Jenny Radcliffe
De flesta säkerhetsbrister har inte sitt ursprung i ett system. De börjar med att en person övertalas, distraheras eller litar på någon så pass mycket att denne släpper in en angripare. Styrelserna fortsätter att finansiera kontrollåtgärder som utgår från att personalen är det starkaste försvaret, samtidigt som angriparna ser den som den enklaste vägen in.
Jenny Radcliffe är en social ingenjör som försörjer sig på att bryta sig in i företag och visar ledningsgrupper exakt hur deras personal, lokaler och företagskultur utnyttjas.
Full Profile
Varför organisationer anlitar Jenny Radcliffe
- Hon har i årtionden fått betalt för att ta sig in i kundernas byggnader, nätverk och förtroende; de genomgångar hon håller för styrelser bygger på vad som faktiskt har fungerat, inte på vad teorin förutspår.
- Hon driver Human Factor Security, det konsultföretag hon grundade för att hantera auktoriserade tester av fysisk åtkomst och social manipulation åt organisationer som vill att deras mänskliga faktor ska stresstestas snarare än att endast utvärderas.
- Hennes inträde i Infosecurity Europe Hall of Fame placerade henne i en liten grupp som erkänns för att ha förändrat branschens syn på mänskliga risker från ett utbildningsproblem till en säkerhetsdisciplin.
- People Hacker, utgiven av Simon and Schuster, ger en ledande publik en lättläst redogörelse för hur bedrägerier, förevändningar och fysisk infiltration faktiskt fungerar i företagsmiljöer.
- Hon översätter angriparnas beteende till konkreta beslut om rekrytering, åtkomst, leverantörshantering och företagskultur – något som vanligtvis utelämnas i en CISO:s rapport till styrelsen.
Biografiska höjdpunkter
- Grundare och vd för Human Factor Security, det konsultföretag hon startade 2013 med fokus på risker kopplade till den mänskliga faktorn.
- Invald i Infosecurity Europe Hall of Fame 2022 och höll samma års Hall of Fame-föreläsning.
- Författare till People Hacker: Confessions of a Burglar for Hire, Simon and Schuster.
- Programledare för podcasten Human Factor, som utsågs till Europas bästa säkerhetspodcast vid European Blogger Awards 2018.
- Har flera gånger varit TEDx-talare om social manipulation, vilseledning och påverkan.
- Medverkade som ”HQ Hunter” i Channel 4:s Hunted, där hon tillämpade sina kunskaper inom OSINT och undercover-arbete på tv.
- Regelbunden huvudtalare vid Infosecurity Europe, RANT, Cisco-evenemang, Trend Micro-evenemang och PCI Security Standards Council Community Meetings.
Biografi
Det snabbaste sättet att ta sig förbi de flesta företags säkerhetssystem är att ringa på dörrklockan. Jenny Radcliffe har ägnat sin karriär åt att bevisa detta genom att arbeta som auktoriserad social ingenjör, anlitad för att ta sig in på kontor, datacenter och chefsvåningar med hjälp av inget annat än självförtroende, en täckhistoria och en noggrann bedömning av personerna framför henne.
Human Factor Security, det konsultföretag hon grundade 2013, bedriver detta arbete som en disciplin snarare än ett PR-trick. Kunderna beställer live-infiltrationstester, pretext-samtal och bedömningar på plats; resultaten används sedan som underlag för vägledning på styrelsenivå om hur kultur, processer och fysisk utformning skapar de luckor som angripare faktiskt utnyttjar.
Hennes bok *People Hacker: Confessions of a Burglar for Hire*, utgiven av Simon and Schuster, redogör i detalj för strategin, och podcasten *Human Factor* har byggt upp en trogen publik bland säkerhets- och riskproffs och vann priset för Europas bästa säkerhetspodcast vid European Blogger Awards 2018. Hennes medverkan i tv-serien ”Hunted” på Channel 4 och flera TEDx-föreläsningar har breddat publiken långt utanför cyberbranschen.
År 2022 invaldes hon i Infosecurity Europe Hall of Fame och höll Hall of Fames årliga föreläsning, ”Facta Non Verba: Six Life Lessons from a Social Engineer”. För ledande inköpare är det erkännandet mindre viktigt än det underliggande budskapet: hon är en av ett fåtal röster som säkerhetsbranschen numera betraktar som auktoriteter när det gäller den mänskliga sidan av hotbilden, och hon informerar styrelser på samma klarspråk som hon använder för att informera sina egna kunder efter ett lyckat intrång.
Viktiga föreläsningsämnen
- Social ingenjörskonst och säkerhet med fokus på den mänskliga faktorn
- Testning av fysisk åtkomst och infiltration av företag
- Bedrägerier, svindleri och moderna bedrägeritaktiker
- Säkerhetskultur och personalens beteende
- Bedrägeri, påverkan och icke-verbal kommunikation
- Insiderhot och pretextattacker
- Cybersäkerhetsgenomgång på styrelsenivå
Perfekt för
- CISOs, CSOs och chefer för informationssäkerhet som ansvarar för program för hantering av mänskliga risker
- Styrelser och ledningsgrupper som granskar cyber- och operativ resiliens
- Chefer för riskhantering, regelefterlevnad och styrning som övervakar bedrägerier och insiderhot
- Chefer inom företagssäkerhet, fastighetsförvaltning och HR som ansvarar för åtkomst, säkerhetsprövning och företagskultur
Resultat för målgruppen
- En tydlig bild av hur angripare faktiskt kombinerar förevändningar, OSINT och fysisk åtkomst mot organisationer som deras.
- Specifika kontrollpunkter där mänskligt beteende, inte teknik, avgör om en attack lyckas.
- Mer precisa frågor att ställa till säkerhets-, HR- och fastighetsteam om åtkomst, säkerhetsprövning och incidenthantering.
- Ett fungerande vokabulär för att diskutera social manipulation och mänskliga risker på styrelsenivå.
- Förtroende för att säkerhetsmedvetenheten kan omformas utifrån verkligt angriparbeteende istället för generisk utbildning.
Utvecklingssamtal
En förstahandsberättelse om hur socialingenjörer utnyttjar förtroende, rutiner och processer för att kringgå tekniska säkerhetsåtgärder.
Viktiga slutsatser:
- Hur angripare profilerar personal och väljer ut mål inom en organisation
- Var standardprogram för säkerhetsmedvetenhet misslyckas mot verkliga pretext-attacker
- Praktiska justeringar av åtkomst, säkerhetsprövning och rapportering som väsentligt höjer kostnaden för en attack
En genomgång av den sociala ingenjörens verktygslåda, som används för att visa ledare hur angripare tolkar deras egna medarbetare, lokaler och företagskultur.
Viktiga slutsatser:
- Den rekognosering som angriparna genomför innan de ens tar kontakt
- Hur tonfall, auktoritet och brådska utnyttjas som vapen i telefonsamtal, e-postmeddelanden och på plats
- Vilka förändringar i kultur och processer som faktiskt sätter stopp för dessa tekniker
En undersökning av hur organisationskultur och rutiner skapar de förutsättningar som angripare utnyttjar.
Viktiga slutsatser:
- De kulturella mönster som i det tysta sätter säkerhetskontrollerna ur spel
- Hur små operativa tillfälligheter samverkar och leder till allvarliga säkerhetsöverträdelser
- Var ledningen kan ingripa utan att införa fler verktyg eller utbildningsmoduler
En genomgång av hur klassiska metoder för att vinna förtroende har anpassats för digitala kanaler och företag som målgrupp.
Viktiga slutsatser:
- Mekanismerna bakom bedrägerier via företagsmejl, deepfake-bedrägerier och samtal där någon utger sig för att vara någon annan
- Varför ledande befattningshavare och ekonomiteam nu är prioriterade mål
- Beslutsregler som håller även under press när något känns fel