Vem ansvarar för trygga sociala medier?


Thea Jepsen
Content manager

För varje dag som går får sociala medier allt större affärsmässig betydelse för både företag och privatpersoner. Med denna utveckling kommer många möjligheter men även stora problem. 


För snart femton år sedan började den utbredda användningen av anti-virus program och brandväggar. I jämförelse fyllde Facebook femton år för några månader sedan, och det är få som känner till vilka problem som finns med kundbedrägerier, skadliga attacker och säkerhetsintrång från sociala medier. Än färre gör någonting för att skydda sina varumärken, kunder och medarbetare.

Problemen är många och verkliga!

Eftersom digital säkerhet är under konstant bevakning i traditionella kanaler som e-post och webb, letar hackare oavbrutet efter nya sårbarheter för att kunna genomföra sina angrepp. Vi kan konstatera att flertalet strategier går ut på att utnyttja företagens och medarbetarnas sociala medie-profiler, genom kontokapning, trollning av kunder via företagssidor eller phishinglänkar till medarbetare genom privata chattar på LinkedIn, för att nämna några. 

Vi behöver inte leta länge för att hitta både lokala och internationella exempel på hur illa det kan gå.

2018 blev Åre-VMs Twitterkonto kapat mitt under pågående skid- VM, och förra våren kapades även Socialdemokraternas officiella Twitterkonto. Formuleringar som ”Under måndag morgon så kommer Stefan Löfven avgå som partiledare” twittrades ut och partiets logga byttes ut. 2017 blev Deloitte av med stora delar av sin globala kunddata till följd av att en säkerhetsmedarbetare laddat ner en bild från en ny bekantskap på Facebook (NBC kallar det för ”Romansbedrägeri”). SÄPO har medverkat i flertalet artiklar de senaste åren för att uppmärksamma om att främmande makt använder LinkedIn för att rekrytera agenter och tillskansa sig känslig information.

På bluffakuten.nu kan man hitta flera exempel på falska Facebook-baserade marknadsföringskampanjer för t.ex. ICA, Gröna Lund och Liseberg under 2019, eller Willy:s under 2020.

Som vi ser på exemplen ovan är det inte bara multinationella organisationer som drabbas, utan företag och organisationer av alla storlekar i alla branscher, och allvaret i hoten och riskerna varierar kraftigt.

Därför är det avgörande att alla är medvetna om att närvaron på sociala medier innebär både en varumärkes- och säkerhetsrisk, och att man måste arbeta proaktivt för att minska den – oavsett vilken typ av organisation man företräder.  

Siffrorna talar sitt tydliga språk

Varje sekund blir 1,8 Facebook-profiler hackade, och under en sex månadersperiod från oktober 2018 till mars 2019 raderades inte mindre än 3,4 miljarder falska konton från nätverket.

Fejkprodukter är en miljardindustri, och de flesta köpare hittar produkterna via annonser på sociala medier. Under 2019 har över 6000 annonsbedrägerier anmälts i Sverige, vilket är en tydlig konsekvens av att det är så enkelt att sätta upp en fejk-profil för en tid, för att sedan radera den när bedrägeriet är genomfört. 

Enligt en analys från Accenture säger hela 78 procent av konsumenterna att deras lojalitet till varumärken är mindre än för bara tre år sedan. Siffror från McKinsey & Co visar att endast 13 procent är lojala mot deras favoritvarumärken. Det behövs alltså inte många negativa upplevelser för att skrämma iväg kunderna, eller för att förtroendet för ett varumärke ska vara förbrukat. 

 

Vem ansvarar för kundernas digitala trygghet?

I de flesta företag och organisationer är det marknads- eller kommunikationsavdelningen som ytterst som ansvarar för varumärket. Varumärken stärks genom kampanjer och annonser, med ”community management”, ”Employee Advocacy” och andra strategier, samtidigt som eventuella kriser hanteras både online och offline. 

Men marknads/kommunikationschefen måste också ta ansvar för att skydda varumärket mot illvilliga utomstående aktörer. För även om säkerhet normalt hör till IT-avdelningen, och det är frestande att dirigera problemet vidare till dem, så ligger inte sociala medier inom den existerande brandväggen och tenderar därför att falla utanför vad IT-avdelningen tar ansvar för. De tar ansvar för dataintrång, men inte roten till dataintrång. Och ytterst sällan tar de ansvar för kundernas digitala välbefinnande utanför era egna plattformar. 

Men marknads/kommunikationsavdelningen äger företagens närvaro på sociala medier. Därmed är det också de som får dras med konsekvenserna om kunder inte kan lita på deras annonser eller om det officiella Twitterkontot lägger ut falsk information.  Och även om det är en god idé att ha IT-avdelningen involverad när säkerhetsproblem ska lösas så är det endast ägarna som kan sätta siffror på vad det kostar i förtroende och uteblivna intäkter. 

Man kan tänka på ”Social Media Security” som ett hemlarm: Om inbrottstjuven tar sig in huset så är det ett polisärende (IT), men det bästa är om lås, larm och dörr är av sådan art att han inte kommer in till att börja med. Lås och bom på Sociala Medier måste marknad/kommunikation stå för. 

 

Hur förbättar vi Kundsäkerheten?

Först och främst, ta det på allvar. Lär dig vad ni behöver för att ha en säker och trygg digital närvaro för varumärket, medarbetarna, företrädarna och kunderna. Även om de flesta kontokapningar, attacker och fejkprofiler består i relativt harmlös trollning eller vandalism, tänk på vad konsekvensen blir om en cyberkriminell spammar all era [antal följare] följare med en falskt erbjudande (”Kundnöjdhetsenkät: Delta och få presentkort värt 300 kr. Begränsad till de första 100 deltagarna. Klicka här: länk ”) laddad med den senaste upplagan av malware. Tänk på vad det kostar er i tid och pengar att reparera den skadan.

Utöver det rekommenderas fem konkreta åtgärder:

 

1. Kontrollera om ni redan har blivit komprometterade

Kolla haveibeenpwned.com, som har en enkel sökfunktion för att se om din e-postadress har läckt i någon av de största läckorna fram till nu. Den här siten visar inte alla läckor någonsin men den ger dig insikt i hur stort problemet är. Går det att hitta lösenord till företagets konton eller system via din eller dina medarbetares privata e-post?

2. Upprätta en ”white list” över alla företagets officiella sociala mediekonton

Många företag vet inte vilka kanaler de har och inte har, och än mindre vilka kanaler deras kunder kan uppfatta att de har. Grundregeln är, att om er logga, namn eller varumärke syns på kontot, så bör ni känna till dess existens och veta vem som administrerar det och i vilket syfte.  

3. Ha en policy, och följ den

Sociala medier är till sin natur, just det, sociala. Det är i grunden bra om medarbetarna tar för sig och är aktiva på relevanta nätverk. Men se till att de vet vad de får och inte får säga om ert företag i statusuppdateringar eller privata chattar. I vissa branscher och situationer kan de vara värt att ha Inline Moderation, d.v.s. att policyn är införd i ett system som fångar upp ifall personnummer, insiderinformation eller andra känsliga uppgifter skrivs ut, och varnar kontoadministratören. 

4. Använd ett Social Media Management-verktyg

Genom att använda Social Media Management-verktyg, helst med Single Sign On, tar ni bort mycket av den komplexitet som uppstår med lösenordshantering, och minskar risken att medarbetare återanvänder privata (möjligen komprometterade) eller osäkra lösenord när de skapar era konton. Hootsuite, Sprinklr, Falcon och Sprout är vanligt förekommande i Norden. 

5. Bevaka sociala medier och digitala kanaler för affärs- och säkerhetsrisker

Sök systematiskt efter phishinglänkar, fejk-konton, fejk-domäner och bedrägerier relaterade till era varumärken och medarbetare. Om er digitala närvaro är för stor för att det ska vara praktiskt att göra manuellt, investera i en bevakningsplattform som Zerofox som gör det automatiskt, skalbart och som ger er möjlighet att agera mot de hot och risker ni upptäcker.