Vær årvåken, litt mistenksom og ikke trykk på linken

Foto: Johnér

Det som gjør Telenors forretningsutvikler på sikkerhet Siv Christina Bayegan mest redd er at norske bedrifter ikke er reddere.

-Da min 11 år gamle niese spurte om fødselsdatoen min når hun skulle låne mobilen min skjønte jeg hvor vanlig det er å benytte nettopp slike tall som koder. Det er lett å knekke passord – dette gjør alle virksomheter sårbare.

Siv Christina Bayegan jobber som forretningsutvikler på cybersikkerhet for bedriftsmarkedet i Telenor, og står bak vårt kurs i cybersikkerhet. I media er det de enorme datainnbruddene hos flaggskip som Hydro og Visma som har skapt avisoverskrifter, mens innbruddene hos de mindre bedriftene ikke får like mye oppmerksomhet. Dette kan skape den uheldige feilslutningen at cyberkriminalitet ikke er like skummelt for mindre bedrifter, forklarer hun:

– Små og mellomstore bedrifter blir nesten like ofte utsatt for cyberkriminalitet som de store En bedrift fikk for eksempel nylig mailserveren hacket, der det lå en faktura på 730 000 kroner som var sendt fra en leverandør. Hackerne endret kontonummeret på fakturaen – alt annet var reelt, både faktura og leverandør. Slikt får store konsekvenser for en mindre bedrift.

Grunn til å være liten og årvåken

Cyberkriminalitet er verdens raskest voksende form for kriminalitet. Seks av ti SMBer kneler i løpet av et halvt år etter angrep, viser internasjonale undersøkelser. Hvis trenden fortsetter vil 150 000 nordmenn utsettes for ID-tyveri de neste 2 årene, mens 600 000 norske brukernavn og passord allerede er funnet på det mørke nettet etter datainnbrudd. For mindre bedrifter er overgangen mellom individ og bedrift glidende:

-Når det gjelder cybersikkerhet er det mange som tenker på dette først etter at noe er skjedd. Vi jobber for å hjelpe norske bedrifter med å ta grep i tide, sier Bayegan.

Bedriftene kjenner ikke trusselbildet, mangler kompetanse på sikkerhet og ser ikke at de kan være en vei inn for trusselaktører til å angripe større bedrifter. Telenor jobber for tiden med å kartlegge hva mindre bedrifter er mest redde for.

-Foreløpig er jeg mest overrasket over hvor lite redde de er. At dette med cybersikkerhet ikke er noe viktig for dem. Det er en farlig holdning.

Fra spioner til småkjeltringer

Det er mange motiver for å hacke virksomheter, fra industrispionasje til å tjene noen enkle kroner.

-Det er viktig å forstå hvor høy kompetanse og utspekulerte de kriminelle er blitt. De kan for eksempel bruke såkalt ‘social engineering’ der de hacker seg inn på direktørens mail og følger med på kommunikasjonen over tid, før de sender en mail om en helt reell transaksjon, ber om en hasteoverføring og avslutter med «hils Mona», forteller Bayegan.

Mindre bedrifter som håndterer veldig sensitiv data har ofte hjelp til å håndtere sikkerheten, og GDPR-lovverket har bidratt til å sette fokus på dette. Men de fleste virksomheter vet verken hva de sitter på av verdi eller hvor sårbare de faktisk er. De vet ikke hva de skal frykte eller hvordan det kan skade dem. Eposten benyttes ofte som en vei inn.

-Undersøkelser vi har gjort viser at over halvparten av oss trykker fortsatt relativt ukritisk på lenker i epost, sier forretningsutvikleren.

-Et amerikansk studie viser at etter at en hacker har tatt seg inn systemet ditt tar det i snitt 200 dager før noen oppdager det. Da kan mye skade ha skjedd.

Et felles ansvar?

Telenor leverer og drifter kritisk infrastruktur – skulle mobilnettet knele ville det vært en samfunnsomfattende katastrofe.

-Telenor har hatt stor fokus på sikkerhet i over 20 år og nettopp derfor har vi kunnet lage en tjeneste som for eksempel Nettvern. Dette er en tjeneste som stopper trafikk til kjente usikre sider på internett. Tjenesten sørger for at kundene kan surfe tryggere.

Nå jobber Telenor videre med å se om de kan gjøre flere deler av sine egne løsninger og sikkerhetsteknologi som store selskaper benytter, tilgjengelig for mindre selskap. Telenor har også strategiske samarbeid med globale aktører som Cisco der de har et særskilt fokus på sikkerhetssamarbeid:

-Det er vårt samfunnsansvar å vurdere hvordan vi kan gjøre flere tiltak som de vi allerede har introdusert for store bedrifter og for de mindre aktørene i bedriftsmarkedet. Mindre bedrifter er ryggraden i det norske samfunnet og utgjør ca 90% av det norske bedriftsmarkedet. Vi samarbeider med myndighetene (NSM), forsvaret, politiet (NC3) og det offentlige generelt om å bedre cybersikkerheten i alle ledd, sier Baygean.

Bayegan mener det må begynne med årvåkenhet og vår egen adferd. Du kan gjøre masse tiltak, men det hjelper ikke om du likevel trykker ukritisk på lenker eller bruker fødselsnummeret ditt som passord:

-Du kan ha alarmer overalt i hjemmet ditt, men du må fortsatt låse døra når du går.

4 sikkerhetsbud for bedrifter

Siv Christina Bayegans første sikkerhetsbud til bedrifter: Tenk sikkerhet fra første stund. Det første skrittet på veien er kompetanse og forberedelser.

-Når harddisken din holdes kryptert for løsepenger og nettbutikken din ligger nede, hva gjør du da? Har du gode backuper – på et sikkert sted? Når du først er hacket er det dyrt å rette opp igjen. Å investere i sikkerhet er en klok investering:

Råd 1: Ikke bruk samme passord flere steder
-Det tar ikke lang tid å knekke et passord, men med to-faktor-autentisering reduserer du faren med 99 prosent. Skaff deg en passordmanager som holder orden slik at du kan lage deg unike passord, og bruk gjerne setninger for alle tjenestene dine: For Amazon kan du for eksempel bruke «diggeråkjøpebøker». Med en passordmanager er det eneste du må huske hovedpassordet ditt – som bør legges i safen.

Råd 2: Alltid hold programvaren på datamaskinen din oppdatert til siste versjon og vær forberedt på at ting kan skje
-Du må beskytte maskinen din. Legg inn automatiske oppdateringer av programvare og ha gode rutiner på å ta back opp av ting du ikke vil miste. Vi legger alle bildene våre i skyen fordi vi ikke vil miste dem. Sånn bør du tenke på jobb også, sier Bayegan.
-Og lås PCen når du går fra den – det beste er å bare få det inn i fingrene. Dette handler om adferdsendring!

Råd 3: Vær kritisk til lenker
– Svindelen som foregår i dag er svært sofistikert, og selv jeg som er så kritisk kan til tider gå i fella. Jeg holdt på å gå på en Posten-svindel for ikke lenge siden, da jeg mottok en SMS om at jeg skyldte 18 kroner i manglende porto. 18 kroner er jo ikke mye og jeg handler mye på nett, så jeg trykket på linken for å betale. Først da jeg landet på den nye siden fikk jeg mistanke om at dette var svindel. Jeg forteller alltid moren min at hvis det er en ting hun skal huske, så er det å ikke trykke på lenker, men gå via de vanlige kanalene; logg på direkte hos Posten eller hos Altinn hvis du får henvendelser derfra.

Råd 4: Vær årvåken – og litt mistenksom
-Ta det nye kurset til DigitalNorway.  Norge ligger langt fremme på digitalisering. Samtidig blir trusselaktørene skarpere og skarpere. Hvis du bruker digitale verktøy har du ikke noe valg: du må være med på reisen. Så bygg årvåkenhet. Sten for sten. Som bedrift har du et ansvar for både kundene dine, dine ansatte, dine partnerne og ditt eget firma, sier Bayegan.