Cybersikkerhet: hvorfor små bedrifter også er mål for cyberangrep og hva du kan gjøre

Teknologi | 07.06.2024

av Anders Fjøsne Løvhøiden

Økt fokus på cybersikkerhet og digitalisering blant norske bedrifter 

Det er lett å bli begeistret når man ser de siste resultatene fra Azets Barometer-undersøkelsen: fokuset på cybersikkerhet og digitalisering øker hos norske bedrifter sammenlignet med tidligere! For oss som til daglig jobber med sikkerhet er det musikk i våre ører. 

En høyere andel bedrifter enn før, rapporterer ingen hendelser som indikerer økt cyberbevissthet. Men til tross for fremgang henger sikkerhet på nett fortsatt etter, og de fleste norske bedrifter er fortsatt litt under gjennomsnittet i undersøkelsen når det gjelder andel som rapporterer minst én hendelse. Det er altså fortsatt rom for økt bevissthet rundt cybersikkerhet.

Alle bedrifter uansett størrelse er mål for cyberangrep - og har betydning for nasjonal sikkerhet 

I årets risiko-rapport fra Nasjonal Sikkerhetsmyndighet (NSM) belyses det at norske virksomheter nå får en større betydning for nasjonal sikkerhet, og at mindre bedrifter som er leverandører til større virksomheter oftere blir mål. Selv om du er en liten og nesten usynlig bedrift, kan du være like interessant for avanserte trussel-aktører som en stor organisasjon, spesielt hvis du er en underleverandør til sistnevnte.  

I Azets opplever vi selv jevnlige angrep fra kompromitterte e-postkontoer hos uheldige kunder, der cyber-kriminelle har tatt kontroll over kundens e-post konto. Slike angrep er gjerne økonomisk motivert, de forsøker kanskje å få en falsk faktura prosessert, eller sender ut phishing e-post for å få tak i brukernavn og passord de kan misbruke. Slike angrep slipper ofte forbi e-postfilteret siden man allerede stoler på avsenderen, og de kan også være vanskelige å avsløre for mottaker. Ansvaret havner dermed fort hos den ansatte som mottar e-posten, og selv må vurdere om innholdet er trygt eller ikke. Her merker vi viktigheten av å utføre jevnlig sikkerhetsopplæring blant våre ansatte, inkludert bruken av simulerte phishing-kampanjer laget for å trene våre kollegaer i å avsløre falske e-poster. Dette har en positiv effekt, og vi opplever oftere at våre kollegaer avslører og rapporterer mistenkelige hendelser nå enn før.  

Få IT-rådgivning og hjelp til digitalisering 

AI, for angrep og motangrep 

Rundt oss foregår det nå en eksplosiv vekst i tilgang til, og bruk av, kunstig intelligens (KI/AI). For cybersikkerheten gir det både nye muligheter og utfordringer. Vi får bedre og raskere analyse av hendelser i sikkerhets-verktøyene våre, kan reagere raskere og stoppe flere avanserte angrep før de får en alvorlig konsekvens. Samtidig benytter cyber-kriminelle den samme teknologien til å forbedre sine angrep slik at de igjen kan unngå den nye sikkerheten, og innfører i tillegg helt nye angrep som før ikke var lønnsomt å utvikle. Et godt eksempel på dette er Deepfake angrep, der manipulasjon av video og lyd kan utføres i svært overbevisende grad. Millionbeløp har allerede blitt stjålet fordi en trofast tjener var overbevist om at det var administrerende direktør hen pratet med, mens det i virkeligheten var en forfalsket kopi. Vi befinner oss altså i et realt våpen-kappløp her! Nok en gang er våkne og bevisste ansatte en av dine beste sjanser til å unnslippe fellene.  

Vi må bevege oss ut av komfortsonen, legge vekk vår nordiske naivitet og verifisere at alt vi ser og hører faktisk stemmer. Så dersom du ikke allerede har gjort dette i din bedrift; innfør gode rutiner på all overføring av kapital så dine kollegaer slipper å føle på at de lot seg lure til å betale ut penger til svindlere. Tilgangen til AI vil nok snart også endre svindlernes taktikker, og det er godt mulig at de innen kort tid får muligheten til å snakke sitt eget språk på telefon, og høres ut som Ola Nordmann i andre enden. Dette treffer oss hardt her i Norden, hvor tillit fortsatt er en godt innarbeidet del av vår kultur. 

Angrepsflater, endepunkt og NIS2 

Økt fokus på cybersikkerhet er dermed godt nytt. Ettersom mange bedrifter forenkler hverdagen med outsourcing av tjenester og økende bruk av SaaS, innfører de samtidig en større kompleksitet og bredere angrepsflate enn før. Angrepsflatene våre er nå i stadig endring, og i bresjen for dette står den «nye» hverdagen på hjemmekontoret, som kanskje er den største transformasjonen av arbeidsmiljøet de senere årene. Sikring av endepunktet, altså laptop’ene og mobilene våre, har blitt mye viktigere nå som de ansatte kan jobbe fra hvor som helst, og i mye større grad enn før også gjør det. Det er også viktig å huske at økt bruk av underleverandører ikke nødvendigvis fritar en for ansvar. Her kan det være verdt å nevne NIS2-direktivet som trer i kraft allerede høsten 2024. Direktivet stiller krav til både eierskap, rammeverk og etterlevelse av cybersikkerhet, og åpner for å bøtelegge selskaper som bryter kravene. Har du allerede etablert ansvarsroller og prosesser for håndtering av sikkerhet i din bedrift er du på god vei. Initiativer som dette løfter nå cybersikkerhet høyere på dagsorden, og det blir spennende å se hvilken konsekvens det får for trusselbildet fremover.  

Les også:  

Cybersikkerhet trenger ikke være vanskelig 

Fortvil ikke - cybersikkerhet trenger ikke være hverken vanskelig eller kostbart. Det finnes en masse gode rammeverk og verktøy til å hjelpe deg med å etablere en god sikkerhetskultur og trygge prosessene i din bedrift, eksempelvis NIST og CIS. For norske bedrifter kan det anbefales å sette seg inn i NSM’s Grunnprinsipper for IKT-sikkerhet. For de aller minste, kanskje for deg som er et enkeltmannsforetak, kommer du langt med å innføre to-faktor autentisering på alle dine kontoer, inkludert de private. Sørg for at det ikke er enkelt for en angriper å få kloa i verdier, og vær varsom med å utlevere for mye informasjon til noen du ikke allerede har full tillit til. Cyber-kriminelle velger gjerne de enkleste målene. Resten av sikkerheten kan du overlate til andre ved å benytte deg av leverandører som tar sikkerheten på alvor.  

Vi streber etter å være en slik leverandør, og gjør vårt ytterste for å kunne tilby sikre og stabile tjenester, så våre kunder kan finne andre ting å bekymre seg om enn cybersikkerhet.  

Azets Barometer 

Azets Barometer gir innsikt i det nåværende og fremtidige forretningsklimaet gjennom perspektivet til SMB-er, gründerselskaper, eierstyrte og familieeide virksomheter i Norge, Finland, Sverige, Danmark, Storbritannia og Irland. 

Nye data fra årets andre Azets Barometer 2024 viser at norske bedriftsledere er mer optimistiske enn før, og vi ser forbedringer i holdninger og forventninger sammenlignet med forrige undersøkelse.

Test ut vårt interaktive dashbord

Utforsk resultatene fra Azets Barometer i dashbordet. Her kan du tilpasse rapporten etter det du er interessert i, slik som omsetning, antall ansatte, land og sektor. 

 

Få hjelp til digitalisering  

Azets hjelper deg med IT-systemer som effektiviserer virksomheten din. Vi leverer programvare, tjenester, skybaserte løsninger og kunnskap for automatisering innen regnskap, lønn, HR, CRM og logistikk.  

Azets tilbyr brukervennlige og trygge løsninger med sikre integrasjoner, IT-rådgivning, og EDI med et eget EDI-team som digitaliserer transaksjoner mellom kjøper og selger. Ta gjerne kontakt for en uforpliktende prat!  

Lurer du på noe?

post author

Om Anders Fjøsne Løvhøiden

Anders er Group Security Architect i Azets, og administrerer til daglig Security Operations og sikkerhetshendelser for Azets-gruppen. Anders er løsningsorientert og engasjert, med et kontinuerlig fokus på å løfte sikkerhetsnivået i alle deler av organisasjonen. En vaskeekte datanerd som brenner for å sikre hele verdikjeden, helt fra hjemmekontoret til cyberspace.