Slik sikrer du småbedriften mot cyberangrep: Les ekspertens tips
Småbedrifter er særlig utsatt for nettangrep. Dette er grepene du bør ta for å sikre dine verdier.
Det er fort gjort å tenke at målrettede cyberangrep først og fremst rammer store selskaper og organisasjoner. Slik er det ikke.
Ifølge Norsis er godt over halvparten av alle digitale angrep rettet mot bedrifter med under 20 ansatte. Slike virksomheter har ofte mindre ressurser, mindre erfaring med datasikkerhet og det kan være enklere for uvedkommende å utnytte svakheter i systemene deres.
– Alle kan være et mål, fordi alle har noe som er verdifullt, sier Erlend Andreas Gjære.
Han har jobbet med cybersikkerhet i nærmere 15 år, og er medgründer av Secure Practice, som utvikler og leverer skytjenester for bedre sikkerhetsarbeid til mer enn 500 virksomheter.
Gjære forklarer at bedrifter som ikke har prioritert datasikkerhet oftere ender opp med å betale løsepenger i møte med cyberangrep – rett og slett fordi de ikke ser noen annen utvei.
Likevel gir ikke betaling av løsepenger noen garanti for at man ikke blir angrepet igjen. Tvert imot forteller man med dette til utpresserne at man både er dårlig forberedt, og at man har betalingsvilje overfor kriminelle.
Cyberøvelse for bedriften
Cyberberedskapsøvelse
I dette kurset skal vi gjennomføre en beredskapsøvelse for en cyberhendelse. Du vil lære hvordan et hackerangrep kan foregå, se konsekvensene av ulike beslutninger som må tas under press, og bli bedre forberedt til å takle en ekte krise.
Kjøleskapsmontør ble veien inn til et av tidenes største databrudd
En side av saken er at hackere kan være interesserte i verdier i form av både informasjon og penger. Løsepenger og direktørsvindel er populært blant cyberkriminelle fordi veien til utbytte i form av penger, er kort.
– Men småbedrifter er også særlig utsatt fordi de kan være en bakvei inn til andre, større virksomheter, sier Gjære.
Det finnes det mange eksempler på.
For noen år siden ble det sendt en phishing-mail til en liten bedrift som monterte kjøleskap i Pennsylvania. Herfra klarte hackere å ta seg videre inn i lavprisgiganten Target sine systemer og stjele over 40 millioner kredittkort.
Svindelmetoden i seg selv var ikke særlig avansert. Men fordi rutiner og kunnskap om digital sikkerhet manglet, ble det som i dag er kjent som et av tidenes største datainnbrudd et faktum.
– På samme måte kan for eksempel et lite regnskapsbyrå være et mål fordi noen ønsker å stjele penger eller informasjon fra et større selskap som er byråets kunde, forteller Gjære.
Her deler han derfor tre tips til hvordan småbedrifter kan beskytte seg mot cyberangrep:
1. Kartlegg verdier og hva som kan gå galt
Begynn med å stille dere selv disse to spørsmålene:
- Hva er det mest verdifulle vi har?
- Hvordan kan disse verdiene bli angrepet?
– Legg igjen merke til at verdier ikke bare handler om kroner og øre. Verdier kan også være tilganger hos samarbeidspartnere og personopplysninger vi behandler om andre, slik som i eksempelet med Target, sier Gjære.
Det er også naturlig å vurdere verdien av ulike forretningshemmeligheter, produksjonsprosesser, nøkkelkompetanse, kunde- og medarbeidertilfredshet, og omdømme.
– Bruk deretter tid på å kartlegge risiko, altså hvilke uønskede scenarier som kan ramme verdiene våre, fortsetter han.
Mange slike scenarier er ganske generelle, for eksempel at viktige dokumenter blir utilgjengelige på grunn av løsepengevirus. Samtidig er det vesentlig å ha et forhold til akkurat hvor viktige disse dokumentene er, slik at man vet hvor stor innsats man bør legge i å beskytte de.
– Tenk også gjennom hva som kan skje dersom mailboksen til nøkkelpersoner blir kapret av hackere, fortsetter Gjære. Hvordan kan folk vi samhandler med bli rammet av at uvedkommende utgir seg for å være oss?
Når dere har svart på disse spørsmålene, er dere på god vei mot å kunne utforme en beredskapsplan. Beredskap handler om å være forberedt på å håndtere uønskede hendelser. For eksempel er det nyttig å vite på forhånd hvordan vi kan prøve å stoppe en uberettiget bankoverføring mest mulig effektivt.
2. Sørg for grunnleggende sikkerhetshygiene
– I tillegg til en beredskapsplan, kan flere forebyggende tiltak være nødvendig. Her kan det være nyttig å sparre med en kompetent IT- eller sikkerhetspartner som kan koble effektive tiltak mot konkrete risikoscenarier, sier Gjære.
Samtidig finnes det noen opplagte tiltak som alle bør gjøre:
- Tilgangsstyring: Alle trenger ikke tilgang til alt i virksomheten, da er man bare ekstra utsatt dersom en ansatt blir hacket. Gi heller tilganger avhengig av roller og behov, så begrenser man også skadepotensialet.
- Sikkerhetskopier: Sørg for automatisk sikkerhetskopiering av alle viktige dokumenter og systemer, og test jevnlig at gjenoppretting fungerer. En tapt eller ødelagt digital enhet skal ikke ha større kostnad enn den fysiske enheten i seg selv.
- Totrinnspålogging: Bruk mobiltelefon eller BankID som et ekstra påloggingstrinn, så blir det mye vanskeligere for hackere å bryte seg inn. Installer Authenticator-appen fra Microsoft eller Google, og aktiver push-varsel der det er mulig.
- Sterke passord: Lag korte unike setninger som er lette å huske, men vanskelig å gjette, og bruk aldri jobbpassord andre steder enn på jobb. Bytt passord snarest dersom du mistenker å ha blitt lurt til å oppgi dette feil sted.
- Oppdaterte enheter: Nye sikkerhetshull dukker stadig vekk opp i programvare, men fikses heldigvis kjapt av de fleste leverandører. For å være beskyttet er du likevel avhengig av å installere slike sikkerhetsoppdateringer, så gjør dette til en vane.
– Disse tiltakene er like grunnleggende for digital sikkerhet, som å låse inngangsdøra for å unngå innbrudd, sier Gjære.
I tillegg kommer teknisk infrastruktur som spamfilter, antivirusprogram og brannmur som man gjerne har en IT-partner til å sette opp og drifte.
– Men til syvende og sist er det vårt eget ansvar å beskytte verdiene, dette kan ikke outsources til en leverandør eller skytjeneste, fortsetter Gjære.
3. Bygg kompetanse og sikkerhetskultur
Uansett hvor bra teknisk infrastruktur man har i virksomheten, vil det alltid være en risikofaktor som du aldri helt kan ha hundre prosent kontroll over:
Deg selv og dine medarbeidere.
– I bunn og grunn handler cybersikkerhet vel så mye om mennesker som om teknologi, sier Gjære.
Menneskelige feil utgjør en faktor i nærmest ethvert vellykket cyberangrep. Dette kan være vanskeligere å sikre seg mot, men gode forberedelser er igjen avgjørende.
– Det absolutt viktigste tiltaket en småbedrift kan ta er å gjøre sikkerhet til en naturlig del av virksomhetskulturen, forklarer Gjære.
Han sier at utvikling av kompetanse og kultur for sikkerhets bør egentlig sees som en integrert del av organisasjonsutviklingen generelt. Dette starter med verdivurderingen vi snakket om i første punktet, og en allmenn forståelse blant medarbeiderne om hvilken risiko cybertrusler kan utgjøre for hver enkelt av oss.
Videre er det derfor nødvendig med opplæring i vanlige former for svindel og cyberangrep, hva man bør være obs på – og hvilke grep medarbeidere selv må ta i sin hverdag, både på jobb og privat.
Hadde kjøleskapsmonteringsbedriften i eksempelet med Target hatt god opplæring i hvordan phishing fungerer og en kultur for å melde fra om slike hendelser snarest, kunne man kanskje avverget at 40 millioner kredittkort kom på avveie.
En god måte å bygge kompetanse og kultur, kan være å øve sammen på at en uønsket cyberhendelse rammer virksomheten. Da får man både erfaring med å forstå selve risikoscenariet, og ikke minst å håndtere slike hendelser i samarbeid med andre, under press.
– Det er som man sier i den amerikanske marinen: «Under pressure, you don’t rise to the occasion, you sink to the level of your training», avslutter Gjære.
Fakta: Dette er de største truslene
- Malware: Ondsinnet programvare, for eksempel virus, ormer og trojanere. Kan ta opp plass, spionere på adferden din, samle opplysninger – eller ødelegge filer helt
- Ransomware: En type malware laget for å stenge deg ute av dine egne systemer, eller kryptere alle filene dine. Filene holdes som «gisler» – og du må betale løsepenger for å få dem tilbake
- Phishing: Forsøk på å innhente sensitiv informasjon ved å gi seg ut for å være en aktør du stoler på, gjerne via e-post eller falske nettsider, men også gjennom sosiale medier. Brukes for eksempel til å komme seg seg inn i datasystemer gjennom å lure til seg passordene dine
- Hacking: Personer eller algoritmer utnytter svakheter datasystemer for å utføre svindel, stjele opplysninger, spre malware, eller lignende
- DDoS-angrep (distribuert tjenestenektangrep): Et nettverk av datamaskiner brukes til oversvømme en nettside, database eller lignende slik at den «kneler» under presset og det blir umulig for andre å få tilgang
Kilde: Nettvett.no
Vil du lære mer om hvordan du kan sikre din bedrift?
Veiviser
Digital sikkerhet
Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.
Cyberberedskapsøvelse
I dette kurset skal vi gjennomføre en beredskapsøvelse for en cyberhendelse. Du vil lære hvordan et hackerangrep kan foregå, se konsekvensene av ulike beslutninger som må tas under press, og bli bedre forberedt til å takle en ekte krise.