Beskytt bedriften din før det er for sent

Farene i den digitale verden endres til stadighet og svindlerne blir mer sofistikerte i måtene de prøver å lure både enkeltpersoner og bedrifter på. Manglende sikkerhetskultur i det store SMB-markedet kan ta noe av skylden.

– Uten å generalisere for mye, oppfatter vi at IT-sikkerhetskompetansen er betydelig lavere i SMB-segmentet sammenliknet med storsegmentet, sier Magnus Wirkola fra BDO Cybersecurity.

Han får støtte av seniorrådgiver Ivar Kjærem i NorSIS. NorSIS er en privat ikke-kommersiell virksomhet som har kontor på Gjøvik. Deres oppgave er å veilede og rådgi bedrifter og offentlige virksomheter innen sikkerhet.

– Utfordringen for denne type bedrifter er at ledelsen ikke vet hvilke typer sikkerhetstjenester de skal forhøre seg om, og kreve fra sine leverandører, sier seniorrådgiveren.

LES OGSÅ: Ti tiltak for bedre IT-sikkerhet
 

Sikkerhet velges bort

Mange virksomheter i SMB-markedet har ikke dedikerte IT- eller sikkerhetsansatte, og kjøper dermed tjenestene av andre. Kjærem mener det er viktig at bedriftsledere setter seg bedre inn i hvilke behov de har, og hvilke krav de skal sette til sine leverandører. I dag finnes det ingen standardpakker for sikkerhetsløsninger som løser alle utfordringer. Den enkelte virksomhet må selv sørge for å finne produkter og løsninger tilpasset sitt behov.

– Dersom ingen kan fortelle deg hva du trenger, må du finne det ut selv, sier Kjærem.

En av utfordringene blant de små og mellomstore bedriftene er at det ikke er en homogen gruppe bedrifter, men fra ulike bransjer, ulik geografi og ikke minst – svært ulik størrelse.

– Vi ser ofte at IT-sikkerhetsproblematikk er noe som prokrastineres bort, og at ingen anser det som deres ansvar. Den pipa får ofte en annen lyd dersom et angrep som lammer driften – ala Hydro-angrepet – rammer selskapet. Vi er opptatt av at styret og ledelsen må ha et bevisst forhold til IT-sikkerhet. Til syvende og sist er det deres ansvar å sikre forsvarlig drift, mener Wirkola.

Men en liten eller mellomstor bedrift kan bestå av alt fra én til 250 ansatte, og dermed kan kravene man bør stille til den enkelte bedrift være veldig ulike. De større bedriftene har dessuten oftere egne IT-ansatte i dag.

– Selvsagt stiller ingen samme krav til digital sikkerhet hos en enmannsbedrift, for eksempel en tømmermann, som et heldigitalt IT-selskap, sier Kjærem, før han legger til:

– Ta for eksempel noe så enkelt som faktura- og regnskapstjenester. For en liten bedrift kan det få store konsekvenser dersom tilgangen til fakturatjenesten er utilgjengelig over tid. Lagring i skytjenester uten fysisk sikkerhetskopi er et annet eksempel dersom man er avhengig av tilgang til informasjonen i det daglige og nettet faller bort, forklarer han

Lær mer om cyber security: Frokostmøte på Vitenfabrikken

Egen backup

Skytjenester benyttes mer og mer i en digitalisert verden, noe som ofte betyr effektivisering og lavere priser – men det kan gå på bekostning av sikkerheten dersom man ikke tar sine forholdsregler.

– I tråd med at skytjenester benyttes mer og mer, øker faren ved at passord kommer på avveie. Tofaktorautentisering bør som tommelfingerregel alltid slås på dersom skytjenesten som benyttes, støtter dette. En annen stor trussel er kryptovirus – det vil si virus som krypterer filer på datamaskiner og servere. Deretter blir det rettet et krav om betaling av løsepenger for at filene skal dekrypteres igjen. Ofte er det imidlertid slik at selv om løsepengene betales, blir ikke filene dekryptert likevel, forklarer Wirkola.

Ekspertene mener også at det er viktig å ha fysiske kopier lokalt, ikke at alt er lagret i skyen. At ting kan komme på avveie er én ting, men det er like ille om man skulle miste tilgangen til nødvendig informasjon for den daglige driften.

– Tegninger eller oppskrifter kan være eksempler på informasjon som er sensitiv på den måten at man trenger det for å utføre jobben. Ledere må stille seg spørsmålet om hva de skal gjøre dersom de midlertidig eller permanent mister denne tilgangen, og hvilke konsekvenser dette får for bedriften, sier Kjærem.

Direktørsvindel

Ulike svindelforsøk på e-post har vært vanlig noen år. Dårlig norsk språk, grafiske feil og lugubre linker har ofte vært en fellesnevner. Men svindlerne lærer nye triks, og e-postene ser mer og mer ekte ut. I løpet av det siste året har det vært flere tilfeller i Norge der både bedrifter og offentlige kontor har blitt svindlet for større pengebeløp, såkalt direktørsvindel.

– Svindlerne samler inn mer informasjon og blir mer og mer troverdige. Men husk at denne type svindlere er mest opptatt av pengene, ikke deg eller din bedrift. De prøver seg på tusenvis, og klarer de å lure noen, kan det bli en del penger, forklarer NorSIS-rådgiveren.

I mai 2018 kom det frem at et kommunalt selskap i Stavanger var blitt utsatt for denne type svindel, og 500.000 kroner ble betalt. På Sunnmøre klarte svindlerne å få endret kontonummer for betaling av en stor faktura til en leverandør, slik at pengene gikk til deres konto istedenfor – en faktura på 3,1 millioner kroner. Forsøket ble stoppet før pengene ble utbetalt.

– Teknisk er det ingenting vi kan gjøre med denne type svindel, men vi må endre holdningene. Ansatte må være bevisste og årvåkne når slike e-poster tikker inn. Dersom man tilsynelatende får en e-post av sjefen om at det må overføres et stort beløp til utenlandsk konto umiddelbart, bør man ta en ekstra sjekk med sjefen, sier han.

LES OGSÅ: Ti anbefalte tiltak fra NorSIS

Digitalisering

I en digital hverdag der stadig mer skal digitaliseres og optimaliseres, er ulike IT-verktøy viktige brikker. Samtidig er det ikke uten risiko vi legger store verdier i leverandørenes hender.

– Digitalisering kan gi gode effektivitetsgevinster. Vi er imidlertid opptatt av at norske selskaper og offentlige virksomheter må operere med en sunn skepsis når nye tjenester skal tas i bruk. Ansvar må fordeles, og de ansatte må bevisstgjøres. Som regel kan svært enkle grep bedre IT-sikkerheten betraktelig, men dessverre er IT-sikkerhet noe som ofte nedprioriteres, mener Wirkola fra BDO Cybersecurity.

Kjærem fra NorSIS har over 30 års erfaring i bransjen og har tre konkrete råd til bedriftsledere:

1. Kartlegge hva informasjonen betyr for meg og virksomheten, hvordan vi bruker IT-systemer, samt hvilke konsekvenser det vil få dersom informasjonen forsvinner eller kommer på avveier.
2. Hvordan skal jeg håndtere den risikoen som finnes? Hvilke krav og spørsmål må jeg stille til min leverandør for å minimere denne risikoen?
3. Sørge for opplæring av dine ansatte slik at det både er en god forståelse for hvorfor tiltakene er der, og hvordan de ansatte kan bruke dem på riktig måte.