Lena Marthinsen og Erlend Andreas Gjære hos Secure Practice, som nylig mottok en pris for selskapets nye sikkerhetsprodukt.
Lena Marthinsen og Erlend Andreas Gjære hos Secure Practice, som nylig mottok en pris for selskapets nye sikkerhetsprodukt. (Foto: Harald Brombach)
EKSTRA

MailRisk

De vil gjøre det enklere og morsommere å spørre om eposten er ondsinnet

Det norske oppstartsselskapet har allerede blitt tildelt en sikkerhetspris for produktet.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Det norske oppstartsselskapet Secure Practice mottok nylig den norske OSPA-prisen (Outstanding Security Performance Awards) for beste nye sikkerhetsprodukt. I Norge er det Næringslivets Sikkerhetsråd som står bak kåringen

Secure Practice fikk prisen for produktet og tjenesten MailRisk, som i forbindelse med prisen omtales som «et program for deteksjon av mistenkelig epost». Det lyder ikke spesielt revolusjonerende. Samtidig er det en kjensgjerning at kyberangrepene som for tiden gjøres mot norske og utenlandske virksomheter, skjer via epost.

Mye tyder derfor på at mange virksomheter enten mangler systemer som oppdager epostbaserte farer, eller at systemene ikke er tilstrekkelig gode.

Smertelig erfaring

– Det er det samme nå som for 20 år siden. Folk åpner lenker og vedlegg, sier Erlend Andreas Gjære til digi.no. Han er daglig leder hos Secure Practice og har bakgrunn som forsker hos Sintef innen informasjonssikkerhet og menneske-maskin-interaksjon. Han har også jobbet mye med sikkerhetsopplæring.

– Det har vært litt smertelig å erfare at uansett hvor mye vi prøver å lære folk, så er det alltid noen som ikke får det med seg, eller som ikke har lyst til å lære. Dessuten er det umulig for folk alltid å huske alt. Det er veldig menneskelig å glemme, og menneskelig å gjøre feil, mener Gjære. 

– Noen syns det er helt opplagt at en epost er farlig, og ofte sletter de den. Men andre syns det er vanskelig å vite om eposten er farlig. Noen lar den ligge, mens andre kanskje klikker på vedlegget eller lenken for å se hva det er. Selv om de sikkert kan spørre kolleger eller IT-ansvarlige om hjelp, viser brukerstudier at mange kvier seg for å gjøre dette, dersom de i det hele tatt har muligheten, fortsetter han.

Noen lar eposten ligge, mens andre kanskje klikker på vedlegget eller lenken for å se hva det er.

Erlend Andreas Gjære

Hans kollega Lena Marthinsen er utdannet som digital etterforsker og jobber i tillegg med forretningsutvikling i selskapet. Hun forteller til digi.no at også det motsatte kan skje, at når flere i en virksomhet mottar den samme spam- eller phishingmeldingen, så videresender flere av dem meldingen til IT-avdelingen for å spørre om det er noe farlig, og oppfølgingen blir ikke den mest effektive. 

Digitaliserer sikkerhetsarbeidet

Det er her MailRisk kommer inn. Dette markedsføres som et supplement, og ikke et alternativ, til dagens sikkerhetsprodukter. Tjenesten skal gjøre det å spørre om en mistenkelig epost er farlig, til en mer positiv opplevelse. Samtidig avlastes IT-avdelingen, som kan gjøre mer produktive oppgaver.

– Vi digitaliserer i praksis sikkerhetsarbeidet, mener Gjære. 

MailRisk er en nettskybasert løsning som kan installeres som et tillegg til Office 365 eller Exchange. Den fungerer både i den installerte utgaven og webutgaven av Outlook, også på mobiler, og består i praksis av en enkelt knapp som vises ved siden av epostvinduet. Dersom brukeren er usikker på om eposten er trygg, er det bare å klikke på knappen. Da sendes eposten til Secure Practice, som undersøker den og kommer med et klart svar. 

– Først benyttet vi bare kunstig intelligens og regelbaserte advarsler. Men etter å ha jobbet med pilotpartnere og kommet fram til hva som er det egentlige behovet, kom vi i sommer fram til at vi må tilby hele løpet – vi må rett og slett love at vi alltid kan gi et svar, sier Gjære.

Full oppfølging

Han mener at dette gjør MailRisk til mer enn bare et produkt. 

– Det er som en tjeneste som vi alltid følger opp, sier Gjære. 

Dette er data som ingen andre har.

Erlend Andreas Gjære

Hvor lang tid det vil ta å få svar, kan variere , avhengig av om noe må sjekkes manuelt, og eventuelt hvor krevende etterforskningen er. 

– Vi samler data fra folks mistanker og bruker vår dataplattform til å analysere dette. Dette er data som ingen andre har. Det er snakk om eposter som allerede har passert alle andre filtre. Vi har bygd mekanismer som gjør at vi kan behandle det på en effektiv og unik måte. Veldig mye er automatisert, forteller Gjære. 

Saken fortsetter under bildet.

MailRisk-produktet til Secure Practice skal gi brukerne en rask måte å finne ut om eposten de har mottatt, utgjør noen fare.
MailRisk-produktet til Secure Practice skal gi brukerne en rask måte å finne ut om eposten de har mottatt, utgjør noen fare. Skjermbilde: Secure Practice

Spillopplevelse

Noe av målet med løsningen er å gjøre sikkerhet til en positiv opplevelse.

– Noen synes sikkerhet er litt vanskelig. Men dette er en robot som ikke dømmer deg og gjør det mer positivt å sjekke om eposten er mistenkelig, sier Marthinsen.

Dette er en robot som ikke dømmer deg.

Lena Marthinsen

For å gjøre opplevelsen mer positiv, inneholder MailRisk også et element av «gamification». 

– Når knappen brukes, får brukeren poeng, forteller Marthinsen. 

Gjære understreker at det dreier seg om et lagspill, som handler om å hjelpe hverandre. Poengene brukes også til å vekte innspillene fra dem som rapporterer. I tillegg benyttes blant annet en rekke eksterne kilder til trusseldata.

Simulator

For at brukerne hos kundene skal komme i gang, har Secure Practice en simulator som sender ut phishingmeldinger til brukerne. 

– Det å teste hvor mange som blir lurt, kan oppleves som litt negativt. Vi snur litt på det, og gir poeng til dem som oppdager svindelen. Det er lagt opp til at det skal være enkelt, og gøy for å få folk til å bruke knappen for første gang, forklarer Gjære.

Dersom det oppdages reelle trusler, kan IT-ansvarlige hos kunden varsles. Det tilbys også en webportal hvor en administrator kan se alle data om den mistenkelige eposten som har blitt mottatt og analysert. 

Hva er så målgruppen for MailRisk? 

– Den er en kostnadseffektiv nødhjelpskanal for små bedrifter, men vi har fått minst like mye oppmerksomhet fra de store, sier Gjære. 

Partnere

Secure Practice ble først etablert i august i fjor og har tre ansatte på fulltid. Den tredje er pedagogisk leder Ragnhild Olianna Kiplesund Gjære, som er utdannet spesialpedagog. Hun er også styreleder i selskapet.

Som en liten organisasjon har selskapet begrenset med ressurser til salg og markedsføring. Derfor har OSPA-prisen vært kjærkommen. 

– Det er veldig til hjelp. Vi har allerede blitt tatt kontakt av flere på grunn av prisen og ser resultater av dette, sier Erlend Andreas Gjære. 

Det fleste kjøper jo IT-tjenester fra partnere.

Erlend Andreas Gjære

Han legger til at selskapet nå jobber mye for å komme i gang med partnere som kan ta med produktet ut til kunder og fortelle om det. 

– Det fleste kjøper jo IT-tjenester fra partnere, og vi vil at MailRisk blir et tillegg som følger med når noe kjøper Office 365, sier Gjære. Men selskapet selger tjenesten også direkte. 

Hva den faktisk koster, får ikke digi.no noe klart svar på.

– Det er en pris per bruker per måned. Vi jobber med å validere prismodellen, men den er ikke avskrekkende i det hele tatt, lover Gjære og Marthinsen.

Globale mål

Ambisjonene stopper ikke ved landegrensene. 

– Vi bygger en skytjeneste som kan skalerer i det uendelige. Det er en halv milliard brukere av Outlook og Exchange globalt, enten «on premises» eller i skyen, forteller Gjære. 

Han avslutter med å fortelle at Secure Practice har fått veldig god hjelp fra Innovasjon Norge, med blant annet økonomisk støtte gjennom tre ulike tildelinger det siste året.

– Det har bidratt til at vi har fått validert produktet og kjørt piloter, og at vi kan gjøre nye utviklingsaktiviteter innen maskinlæring framover. Vi kan også bruke partnere på ting vi selv ikke er så gode på, for eksempel til maskinlæring og grafikk. Vi står ikke alene selv om vi for øyeblikket er få, sier Gjære. 

Leste du denne? Ny epost sprer bekymring – flere nordmenn lurt

Kommentarer (0)

Kommentarer (0)
Til toppen