Slik beskytter du bedriften din mot dataangrep

Antallet angrep mot norske småbedrifter øker dramatisk - samtidig som de kriminelle blir mer kreative. Er din bedrift forberedt?

Alle bedrifter kan regnes som attraktive mål for dataangrep, uansett størrelse. Små og mellomstore bedrifter er mest utsatt. Mer enn syv av ti dataangrep retter seg mot små bedrifter, til tross for at den økonomiske gevinsten er mindre per angrep enn mot store konserner.

Her beskriver vi de vanligste dataangrepene norske bedrifter utsettes for, samt forslag på hva du og dine ansatte kan gjøre for å beskytte din virksomhet. 

Få hjelp til å unngå datainnbrudd

De vanligste formene for datainnbrudd

Løsepengevirus

Ved å laste ned ukjent vedlegg i en e-post, trykke på en Facebook-post eller en SMS kan dine ansatte lamme og kryptere hele din virksomhets IT-system. Deretter krever angriperen løsepengesum for å låse opp innholdet. Eksempel: Løsepengevirus koster norske virksomheter dyrt. 

Kontokapring

Bruker du eller noen andre i din virksomhet enkle passord for å logge inn på jobbtjenester? Det kan gjøre dere sårbare for angrep med store økonomiske konsekvenser for hele arbeidsplassen. 

Verdikjedeangrep

Din virksomhet kan rammes av et angrep på en av dine kunder, leverandører eller samarbeidspartnere. Eller du blir angrepet som et ledd i et angrep på en av dine samarbeidspartnere, slik som da Coop Sverige ble lammet av et globalt hackerangrep

Nettsvindel

Nettsvindel er en type angrep der lav innsats kan gi angriperne stor uttelling. De mest vanligste angrepene er:

• Phishing: Noen prøver å lure personlig informasjon ut av deg, ofte med falske e-poster eller sms. En rapport fra Knowbe4 viser at phishing sendt fra HR-avdelingen ofte lykkes, og er et eksempel på hvor viktig det er å utvise skepsis også fra interne kilder: Pass deg for HR-avdelingen
• Direktørsvindel. Når svindlere utgir seg for å være en direktør eller annen leder, og sender betalingsinstruksjoner via e-post eller sms 
• Falske nettbutikker 
• Falske nettprofiler 
• Falske fakturaer 

Tiltak mot dataangrep

Sikkerhetsrutiner rundt teknologi - system - brukerhierarki - tilganger

Du som leder bør stille krav til IT-avdeling/IT-ansvarlig/driftsleverandør om å sørge for: 

• å skille mellom hvilke ansatte som har administrasjonsrettigheter, brukerrettigheter og eventuelle andre rettigheter i systemene ut fra hvilket behov de har i sin jobb
• at all nødvendig segmentering av nettverk er gjort
• at alle virksomhetens datamaskiner, operativsystem og programvare er oppdatert
• at dere benytter gode og effektive antivirus/antiskadevare programvare  
• at det jevnlig tas sikkerhetskopier av alle viktige filer, og at det tas regelmessig offline backup
• at det foretas tester på at gjenoppretting av back-up faktisk fungerer
• at totrinnspålogging er satt opp som standard, og at alle ansatte bruker totrinnspålogging 
• at alle enheter i bedriften, inkludert kaffetraktere, og varmeovner, som er koblet opp mot nett, er sikret med et godt brukernavn og passord
• at programvare som ikke brukes blir avinstallert
• at dere logger og monitorerer systemene, slik at uregelmessigheter kan oppdages
• at virksomheten ikke tillater at noen kjører kode eller installerer programmer fra en lenke eller et vedlegg de har fått tilsendt
• at dere har gode rutiner for onboarding/offboarding av ansattes brukerkontoer og tilganger.
• at det er gode rutiner for gjennomgang av e-postregler.
• Hvis de kriminelle har fått tilgang til e-postsystemene, kan de sette opp automatiske regler. 
• Ta gjennomgang av e-postregler jevnlig da disse ikke slettes når man bytter passord.

Sikkerhetsrutiner for ansatte og plan ved datainnbrudd

Som leder må du sørge for: 

• å innføre en god sikkerhetskultur. 
• dere snakker om sikkerhet fra ledelsen og ned
• kommunikasjon på at kontroll av informasjon settes pris på og at det ikke er tegn på mistillit, og at dere har en kultur der alle ansatte tør å si ifra hvis de gjør noe galt
• at du er et godt eksempel ved å rose de som sier ifra om feil 
• å ha gode rutiner for rapportering, og at de ansatte forstår hvorfor slik rapportering er viktig.
• å gi orienteringer og obligatoriske oppfølgingskurs om ulike sikkerhetsutfordringer (eks. sosial manipulasjon, trusselbildet/trusselen fra innsidere).
• å gjennomføre regelmessige øvelser/tester (eks. simulere phishing-tester der det sendes ut falske e-poster for å trene de ansatte i å avsløre dataangrep). 
• at alle vet at de må gi beskjed dersom de har lagt igjen brukernavn og passord et sted de er usikre på, for eksempel via en lenke 
• at dere har rutiner for gjenoppretting av passord, det vil si at alle vet hvem de skal kontakte for å få et nytt passord og hvor de får passordet sendt
• at du og dine ansatte ikke har andre disker og enheter koblet til datamaskinen til enhver tid. Det hindrer spredning av løsepengevirus hvis dere har blitt angrepet. 
• at du og dine ansatte ikke er tilkoblet skytjenester hele tiden. Løsepengevirus kan også spre seg til disse når du er logget på.
• at du har en plan for hva du og dine ansatte skal gjøre dersom dere utsettes for dataangrep, og at alle ansatte kjenner til planen 
• at ansatte ikke deler informasjon om hvordan virksomheten er organisert og hvilke sikkerhetstiltak og rutiner dere har.
• at dere har gode rutiner dersom dere blitt utsatt for bedrageri. 
• ta umiddelbar kontakt med egen bank og politiet hvis det skjer. 
• kartlegg på forhånd hvordan og til hvem man kan gjør en slik hastehenvendelse, også utenfor bankens ordinære åpningstid.

Dine ansatte utgjør den største risikoen for dataangep

De fleste dataangrep skjer med uvitende hjelp fra egne ansatte. Ansatte blir ofte omtalt som virksomhetens svake ledd for dataangrep. Tenk motsatt, at de ansatte er virksomhetens beste forsvar. 

• Årvåkne ansatte kan sees på som en del av virksomhetens førstelinjeforsvar og “sensornettverk”, ved at de er oppmerksom på trusler og svindelforsøk, og melder fra når noe skjer. 
• På denne måten unngår virksomheten mange trusler, og både ledelsen og de ansatte får et godt trusselbilde.

Ledere tenker ofte på IT-sikkerhet i form av teknologi som beskytter IT-systemer og komponenter fra angrep (IT-infrastruktur, programvare, enheter og nettverk). Dette er naturligvis viktig, men sannheten er at det ofte er egne ansatte som ubevisst representerer virksomhetens største risiko.

Virksomheter må altså ikke bare ta i bruk tekniske tiltak for å beskytte sine verdier, men i tillegg sørge for at de ansatte har god nok kunnskap, forståelse og åpenhet om egne feil, til å sikre virksomheten mot angrep. Dreiningen til angrep mot mennesker fremfor virksomhetens IT-systemer gjør det enda viktigere at den enkelte ansatte har kompetanse om hvordan svindlere jobber og hva de skal være på vakt mot.

Vår erfaring er at det er viktig med en organisasjonskultur basert på god bevissthet om IT- og datasikkerhet. Målet er å få kulturen naturlig integrert hos alle ansatte – som en del av deres tankesett og daglige jobb.

Les også: Slik jobber du trygt og effektivt fra hjemmekontor

Fem praktiske tips til dine ansatte, uavhengig av stilling, bransje, bedriftsstørrelse eller lokasjon:

1. Om en henvendelse virker som den prøver å manipulere deg ved å spille på frykt, fristelser eller tillit, kan det være et forsøk på å lure deg. Er du i tvil om en bestemt forespørsel, rådfør deg med en erfaren kollega. God kontroll er ikke et uttrykk for mistillit, spør heller en kollega en gang for mye enn en for lite. Og sett pris på om en kollega kontrollerer informasjonen de har fått fra deg.

2. Åpne aldri mistenkelige lenker eller vedlegg mottatt på e-post. 

3. Ikke bruk jobb-pc til privat e-post.

4. Passordet må være sterkt, altså vanskelig å gjette eller knekke av mennesker/datamaskin. For å få til dette er lengde og kompleksitet avgjørende. En passordfrase eller en setning kan være enkelt å benytte og huske, og er samtidig et sterkt passord.

5. Regler og rutiner kan oppleves som unødvendige og plagsomme, og som om de legger en demper på produktiviteten. Men glem ikke at de er på plass av en god grunn. Om ansatte gjør det til en vane å ta snarveier rundt etablerte regler gjør dere ikke bare dere selv en bjørnetjeneste, men de kriminelle en kjempetjeneste. Det blir da mye enklere for dem å få gjennomslag med svindelforsøkene sine.

Få oversikt over IT-sikkerheten i din bedrift

Vår IT-sikkerhetskartlegging omfatter alle tre pilarene innen IT-sikkerhet: 1. teknologi, 2. prosesser og rutiner, 3. mennesker, og i Azets har vi spesielt fokus på hvordan menneskene i organisasjonen best mulig rustes til å forhindre datainnbrudd. Våre tiltaksforslag mot dataangrep er basert på erfaringer som leverandør og rådgiver til over 12.000 kunder i Norge. Vi henter kontinuerlig innspill og gode råd fra andre virksomheter med spesiell fokus på datasikkerhet i Norge, slik som Nasjonal sikkerhetsmyndighet (NSM), Norsk senter for informasjonssikring (NorSIS), Næringslivets Sikkerhetsråd (NSR), Politiet og Telenor. Kontakt oss for en uformell prat rundt IT-sikkerhet!