4 cybertrusler – og 4 løsninger – alle små bedrifter må kunne
«Jo mindre virksomheten er, jo mindre er risikoen». Denne feilslutningen tar livet av mange mindre bedrifter.
-Små og mellomstore bedrifter utsettes for nøyaktig samme angrep som store bedrifter. De kan være mer attraktive mål fordi de har færre eller ingen sikkerhetsressurser og fordi de som underleverandører fungerer som rør inn i systemene til de store selskapene, sier Peggy Sandbekken Heie, administrerende direktør i Norsk Senter for Informasjonssikring (NorSIS).
NorSIS er nasjonal koordinator for Nasjonal Sikkerhetsmåned, som løftet fokuset på cyberkriminalitet. Hovedmålet NorSIS er å heve bevisstheten om cybersikkerhet hos SMBer, som bare unntaksvis har dedikert personell eller bruker tredjeparter til å håndtere sikkerheten.
-Dette gjør SMBer ekstra sårbare for cyberkriminalitet. Mange tror ikke de vil oppleve angrep fordi de ikke har noe av verdi. Men når du mister tilgang til byggetegningene eller nettbutikken din skjønner du hva det betyr, sier Sandbekken Heie.
-Gjør en digital verdivurdering. Ta hyppige backups og kontroller at disse fungerer og ikke blir utsatt for virus. Når selv Hydro med sine sikkerhetssystemer og ressurser er utsatt, hva da med oss andre?
Men hva skal en SMB egentlig beskytte seg mot, og hvor skal de begynne? Her er det mange ord og begrep som kan være ukjente. Sammen med Sandbekken Heie rydder vi opp:
DISSE 4 CYBERTRUSLENE VELTER MINDRE SELSKAPER
Cybertrussel 1: Ransomware
-Ransomware er når noen bryter seg inn i systemet og krypterer systemene eller filene dine og krever betaling for å gi tilgangen tilbake, forklarer Sandbekken Heie.
Dette er den vanligste og raskest økende formen for cyberangrep. Angriperne går ofte etter SMBer fordi sikkerhetsbevisstheten ofte er lav og kompetansen også er lav. NorSIS anbefaler ikke å betale kriminelle, og det er heller ikke sikkert at man får tilbake filer eller tilgang selv om man betaler.
Cybertrussel 2: Phishing
-Her prøver noen å lure fra deg informasjon om deg selv, virksomhetsinformasjon eller betalingsopplysninger. De kan også forsøke å få deg til å klikke på vedlegg som sendes via en epost, men har også begynt å bruke SMS for å lure deg. Eller en kombinasjon av epost og telefonoppringninger, forteller Sandbekken Heie.
Vel inne i systemene dine kan angriperne endre fakturaer, sende meldinger og hente ut dataen som er lagret der, men også tilegne seg bruker-ID og passord.
Cybertrussel 3: Svake passord
-Passord kan lett komme på avveie. Massive passordlekkasjer de senere årene fra blant annet Yahoo, LinkedIn og Dropbox bekrefter dette, sier Sandbekken Heie.
Fortsatt er det mange SMBer som ikke har iverksatt tofaktorbekreftelse ved pålogging. Minst hver femte ansatt skaper risiko for virksomheten på grunn av et svakt passord som er enkelt å gjette eller kommet på avveie. Når passord så lett kommer på avveie, må virksomheten sette inn tiltak for å oppveie risikoen.
Cybertrussel 4: DDos
-Et annet ord for DDoS er ‘tjenestenektangrep’. Det innebærer at at svindlere genererer massiv trafikk til en nettside, slik at den blir blokkert for vanlige brukere, forklarer Heie. Dette kan være ganske ødeleggende for mange virksomheter. Distributed Denial of Service er som om masse kunder vil inn i en butikk på Black Friday, og så går en gjeng pøbler rundt og rundt i svingdøren så ingen andre kommer inn. Her er en video som forklarer dette fint.
5 STEDER Å STARTE
Løsning 1: Tren virksomheten din
-Bygg kunnskap hos de ansatte. Det aller viktigste er bevisstgjøringen på at angrep og svindel forekommer og å kunne kjenne det igjen når det skjer, sier Peggy Sandbekken Heie. Den vanligste veien inn i systemene dine er gjennom epost. Ikke anta at alle forstår hvordan dette ser ut. Phishing er blitt ganske sofistikert. Alt som trengs er et klikk på et vedlegg, så er de inne. Ikke send et memo, send dem på kurs. Og særlig de som styrer systemene. Les mer her.
Løsning 2: Passordkontroll
-Det høres ikke moro ut, men ‘tofaktorbekreftelse’ eller ‘multifaktorpålogging’ er det viktigste du kan gjøre. Det betyr at selv om passordet kommer på avveie så har du et passord til, for eksempel en app-generert sifferkode, forklarer Sandbekken Heie.
Aktiver tofaktorbekreftelse på alle jobbsystemer, men bruk det også privat. Et alternativ er også å gi de ansatte en passordmanager som gjør det enklere å holde oversikt over mange passord. Pass også på å slette ubrukte kontoer, og bytt passord hvis du har mistanke om at det har kommet på avveie.
– Og uansett: Når noen ber deg oppgi passord bør det alltid gå av noen alarmer, sier Sandbekken Heie.
Løsning 3. Oppdater programvaren
Programvareutviklere slipper gjerne regelmessige sikkerhetsoppdateringer, retting av sårbarheter og nye beskyttelsesmekanismer. Ikke tenk at dette er valgfritt. Siden sist du oppdaterte har cyberkjeltringer funnet nye innganger, og utviklere har tettet flere hull. Legg inn automatisk oppdatering om du har mulighet, på operativsystemer og annen programvare.
Løsning 4: Forbered deg på det verste
– Gjør en digital verdivurdering av hva som er virksomhetskritisk informasjon eller viktige systemer for den daglige drift. Og ta alltid backup av informasjonen, sier Sandbekken Heie.
Ta backup av all informasjonen du kan tenkes å ha bruk for. Legg inn regelmessige backups så du ikke faller etter og sjekk at du faktisk kan lese informasjonen hvis du må benytte deg av backupen. Alt som er sensitivt bør krypteres. Husk at phishere og hackere er smarte folk som ofte ligger et skritt foran.
Det er viktig å ha en plan for sikkerhetsarbeidet. Gjerne med hjelp fra folk som kan det, men det finnes fine veiledere også, det er flere gratis veiledninger på nettvett.no.
Her er noen spørsmål å tenke på til planen: Hvordan skal du beskytte sensitive data? Hva slags programvarebeskyttelse trenger du? Hvem skal ha admin-privilegier?
Og nevnte vi at du må trene de ansatte?