De länder med störst andel vd:ar som använder sin företagsmejl på dessa tjänster är Danmark (62 procent) och Nederländerna (43 procent). Sverige återfinns i listans mittenskikt med 27 procent.
• 81 procent av alla vd:ar har fått information som mejladress eller andra personuppgifter (födelsedatum, hemadress eller telefonnummer) exponerade på nätet genom spamlistor eller läckta marknadsföringsdatabaser. Här ligger Nederländerna, Storbritannien och USA i topp med 95 procent drabbade vd:ar. För Sverige är siffran 77 procent.
• Endast 18 procent av de undersökta vd:arna har ingen koppling mellan sin e-postadress och den läckta informationen i F-Secures databaser.
– Denna rapport betonar återigen hur viktigt det är att bra regler och fungerande processer för lösenordshantering, säger Erka Koivunen, informationssäkerhetschef på F-Secure.
– Vd:arnas personuppgifter kan ha läckt utan att de nödvändigtvis gjort något fel. Men vi måste anta att många av de webbtjänster där vi har ett konto någon gång drabbats av intrång och att våra gamla lösenord finns kvar ute på internet och bara väntar på att bli utnyttjade. En målmedveten angripare kan ta dessa gamla lösenord och testa dem för att logga in på andra tjänster.
En toppchef på ett företag kan på grund av dåliga lösenordsvanor dels utsätta sina egna konton för risk, men utöver det också äventyra företagsdata. Enligt Verizon Data Breach Investigations Report från 2016 kunde en majoritet (63 procent) av samtliga bekräftade fall av dataintrång kopplas till svaga eller stulna lösenord – eller att man inte brytt sig om att ändra standardlösenord.* Ett intrång orsakat av icke-auktoriserad användning av en vd:s användarnamn och lösenord skulle vara svårt för de flesta företag att upptäcka, då de är dåligt förberedda att hantera intrång. Det visar data från F-Secures studier av riskhantering.
Att använda ett unikt och starkt lösenord för varje enskilt onlinekonto är närmast att betrakta som en förutsättning för att stänga ute hackare. Experter rekommenderar också att man använder lösenordshanterare för att detta ska kunna göras enkelt och smidigt. F-Secure Password Protection är den enda lösenordshanteraren på marknaden som är integrerad i ett klientskydd. Det är ett helt nytt tillskott i F-Secure Protection Service for Business som lanseras den 1 november.
*Source: 2016 Verizon Data Breach Investigations Report