Datainnbrudd. Dine ansatte utgjør den største risikoen

Teknologi | 18/05/2021

av Petter Løken

 

Uansett hvor mye teknologi bedriften din tar i bruk for å hindre datainnbrudd, så hjelper det lite hvis dine ansatte ikke har nødvendig bevissthet rundt IT- og datasikkerhet. Det er ofte mennesker som «slipper inn» kjeltringene – vanligvis uten å vite om det. 

Ledere tenker ofte på IT-sikkerhet i form av teknologi som beskytter deres IT-systemer og komponenter fra angrep (IT-infrastruktur, programvare, enheter og nettverk). Men sannheten er at det er egne ansatte som representerer virksomhetens svakeste ledd - og den største risikoen. 

I mars 2021 la Norsk senter for informasjonssikring (NorSIS) frem rapporten «Trusler og Trender 2021». Her slår de fast at løsepengevirus, svindel, kontokapring og andre former for svindel vil fortsette å prege trussel-landskapet i Norge. Dette er alle svindler der sosial manipulering av den enkelte ansatte er en viktig ingrediens. 

Angrepene med slik sosial manipulering blir stadig mer utspekulerte. Det blir vanskeligere å skille ekte fra falsk. Bruken av kunstig intelligens til å lage enda bedre norske tekster i svindel-e-poster forekommer allerede, noe som gjør svindelen vanskeligere å avsløre.

De vanligste formene for datainnbrudd i 2021

Dette er årets viktigste digitale trusler ifølge NorSIS

  • Løsepengevirus. Ved å laste ned ukjent vedlegg i en e-post, trykke på en Facebook-post eller en SMS kan dine ansatte lamme og kryptere hele din virksomhets IT-system. 

  • Kontokapring. Bruker du eller noen andre i din virksomhet enkle passord for å logge inn på jobbtjenester? Det kan gjøre dere sårbare for angrep som kan få store økonomiske konsekvenser for hele arbeidsplassen.

  • Verdikjedeangrep. Din virksomhet kan rammes av et angrep på en av dine kunder, leverandører eller samarbeidspartnere. Eller du blir angrepet som et ledd i et angrep på en av dine samarbeidspartnere. Det kan få enorme konsekvenser for virksomhetens omdømme. Ifølge NSM er det sannsynlig at angrep på leverandørkjeder vil øke i Norge.

  • Svindel. Nettsvindel er fortsatt en stor trussel for små og mellomstore bedrifter. Dette er en type angrep der lav innsats kan gi angriperne stor uttelling. Det kan dreie seg om alt fra phishing og direktørsvindel, falske nettbutikker og falske nettprofiler til falske fakturaer.

– Vi vet at ulike digitale angrep rammer små og store norske virksomheter nærmest daglig. Dessverre er det mange som ikke prater høyt om at dette skjer. Det gjør at svindlerne kan bruke de samme metodene om igjen og om igjen. Derfor er ikke truslene vi løfter frem i vår rapport nye, men vi ser likevel at mange av dem har blitt langt større og mer utspekulerte. Det skyldes blant annet hjemmekontor og den annerledesheten som preger manges tilværelse om dagen, sier administrerende direktør Lars Henrik Gundersen i NorSIS. 

Datainnbrudd skjer ofte ved at angriperen har fått kloa i et lekket passord. Det kan være at brukeren har benyttet et dårlig passord, eller har brukt samme passord på kryss og tvers av tjenester. Andre ganger har brukeren klikket på en lenke i en epost og blitt lurt til å oppgi brukernavn og passord. 

Dreiningen til angrep mot mennesker fremfor virksomhetens IT-systemer gjør det enda viktigere at den enkelte ansatte har kompetanse om hvordan svindlere jobber og hva de skal være på vakt mot.

Nettkriminelle er svært gode til å tilpasse angrepene til endring i vår adferd. Nå når svært mange av oss har flyttet virksomheten hjem til de ansatte, har mange en annerledes jobbhverdag.

Visste du at du kan forsikre deg mot cyberkriminalitet? Det kan være profesjonell hjelp, juridisk assistanse, omkostninger, et eventuelt erstatningsansvar ved en IT-hendelse eller omkostninger knyttet til nedetid. Sjekk ut forsikringen!

Hva gjør du om du mistenker datainnbrudd? 

Ifølge en representativ undersøkelse fra Næringslivets Sikkerhetsråd og NorSIS, oppgir nesten halvparten av de som jobber på hjemmekontor (47 prosent) at de ikke fått informasjon av sin arbeidsgiver om hvilke regler og rutiner som gjelder for digital sikkerhet på kontoret hjemme.

Det er viktig at det finnes klare retningslinjer for hva en ansatt skal gjøre om vedkommende fatter mistanke, eller oppdager at han eller hun har blitt lurt. Forholdene må være tilrettelagt slik at ansatte tør å melde ifra om de oppdager at de har trykket på noe som kanskje kan være noe annet enn det de først trodde.

Alle ansatte, uavhengig av deres stilling, bransje eller lokasjon, kan representere en fare for datainnbrudd i virksomheten. 

 

Visste du at…

  • Det er et hackerangrep hvert 39 sekund.
  • 300,000 nye malware dukker opp hver eneste dag.
  • Over 11 milliarder stjålne brukernavn og passord til e-post kontoer, Netflix-abonnement, sosiale medier og en rekke andre tjenester er nå registrert i den gigantiske databasen «Have I Been Pwned».
  • Pålogging med totrinnsbekreftelse reduserer faren for at brukerkontoer blir kompromittert med 99,9 prosent.

 

Virksomheter må ta i bruk de tekniske tiltakene som er tilgjengelige for å beskytte sine verdier. Men i tillegg må de sørge for at de ansatte har god nok kunnskap, forståelse og åpenhet om feil til å bidra til å sikre virksomheten mot angrep. Situasjonen her og nå er at konsekvensene av digitale angrep kan være enorme. Samtidig er tiltakene for å unngå mange av de største trusseltrendene absolutt oppnåelige for de aller fleste.

 

Azets kan hjelpe deg

I Azets tilbyr vi en kombinasjon av digital og personlig service til over 120 000 kunder i Norden og Storbritannia. Vår unike kartlegging tjeneste gir deg en rask og effektiv oversikt på IT-sikkerheten i virksomheten din. 

Vi har en praktisk tilnærming i kartleggingen, og bruker våre egne erfaringer, metoder, prosesser og rutiner som utgangspunkt i arbeidet. Selv om IT-sikkerhet kartleggingen omfatter alle 3 pilarene innen IT-sikkerhet (1. teknologi, 2. prosesser og rutiner, 3. mennesker), så har vi spesiell fokus på hvordan menneskene i organisasjonen kan være best mulig rustet til å forhindre dataangrep. 

Hvordan kan du håndtere denne risikoen på best mulig måte? Først og fremst ved å skape og opprettholde en organisasjonskultur som er basert på god bevissthet om IT- og datasikkerhet. Målet er å få denne kulturen naturlig integrert hos alle ansatte – som en del av deres tankesett og daglige jobb.

Vi kan hjelpe deg. 

Kontakt oss for en uformell prat!

 

Om Petter Løken

Petter er ansvarlig for forretningsområdet Business Technology i Azets. Som entreprenør, bedriftsleder og rådgiver brenner han for digitalisering og ledelse.