Slik sikrer du bedriften mot dataangrep

Høsten 2018 ble mørketallsundersøkelsen* publisert. Den viser at vi fremdeles har mye å hente når det gjelder utdanning og kompetanse innen IT-sikkerhet. Et positivt funn er derimot at bedrifter som har gode styringssystemer og jobber med forebyggende sikkerhetsarbeid, høster frukter av sitt systematiske arbeid.

Slik øker du IT-sikkerheten i virksomheten

Systematisk arbeid med IT-sikkerhet gir resultater
Norge er et av verdens mest digitaliserte land, og selv om det er positive tendenser i riktig retning, har vi mye å hente når det gjelder IT-sikkerhet. Innføringen av EUs personvernlov (GDPR) i 2018 har likevel bidratt til at IT-sikkerheten har blitt satt på dagsorden i de fleste virksomheter, hos både ledelse og styre. Nær halvparten (48 %) av virksomhetene i mørketallsundersøkelsen har gjort endringer i sikkerhetsarbeidet som følge av den nye personvernloven.

Av virksomhetene som har blitt utsatt for sikkerhetsbrudd, mener hele 67 % at hendelsene skyldtes tilfeldigheter eller uflaks. Virksomheter som har et rammeverk eller styringssystem, samt jobber systematisk med forebyggende sikkerhetsarbeid, ser i mindre grad tilfeldigheter og uflaks som årsak til hendelsen. De ser også ut til å oppdage hendelsene raskere, og mindre tilfeldig enn virksomheter uten styringssystem.

Dette understreker viktigheten av å ha et rammeverk og styringssystem, og dette ansvaret ligger hos ledelsen og styret. Denne bør omhandle både det menneskelige og tekniske aspektet ved IT-sikkerheten. Har virksomheten styringssystemet på plass, samt en beredskapsplan – vil dette sikre en best mulig håndtering av et sikkerhetsbrudd, og minimere konsekvensene.

Menneskelige ressurser – tiltak

I følge undersøkelsen oppgir 55 % menneskelige feil som årsaken til sikkerhetsbruddet. Det underbygger det faktum at mangel på en god sikkerhetskultur og opplæring er den største trusselen for datasystemene. Gode sikkerhetssystemer hjelper ikke stort dersom de ansatte gir fra seg passord, laster ned skadelig programvare eller klikker på falske linker.

Skap en god digital sikkerhetskultur

Opplæring av ansatte
Mørketallsundersøkelsen viser at phishing og sosial manipulering (f.eks. gi fra seg sensitiv informasjon eller passord) er de vanligste informasjonssikkerhetshendelsene, og det er mer enn en dobling av antallet siden 2016.

En god opplæring av alle ansatte i bedriftens sikkerhetsrutiner. Å klikke på infiserte linker som tilsynelatende ser ut til å være sendt fra store kjente aktører, er fort gjort. Hent gjerne inn ekstern ekspertise, som kan fortelle om trusselbildet, sikkerhetsprosesser og hvordan de kan minke faren sikkerhetsbrudd - og bistå med intern trening. Gode rutiner for jevnlig oppdatering av programvaren er også et viktig tiltak.

For mindre bedrifter anbefaler Norsk Sikkerhetsmyndighet å lese sikkerhetsanbefalinger på nettvett.no.

Testing av alle ansatte
Å sende ut en test til bedriftens ansatte, kan være en smart måte sjekke de ansattes bevissthet og kunnskap. Klikker de seg inn på noe der varselbjellen burde ringe? Her er det viktig å inkludere alle de ansatte, også IT-folk og ledelse. Slik tester, eller konstruerte dataangrep, kan gjerne utføres av eksterne selskaper som har dette som sitt spesialfelt.

Trening og rutiner i ledelsen
Toppledelsen er mer utsatt for dataangrep enn noen andre i bedriften. De sitter på både makt og sensitiv informasjon, og er derfor er yndet mål. Økonomiarbeider og ledelse bør derfor få en grundig opplæring i denne type svindel, og det bør utarbeides gode rutiner for større pengeoverføringer for å unngå at svindelen lykkes.

Beredskapsplan
Alle bedrifter, store som små, bør ha en beredskapsplan dersom det skulle skje en hendelse. Beredskapsplanen bør inneholde en risikoanalyse, og et planverk for rutiner og verktøy. Hvordan få rask teknisk assistanse, hvem skal informeres og hvordan, hvordan håndtere sosiale medier, og ikke minst, hvem gjør hva.

Sikkerhetssystemer og tekniske løsninger

Antivirusprogram og brannmur
Antivirusprogram bør alle ha på maskinen sin. Disse oppdateres automatisk, men bør sjekkes med jevne mellomrom. Det kan likevel være vanskelig for antivirusprogrammet å identifisere alle trusler, så det vil være behov andre sikkerhetsprogrammer i tillegg. Sørg også for at brannmuren tilfredsstiller alle bedriftens behov og at den fungerer slik den skal.

Back-up
Ta hyppige back-up av bedriftens datasystem, helst daglig – og kontroller jevnlig at den fungerer som den skal. Dette sikrer at du ikke mister verdifull data ved et eventuelt sikkerhetsbrudd.

Tilganger
Det bør være gode systemer for hvem som skal ha tilgang til hva og hvor lenge. Dette bør også omhandle eksterne parter som gis tilgang til systemene. Her er det lett at det glir ut og man mister oversikten.

Tjenesteutsetting
Rundt halvparten av alle norske bedrifter overlater ansvaret for IT-driften til profesjonelle aktører, helt eller delvis. En slik outsourcing bør skje på bakgrunn av risikovurderinger og krav til leverandøren. Å sette bort tjenester som virksomheten står og faller på, kan øke risikoen for tilsiktede og utilsiktede hendelser. Her bør ledelsen ha full oversikt og kontroll.

Teknologier for sikring av epost og nettsider
Det finnes mange teknologier for sikring av både epost og nettsider. Det er mange måter svindlere kan lure brukerne på, både via epost og nettsøk. Det er for eksempel viktig å teknisk sikre at brukere blir sendt til de nettadressene de har til hensikt å besøke, og ikke et identisk nettsted som kontrolleres av en svindler. Her finnes det mange teknologier med ulike formål, og det er viktig å sette seg inn i de ulike alternativene.

Cyberforsikring – en del av beredskapen

Mørketallsundersøkelsen viser at virksomhetene har liten oversikt over kostnadene knyttet til sikkerhetshendelser. Kostnader som er estimert til titalls milliarder kroner hvert år.

En cyberforsikring kan ikke hindre sikkerhetsbrudd i bedriften, men er en veldig god sikring dersom en hendelse skulle skje. Ikke bare kan bedriften risikere enorme tap som en direkte konsekvens av sikkerhetsbruddet, men det er også store kostnader forbundet med granskningsarbeidet bedriften er pålagt gjøre i etterkant. Det er også en rekke andre kostnader som oppstår i kjølvannet av et sikkerhetsbrudd.

En cyberforsikring gir bedriften umiddelbar teknisk hjelp når en hendelse oppdages, juridisk bistand i hele prosessen og PR- rådgivning. I tillegg dekkes de finansielle kostnadene som oppstår som følge av sikkerhetsbruddet.

*Mørketallsundersøkelsen 2018, gjennomført av Opinion AS for Næringslivets sikkerhetsråd.