De fleste dataangrep rammer småbedrifter – der konsekvensene kan være størst

Foto: Grzegorz Walczak / Unsplash

Alle bedrifter kan regnes som attraktive mål for dataangrep, uansett størrelse. Små og mellomstore bedrifter er mest utsatt – men forstår de egentlig alvoret?

Digitale sikkerhetsbrudd blir stadig mer utbredt. Enten det er forsøkte eller vellykkede angrep: den siste Mørketallsundersøkelsen viser en klar økning i andelen virksomheter som utsettes for phishing, hacking, DDoS-angrep og bedrageri (se faktaboks).

Næringslivets Sikkerhetsråd, som står bak undersøkelsen, spår at cyberkriminalitet og sikkerhetsbrudd kan påføre norske virksomheter et tap på 19 milliarder kroner årlig – men flere eksperter tror tallet er langt høyere.

Samtidig øker bevisstheten rundt – og frykten for – cyberangrep hos den jevne nordmann: Ifølge en fersk rapport fra Direktoratet for samfunnssikkerhet og beredskap (DSB) kommer det fram at nordmenn bekymrer seg mer for cyberangrep på styringssystemer enn de gjør for terror.

Ta gratis nettkurs: Cybersikkerhet er et felles ansvar – og det starter med deg

Cybernaivitet

Mørketallsundersøkelsen viser en illevarslende trend: naivitet. 67 prosent av bedriftene som ble utsatt for sikkerhetsbrudd i 2017, mener det skyldtes tilfeldigheter eller uflaks. Litt over halvparten oppgir at menneskelige feil var årsaken.

Problemet blir enda tydeligere sett i sammenheng med hvordan hendelsene ble oppdaget. Halvparten av bedriftene som ikke har et styringssystem for datasikkerhet sier at de oppdaget sikkerhetsbruddet ved en tilfeldighet.

Det er en gjennomgående forskjell mellom bedrifter som har et godt sikkerhetssystem og de som ikke har det. Bedriftene med et slikt system har mindre tro på tilfeldigheter og uflaks, og oppdager i større grad farlige hendelser gjennom rutinemessig overvåkning.

Slik angripes norske virksomheter

  • Malware: Ondsinnet programvare, for eksempel virus, ormer og trojanere. Kan ta opp plass, spionere på adferden din, samle opplysninger – eller ødelegge filer helt
  • Ransomware: En type malware laget for å stenge deg ute av dine egne systemer, eller kryptere alle filene dine. Filene holdes som «gisler» – og du må betale løsepenger for å få dem tilbake
  • Phishing: Forsøk på å innhente sensitiv informasjon ved å gi seg ut for å være en aktør du stoler på, gjerne via e-post eller falske nettsider, men også gjennom sosiale medier. Brukes for eksempel til å komme seg seg inn i datasystemer gjennom å lure til seg passordene dine
  • Hacking: Personer eller algoritmer utnytter svakheter datasystemer for å utføre svindel, stjele opplysninger, spre malware, eller lignende
  • DDoS-angrep (distribuert tjenestenektangrep): Et nettverk av datamaskiner brukes til oversvømme en nettside, database eller lignende slik at den «kneler» under presset og det blir umulig for andre å få tilgang

Kilde: Nettvett.no

Små bedrifter rammes oftere

Det er heller ikke slik at cyberskurkene bare fyrer av de store kanonene – altså går etter milliardvirksomheter med hundrevis av ansatte. Mer enn syv av ti dataangrep retter seg mot små bedrifter – det til tross for at den økonomiske gevinsten er mindre per angrep enn det ville vært mot store konserner.

– Små og mellomstore bedrifter utsettes for nøyaktig samme angrep som store bedrifter. De kan være mer attraktive mål fordi de har færre eller ingen sikkerhetsressurser, og fordi de som underleverandører fungerer som rør inn i systemene til de store selskapene, sier Peggy Sandbekken Heie, administrerende direktør i Norsk Senter for Informasjonssikring (NorSIS).

Konsekvensene kan potensielt være langt mer skadelige for mindre virksomheter. En amerikansk undersøkelse viser at 3 av 5 små og mellomstore bedrifter må kaste inn håndkleet innen et halvt år etter et dataangrep.

– Det er farlig å tro at man ikke kan bli utsatt. Det finnes eksempler på bedrifter som har gått konkurs etter å ha mistet sensitive kundedata eller tilgangen til sine viktigste systemer, sier Kjell Kjebekk, Head of Security Portfolio & Market i Telenor, til selskapets blogg.

Hev kompetansen

Det er altså avgjørende å få på plass et godt sikkerhetssystem. Enten bedriften gjør det internt eller outsourcer datasikkerheten, er det viktig at de som sitter med ansvaret har høy kompetanse og følger med på utviklingen av trusselbildet.

Lav sikkerhetsbevissthet og kompetanse er nemlig viktige grunner til at skurkene angriper mindre bedrifter. Ransomware – der filene deres blir kryptert og hackerne krever «løsepenger» for at dere skal få tilbake tilgangen – er en trussel som kan gjøres mindre bedrifter hjelpeløse. En annen metode er såkalte DDoS-angrep, der tilgangen til en nettside eller tjeneste blokkeres av de kriminelle.

Dette kan være svært ødeleggende: Hva vil det gjøre med omsetningen til en retail-bedrift dersom kundene ikke kommer inn i nettbutikken på Black Friday?

Peggy Sandbekken Heie i NorSIS sier at det også er viktig at all programvaren som brukes holder høy kvalitet og ikke utsett oppdateringer. Ja, det kan litt tid å oppdatere operativsystemet – men det er likevel en liten kostnad sammenlignet med konsekvensene av at hackere utnytter sikkerhetshull som produsenten forsøker å tette.

Bevisstgjør de ansatte

I en undersøkelse Telenor har utført sier nesten halvparten av norske ledere at den største IKT-sårbarheten i virksomheter er ansattes manglende kompetanse og feilvurderinger. Her er phishing og malware-spredning relevant: dette er trusler som krever at en ansatt utfører en bestemt handling – gjerne uten at vedkommende innser faren.

For eksempel kan den ansatte motta en e-post som fremstår troverdig og som leder videre til en tilsynelatende autentisk nettside. Her blir en lurt til å gi fra seg sensitiv informasjon – som kan bli brukt til å skade enkeltpersonen og bedriften. Også malware kan virke uskyldig: Du laster ned en fil fra nettet eller bruker noen andres minnepinne, uten å vite at de inneholder skadelig programvare som trenger seg inn og sprer seg rundt i systemene.

Hold deg oppdatert!

Følg DigitalNorway på FacebookTwitter og LinkedIn – og meld deg på vårt ukentlige nyhetsbrev!

– Bygg kunnskap hos de ansatte. Det aller viktigste er bevisstgjøringen på at angrep og svindel forekommer, og å kunne kjenne det igjen når det skjer, sier Heie i NorSIS.

Det er nemlig ikke alltid så enkelt å gjenkjenne phishing-angrep, og malware kan komme fra pålitelige avsendere som selv ikke er klar over at de sprer ulumskheter.

Sist, men kanskje aller viktigst: Sørg for at de ansatte har god passordkontroll – gjerne ved å bruke et passordprogram. Oppfordre dem til å lage sterke passord – altså ikke «123456» eller «password» – og ta i bruk totrinnsverifisering. Selv om et passord skulle havne på avveie, kreves da en bekreftelse på e-post eller mobil for å få tilgang.

Ta gratis nettkurs: Cybersikkerhet er et felles ansvar – og det starter med deg