Guide: Slik sikrer du bedriften din mot hacking

Illustrasjonsfoto: Pexels

Cybersikkerhet kan virke utfordrende og vanskelig – ikke minst for små og mellomstore bedrifter. Slik kan du med noen enkle grep sikre bedriften og de ansatte mot hacking og digitale svindelforsøk.

Hacking, phishing, kryptovirus og DDoS-angrep – for mange av oss kan cybersikkerhet virke som et stort og uoversiktlig felt fullt av tekniske begreper og fagterminologi.

Ikke alle har kompetanse, tid eller ressurser til å sette seg grundig inn i alle de digitale truslene der ute, og det kan være vanskelig å vite hva man bør gjøre for å styrke bedriftens sikkerhet.

Heldigvis finnes det noen enkle grep som kan gi stor effekt. Her har vi samlet det viktigste du bør vite – og konkrete tips til hva du bør foreta deg.

– Små virksomheter tar ofte en risiko de ikke vet at de tar.

Hans Marius Tessem, seniorrådgiver i NorSIS

7 av 10 angrep rammer små bedrifter

Digitale verktøy effektiviserer arbeidshverdagen, men byr også på stadig nye sikkerhetsutfordringer. Antallet digitale sikkerhetsbrudd og forsøk på svindel er stadig økende, og små og mellomstore bedrifter viser seg å være ekstra sårbare – 71 prosent av dataangrep retter seg mot små bedrifter.

– Små virksomheter tar ofte en risiko de ikke vet at de tar. De er ikke klar over hvor sårbare de er, og hvilke konsekvenser dette kan få for bedriften, sier Hans Marius Tessem, seniorrådgiver i NorSIS, Norsk senter for informasjonssikring.

Vi har gjort oss mer avhengige av digitale virkemidler enn vi kanskje tenker over, og mange er heller ikke klar over risikoen dette kan føre med seg.

Hans Marius Tessem. Foto: NorSIS

Enkle grep – stor effekt

I mylderet av ulike tjenester, tiltak og anbefalinger kan det være vanskelig å vite hvilke hva man bør og ikke bør gjøre for å sikre bedriften best mulig mot digitale trusler.

– Det er lett å få feil inntrykk av hva som er viktig, og det er lett å bli apatisk – men om man har de helt enkle tingene på plass så er mye gjort, sier Tessem i NorSIS.

Oversikt over egne rutiner og systemer, opplæring av ansatte og enkle tekniske løsninger som totrinnsverifisering er tiltak som effektivt stikker kjepper i hjulene til hackere og svindlere­ – uten å gjøre store innhogg i budsjettet.

Flest blir utsatt for vinningskriminalitet

– Når man tenker på hackere så tenker man ofte på store virksomheter og spionasje, men den største trusselen mot små og mellomstore bedrifter er vinningskriminelle, forteller Hans Marius Tessem.

Ofte er det snakk om vinningskriminelle som ser etter svakheter i cybersikkerheten, og utnytter mulighetene de måtte finne. Studier viser at det ligger økonomiske motiver bak en stor del av dataangrepene. Informasjonsuthenting er også et vanlig mål for hackerne, og dette mener Tessem at det ofte tas for lett på.

– Man tenker ofte at tap av informasjon ikke nødvendigvis er så farlig, men dette kan selges videre. Får hackerne en enkel vei inn, så tar de den og ser om det de finner kan brukes til noe.

Les mer om hvilke typer angrep som rammer norske små og mellomstore virksomheter her.

Du er ikke nødvendigvis målet

Norske små og mellomstore virksomheter er ofte en del av komplekse verdikjeder av leverandører og underleverandører, mennesker og teknologi. Dermed blir enkeltbedrifters digitale sikkerhet også et spørsmål om samfunnssikkerhet.

Om små eller mellomstore bedrifter utveksler informasjon eller tjenester med større aktører eller offentlige instanser uten å ha sin egen cybersikkerhet på stell, så kan dette være en inngangsport for angrep som i verste fall kan ramme samfunnskritisk infrastruktur og få store konsekvenser.

Alle ansatte har flere digitale kontaktpunkter ut mot verden, blant annet via datamaskiner, telefoner og nettbrett. Mange kontaktpunkter betyr mange potensielt svake punkter, og derfor er det viktig å kjenne til hvilke grep man bør ta for å sikre virksomheten best mulig mot dataangrep og svindelforsøk.

Ved å følge disse rådene er du på god vei mot en tryggere digital arbeidshverdag i bedriften:

1. Få kontroll på passordene

Det enkleste – og kanskje viktigste – tiltaket man kan gjøre er å skru på totrinnsverifisering på alle tjenester der det er mulig. Da kreves det, i tillegg til brukernavn og passord, en bekreftelseskode for å få tilgang. Dette gjør det mye vanskeligere for de kriminelle.

– Det aller, aller første man bør gjøre er å skru på totrinnspålogging der det er mulig. Det er så viktig og så enkelt, sier Tessem i NorSIS.

I tillegg er det viktig at man ikke bruker det samme passordet på alle tjenester, og man kan gjerne benytte et passordprogram som genererer unike og sterke passord – og lagrer disse i en kryptert database. Hans Marius Tessem forteller at nye løsninger som skylagring og automatiske oppdateringer gjør god cybersikkerhet i bedriften lettere, men at pålogging og passord fortsatt er et sårbart punkt.

– Hvorfor hacke seg inn når man kan logge seg inn, tenker de kriminelle. Når vi flytter flere og flere verktøy inn i skyen er det mye vi slipper å forholde oss til. Det er tryggere enn lokal lagring, men det kan fortsatt gå galt med påloggingen.

2. Ta en risikovurdering

Tessem i NorSIS sier at mange blir blanke i øynene og soner ut så fort man snakker om risikovurdering, men at dette ikke trenger å være vanskelig, dyrt eller tidkrevende.

Risikovurdering handler helt enkelt om oversikt. Oversikt over hvilke verdier bedriften har og hvor de ligger, og oversikt over egne systemer og rutiner.

– Ved å gjøre en systematisk risikovurdering og skaffe seg oversikt kan man spare mye, og man kan også treffe sikkerhetstiltak og rutiner som ikke koster en krone, sier Tessem.

Han påpeker videre at en vanlig bieffekt av en systematisk gjennomgang av egne sikkerhetsrutiner og systemer er at man finner muligheter for effektivisering av bedriftens virksomhet – så her kan det være mye å hente.

3. Sørg for god opplæring

Opplæring og bevisstgjøring av de ansatte kan være et kritisk punkt for små og mellomstore bedrifter, og mangelen på dette kan gjøre dem til et attraktivt mål for cyberkriminelle.

– Kunnskapen om dataangrep og svindelforsøk er svakest hos de små og mellomstore bedriftene. I en liten virksomhet kan kaffebudsjettet være større enn budsjettet for informasjonssikkerhet, og da er det viktig å vite hva som er de viktigste truslene og tiltakene. Lærer du deg å kjenne igjen svindel så er du langt på vei, sier eksperten fra NorSIS.

De fleste svindelforsøk bruker sosial manipulering som verktøy, og spiller på følelser som frykt, fristelse og tillit ­– og krydrer ofte det hele med tidspress. Om man får en henvendelse som krever at man oppgir personlig eller sensitiv informasjon bør man ta et steg tilbake, selv om det kommer fra en kontakt man anser som troverdig.

I tillegg er åpenhet og rom for å melde fra viktig for god sikkerhet i bedriften.

– Over 60 prosent av hendelser skyldes feil, eller at ting går i stykker – ikke direkte hackerangrep. Det må man ta høyde for og begrense, og dette handler i stor grad om åpenhet i bedriften.

– Alle kan gjøre feil, men det må være rom for å si ifra – man bør vokte seg for en pekefingermentalitet. Kryptovirus kan bli liggende en stund i systemet før det aktiveres, og derfor bør man unngå situasjoner der ansatte ikke sier ifra om mulige sikkerhetsbrudd, forklarer han.

4. Sikker e-post

De fleste av oss har fått e-post som kan virke mistenkelig. Faktisk viser en undersøkelse fra Telenor at 93 prosent av befolkningen har mottatt dette, og at 1 av 3 også har åpnet utrygg e-post. I tillegg til tiltakene nevnt ovenfor, finnes det noen konkrete og effektive tips for å redusere risikoen e-post-svindel på arbeidsplassen.

For det første kan svindlere sende falske betalingskrav fra leverandører og samarbeidspartnere eller forsøke å endre kontoinformasjon på fakturaer. Hvis man er usikker på om man har blitt utsatt for dette kan det rett og slett lønne seg å ta en telefon til avsenderen og dobbeltsjekke.

En vanlig grunn til at informasjon om bedriften kommer på avveie er feilsending av e-post. Faren for dette kan reduseres ved å slå av autofullfør-funksjonen i e-postklienten, slik at den ikke automatisk foreslår og fullfører navnet på mottakeren etter de første tastetrykkene.

Hans Marius Tessem i NorSIS har også et tips om hva man bør gjøre dersom man trykker på en ukjent lenke og blir bedt om å logge inn med brukernavn og passord – prøv med et tullepassord først.

– Om du kommer inn med et tullepassord så er det juks, konkluderer Tessem.

Vil du lære mer?

Kurs

Cybersikkerhet

Grunnleggende innføring på 25 minutter: Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Dette kurset passer for deg som trenger en innføring i grunnleggende cybersikkerhet.

Om DigitalNorway:

DigitalNorway ble stiftet for å få fart på digitaliseringen av norsk næringsliv. Det gjør vi gjennom å tilby digital kompetanseheving til bedrifter og ansatte. I tillegg jobber vi med å tilrettelegge for at alle bedrifter i Norge skal ta del i den datadrevne økonomien.