datasikkerhet_770x367.png

Det er utfordrende å beskytte virksomhetens verdier mot angrep som retter seg mot brukere av datasystemer. Tekniske løsninger for IT-sikkerhet vil kunne avverge slike angrep, men dagens løsninger kan ikke stoppe alle.

Ivaretagelse av IT-sikkerhet

Det har aldri vært slik at tekniske løsninger og IT-infrastruktur er tilstrekkelig for å ivareta IT-sikkerhet. Med tanke på hvor omfattende bruken av internett og e-post er i de fleste virksomheter i dag, er trusselbildet et helt annet enn det var bare for noen få år siden. Dagens trusler retter seg i stor grad direkte mot deg som ansatt og som privatperson. Vi blir direkte og indirekte angrepet gjennom sosial manipulering og ulike phishing-angrep via nettsider vi besøker eller e-poster vi mottar.

Gjelder det oss da?

Sannsynligheten for at nettopp din virksomhet skal bli rammet av et angrep er stadig til stede. Med mindre de ansatte er fullstendig løsrevet fra internett, e-post og minnepenner, vil vi påstå at du og de fleste av dine kolleger allerede har blitt angrepet. Begrenset bruk av internett ville være et godt tiltak for å ivareta IT-sikkerhet, men det er kanskje ikke den mest hensiktsmessige metoden for å kunne ha effektiv samhandling med kolleger, kunder, leverandører og omverdenen for øvrig. Derfor kan det være like greit å innse at angrep vil skje, og heller legge planer for hvordan en eventuell hendelse skal håndteres. Videre bør du selvsagt sørge for at de ansatte i din virksomhet tar IT-sikkerhet på alvor, og har et våkent øye for unormale hendelser og avvik på IT-systemene.

Sanne historier fra virkeligheten

Det er flere eksempler på angrep på virksomheter både i Norge og ellers i verden hvor det har blitt utbetalt store summer til de som står bak. Et eksempel er såkalt «direktørsvindel» («CEO fraud») der en økonomimedarbeider mottar en e-post fra direktøren med beskjed om å gjøre en utbetaling til en konto. Fremgangsmåtene og profesjonaliteten i disse angrepene varierer, men angriperne blir stadig «flinkere» til å finne riktige mål og formulere seg troverdig. Gode interne betalingsrutiner og høy IT-sikkerhet kan forhindre at slike angrep ender med utbetaling. Dessverre er det nok eksempler på at utbetalinger har blitt gjort.

Utpressing er en annen type angrep som vi ser stadig mer av. Det er flere forskjellige måter dette kan skje på. En fremgangsmåte er at det blir påstått at den som angriper har informasjon om deg som vil bli offentliggjort, med mindre det blir innbetalt et beløp til en konto. Gjerne i BitCoin eller annen virtuell valuta. En mer alvorlig fremgangsmåte er i form av såkalt ransomware hvor datafiler er blitt kryptert, og angriperen tilbyr å legge tilbake filene mot at det betales et beløp. Innen IT-sikkerhet anbefales det at det ikke betales noe til utpresseren i forbindelse med slike angrep.

Tilstrekkelig beskyttelse og varsling

Det er utfordrende å beskytte virksomhetens verdier mot angrep som retter seg mot deg som bruker av datasystemer. IT-sikkerhet vil kunne avverge slike angrep, men dagens løsninger vil ikke kunne stoppe alle. Angrepene kan bestå i å lure deg til å klikke på lenker i en e-post eller på internettsider, slik at du starter programmer som inneholder skadelig kode eller virus. Det er med andre ord du som i første omgang blir utsatt for angrepet, og ikke IT-systemene. I en stresset arbeidshverdag med stadig strøm av henvendelser på e-post er det fort gjort å klikke på en lenke eller åpne et vedlegg som aldri skulle ha vært åpnet.

En viktig del av arbeidet med IT-sikkerhet er å gjennomføre opplæring av egne ansatte. Når brukerne har et bevisst forhold til IT-sikkerhet stiller de selv spørsmål til innholdet i e-post som ser merkelig ut eller kommer fra ukjente avsendere. Slik opplæring skal også bidra til at unormale hendelser varsles til IT-personell slik at et mulig angrep kan avverges, eller i det minste begrenses.

For å øke din egen IT-sikkerhet som mottaker av e-post eller reklame, kan du se nærmere på følgende forhold:

  • Er avsenderen av e-posten en du kjenner?
  • Er e-posten skrevet og formulert på normalt god norsk, eventuelt engelsk?
  • Er innholdet noe du venter på eller forventer at skal komme?
  • Stemmer navnet i teksten med navnet på avsender?
  • Er informasjonen som blir etterspurt noe du ville gitt til den påståtte avsenderen via foreslått kanal?
  • Er du sikker på at det er riktig avsender?

Er svaret "NEI" på et eller flere av disse spørsmålene bør varsellampene blinke. Dette kan være et angrep eller et forsøk på angrep, på din egen eller bedriftens IT-sikkerhet. Er du i tvil bør du kontakte bedriftens personell med ansvar for IT-sikkerhet. Eventuelt kan du kontakte den påståtte avsenderen via en annen kanal for å verifisere vedkommendes identitet.

Hva er tilstrekkelig beskyttelse?

En forutsetning for å etablere tilstrekkelig IT-sikkerhet knyttet til tekniske systemer og bruk av disse, er at virksomheten har identifisert alle systemene og verdiene. På bakgrunn av dette gjennomføres risiko- og sårbarhetsvurderinger. Dette arbeidet bør gjennomføres ved større endringer, eller på jevnlig basis for høyest IT-sikkerhet. Det anbefales at risikovurderinger gjøres årlig, eller oftere ved behov. Risikoreduserende tiltak må settes inn der det er mest hensiktsmessig. Ansvaret for at dette gjennomføres ligger normalt hos ledelsen i virksomheten.

Hvis uhellet er ute

Hva skal virksomheten gjøre hvis uhellet er ute? Aktuelle tiltak innen IT-sikkerhet vil variere etter hva slags type angrep det er snakk om, hvor stort omfanget er samt hvor lenge angrepet har pågått. Det er viktig å ha en beredskapsplan, slik at arbeidet med kartlegging og identifisering av angrepet kommer i gang så fort som mulig. En slik plan må også inneholde detaljer om hvem som skal varsles, og hvem som skal involveres i arbeidet med kartlegging og identifisering av hendelsen. Dette vil normalt være den eller de personene som har ansvar for bedriftens IT-sikkerhet. Dersom det er mistanke om at sensitiv informasjon eller personlig data har kommet på avveie, skal blant annet Datatilsynet og eventuelle behandlingsansvarlige varsles (jf. GDPR).

Les mer hos Norsk Senter for Informasjonssikring.

Neste steg innen IT-sikkerhet

Om din virksomhet ikke allerede gjennomfører opplæring av ansatte i forbindelse med IT-sikkerhet, er det på tide å gjøre det nå. Er det gjort på et tidligere tidspunkt? I så fall er det kanskje på tide å gjennomføre en repetisjon. Slik opplæring må repeteres og utvikle seg i tråd med endringer i trusselbildet. En god ting kan sjelden sies for ofte.

Gjør en kort analyse av risikobildet og hvilke risikoreduserende tiltak som er implementert for å sikre IT-miljøet i virksomheten. Involver ledelsen og legg en plan for hvordan en eventuell hendelse skal håndteres.

Er dette noe din virksomhet ønsker å se nærmere på, kan du gjerne ta kontakt med oss i RSM. Vi har kompetanse på risiko- og sårbarhetsanalyser samt IT-sikkerhet, og kan bistå med råd eller være en uavhengig diskusjonspartner.