– Det finnes to typer selskap: De som vet at de er hacket, og de som ikke har funnet ut av det ennå
Sikkerhetsekspert Thomas Tømmernes i Atea sammenligner hackere med biltyver som ser etter åpne bildører. Mange SMB-er har åpne dører og kan med enkle grep sikre seg bedre. Her er veiviseren som kan gi deg nøkkelen.
– IT-sikkerhet er komplekse greier. Men dessverre bærer veldig mange av samtalene om temaet også preg av at mange ønsker å være den smarteste i rommet.
Det sier Thomas Tømmernes, som leder sikkerhetssatsingen i IT-selskapet Atea. Gjennom denne jobben, samt over 20 års fartstid i bransjen, har han erfart at det ikke bare er utfordrende å sikre norske bedrifter mot cyberangrep – men også å få norske bedriftseiere til å forstå hvor viktig denne sikringen er.
– Da jeg begynte å skrive om sikkerhet for noen år siden, fikk jeg klar beskjed om at jeg «fordummet faget». Men det handler ikke om å fordumme noe, poenget er å forklare komplekse ting på en måte som gjør at flest mulig forstår det, sier Tømmernes.
Han forteller at når kundene ikke «skjønte bæret» når det ble snakket om sikkerhet, satt det også langt inne å investere i det.
– Du kan godt vinne diskusjonen, men tape krigen. Skal vi som jobber med sikkerhet klare å vinne den, må vi bli enige om hvor vi vil, og hvor enkelt vi kan forklare dette for flest mulig folk. Først da kan vi få alle til å gå i samme retning, sier Tømmernes.
Ny veiviser om digital sikkerhet
«Krigen» er i dette tilfellet trusselen norske privatpersoner og bedrifter møter fra stadig mer avanserte cyberangrep.
For at flest mulig norske virksomheter skal være rustet til å møte disse truslene, har DigitalNorway i samarbeid med Atea og Telenor utviklet et ny veiviser – et gratis, digitalt kurs – om digital sikkerhet.
– De fleste av oss forstår verdien av brannalarmer, dørlåser og komfyrvakter i hjemmene våre, men har ikke tilsvarende begrep om hvordan vi kan sikre verdiene i bedriften sin. Ved å lage denne veiviseren, håper vi at flere kan få øynene opp for dette, sier Sigri Sevaldsen i DigitalNorway.
Veiviser Sikkerhet forklarer hvordan ting henger sammen, og gir gode eksempler og råd på veien.
– God sikkerhet starter med god kunnskap. Vi håper derfor at denne veiviseren kan gjøre det lettere å forstå verdien av god sikkerhet, slik at det kan settes høyt nok opp på agendaen. Videre håper vi at viser hvor du skal starte om du ikke allerede er i gang, sier Sevaldsen.
I denne veiviseren får du hjelp til å sette i gang med sikkerhet – enkelt forklart:
Veiviser
Digital sikkerhet
Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.
– Kan skje alle
I veiviseren pekes det blant annet på hvordan 1 av 5 norske bedrifter – også de små – kan ha opplevd sikkerhetshendelser som har påvirket dem negativt.
– Mye av dette handler om at flere må forstå at dette i aller høyeste grad kan skje også med dem. Det kan gi en forståelse som gjør det lettere å bruke tid og ressurser på det – samt få med seg andre, sier Sevaldsen.
Spesielt for små og mellomstore bedrifter som nå opplever at de står i en omstilling, kan slik kunnskap være viktig – og et godt startsted for videre digitalisering.
– God sikkerhet er noe av det viktigste som må på plass i den digitale grunnmuren – eller så kan du risikere at alt som bygges på toppen raser. Og har du først sikkerheten på plass, er det enklere å gå i gang med et godt digitalt rigg på veien videre.
At digital sikkerhet er noe som angår selv de minste selskapene, er noe Tømmernes er helt klar på:
– Det finnes to typer selskap: De som vet at de er hacket, og de som ikke har funnet ut av det ennå.
Han sammenligner de fleste digitale angrep med en biltyv som går nedover en gate og ser etter åpne bildører:
– Sjansen er størst for at han tar seg inn i den første bilen han finner med ulåst dør. Sånn er det også på internett: Alle IP-adresser ser like ut, og når de cyberkrimineller scanner etter kjente sårbarheter, kan de ikke se om de har truffet på en kommune eller en pølsebod – finner de en inngang, tar de seg inn, sier Tømmernes.
Mange typer angrep
Er du en virksomhetsleder som har publisert noe på internett, er du derfor like utsatt som alle andre:
– Gjennomsnittstiden fra de kriminelle har tatt seg inn til de faktisk gjør noe, ligger på mellom 90 og 200 dager. På den tiden finner de ut av hva slags offer de har med å gjøre, og bestemmer seg for hvordan de skal angripe, sier Tømmernes og fortsetter:
– Kanskje samarbeider du med noen større, der du kan være en inngang videre til dem? Har du kanskje en høy omsetning i egen bedrift, kan de velge å låse alt sammen med løsepengevirus. Og er alt bare kaos, kan det tenkes at de går for en direktørsvindel.
Større oppmerksomhet rundt sikkerhet
Som Sigri Sevaldsen peker på, er økt kunnskap første steg på veien mot god sikkerhet. Det er først når du skjønner at også din virksomhet er utsatt, og at du faktisk har verdier du må beskytte, at du kan ta arbeidet med sikkerhet på alvor.
Thomas Tømmernes opplever at spesielt eksponeringen rundt profilerte cyberangrep i nyhetsbildet de siste to årene har fanget oppmerksomheten til flere:
– De som faktisk står frem og forteller sine historier, fortjener heltemedaljer – fordi det gjør at flere skjønner at de selv må ta grep, sier Tømmernes og fortsetter:
– En av de telefonene jeg nå oftest tar imot, er «jeg har lest om dette, kunne det skjedd oss?». Svaret mitt er da at «ja, mest sannsynlig kan det det.»
Det første Tømmernes deretter gjør når han møter nye kunder, er å sette seg inn i hva de faktisk driver med – og hva som er viktig å beskytte.
– Enten de lager pianokasser eller fiskestenger, finner vi gjerne fort ut at dette også er det de er aller best på – ikke å ivareta sikkerheten rundt hele virksomheten. Det er mange grep man selv kan gjøre, samtidig som løsningen ofte er å søke hjelp utenfor bedriften. Hvis sikkerheten blir ivaretatt, får de mer tid til å drive med det de er gode på – og det er mindre risiko for at ting går til hundene på veien.
Thomas Tømmernes’ fem tips til bedre sikkerhet
– Ikke alle bedrifter klarer jobben med sikkerhet på egenhånd – og trenger hjelp utenfra. Men har du disse tingene på plass, er mye av jobben gjort, sier Tømmernes – og kommer med fem konkrete tips:
- Bruk multifaktor! Ved å beskytte kontoer med et ekstra påloggingssteg, kan du i praksis stoppe de fleste angrep
- Sørg for at du har en oppdatert antivirusløsning
- Du må også ha en eller annen form for brannmur
- Hva gjør du når det først skjer noe? Ha en plan klar, der du har tenkt over disse tingene på forhånd
- Og sist, men ikke minst: Du må ha god brukeropplæring rundt sikkerhet hos alle i virksomheten.
I dette kurset får du konkrete tips og råd om hvordan du kan sikre din bedrift:
Veiviser
Digital sikkerhet
Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.