Også små og mellomstore bedrifter er angrepsmål – slik tar du selv grep
Falske nettsider, krypterte filer, DDoS-angrep, falske lenker på e-post og løsepengevirus. Her er Telenors sjekkliste for å sikre din bedrift mot de verste angrepene.
For små bedrifter er det lett å tenke at nettsikkerhet først og fremst er noe de store selskapene trenger å bekymre seg for.
Dessverre er sannheten tvert om: Små og mellomstore bedrifter er attraktive mål for angripere. Her er sikkerheten ofte mangelfull, samtidig som konsekvensene av datainnbrudd, nedetid eller krypteringsangrep kan være katastrofale – i enkelte tilfeller kan det bety kroken på døra.
Å sikre en bedrift mot digitale trusler er en jobb som ikke gjøres i en håndvending, men det er bedre enn alternativene. I tillegg handler sikkerhetsarbeid i stor grad om å jobbe preventivt: Starter du jobben idet bedriften blir rammet, er det gjerne for sent.
Vil du ta bedriftens sikkerhet på alvor er disse forslagene på tiltak et godt sted å starte:
Denne saken er opprinnelig publisert på Telenor.no.
Multifaktorautentisering og sterke passord
Dette er storeslem for sikkerheten din – den ene tingen du bør håndtere før du gjør noe annet, både på privaten og i bedriften.
Bedriftens ansatte bør selvsagt bruke sterke passord, og aldri det samme to steder. Dette kan håndteres via et digitalt passord-nøkkelknippe som holder rede på passordene.
Imidlertid kan selv sterke passord knekkes eller lekkes, så det er helt essensielt å ha et ekstra sikkerhetsledd som kan stanse inntrengere når uhellet er ute.
Med multifaktorautentisering (også kjent som totrinnspålogging og 2FA) slått på vil man i tillegg til passord trenge en kode fra SMS eller en app for å få tilgang – en effektiv stopper selv i tilfeller der passordet er kompromittert.
Start med å skru på totrinnspålogging for nøkkelkontoer brukt til å registrere seg andre steder (e-post-kontoen i mange tilfeller), siden disse kan brukes til å resette passord. Fortsett så med alle kontoer som er knyttet til bedriften – dette gjelder også de ansatte.
Grunnleggende datasikkerhet
Jevnlige (og gjerne automatiske) programvareoppdateringer er også essensielt. Det oppdages stadig nye hull i så vel Windows som standardprogrammer for alt fra å lese PDF-er til å sende e-post, og disse er viktig å tette før noen utnytter dem.
God antivirus-programvare (og gjerne med beskyttelse mot ransomware-angrep) sammen med en god brannmur er også gode førstelinje-tiltak for å gjøre bedriften til et vanskeligere mål å utnytte.
Pass også på å ta jevnlig backup av alle viktige filer. Sørg for å ha flere kopier fra ulike tidspunkter, og at ikke alle disse er koblet mot nett. Skybackup er veldig fint og praktisk, men et krypteringsangrep vil i noen tilfeller også ramme backupen – noe som gjør den verdiløs. Og da blir plutselig backupen på en ekstern harddisk veldig verdifull.
Menneskelig svikt
Å sette opp sterke forsvarsmurer er nytteløst om noen lukker opp bakdøra på vidt gap. Der angrep iblant skjer via tekniske åpninger, er det ofte via menneskelige feil (eller ubetenksomhet) uvedkommende finner veien inn.
Dette er vanskeligere å sikre seg mot, og handler i stor grad om å jobbe inn sikkerhetsrutiner og bevissthet rundt digitale svindelmetoder.
Sosial manipulasjon er en sekkebetegnelse for en rekke metoder angripere benytter for å få målet til å oppgi sensitive opplysninger.
Dette inkluderer blant annet phishing-meldinger på e-post eller SMS om «pakker på vei» eller bankkontoer som stenges, eller oppringninger fra det som tilsynelatende er banken, Microsoft eller politiet.
Det finnes også andre måter de ansatte (eller sjefen) kan åpne døra. For eksempel er det viktig å ha rutiner for hvordan ansatte håndterer det å ta med seg jobbutstyr hjem. Når maskinen kobles til hjemmenettverket er bedriften med ett prisgitt den ansattes egne datasikkerhet.
Om en enhet på hjemmenettverket er infisert, kan den «smitte» jobbmaskinen. Når jobbmaskinen så blir koblet opp på jobbnettverket igjen, kan for eksempel et krypteringsvirus spre seg videre inn i bedriftens systemer.
Sikre bedriften på DNS-nivå
Selv med en god sikkerhetskultur og klare retningslinjer, kan en godt rettet svindel e-post fortsatt føre til stor skade. En ansatt kan fort bli forledet til å trykke på en lenke, oppgi sensitiv informasjon eller laste ned skadevare fra en falsk nettside.
Ved å stanse disse svindelforsøkene på DNS-nivå, kan du forhindre at dine ansatte i det hele tatt blir utsatt for svindelforsøkene. DNS er kort for domain name system, og er kort forklart en «adressebok» som ruter trafikken rundt på internett.
Sikkerhetstjenester som jobber på dette nivået, kan sørge for at trafikken til ondartede nettsider blir stanset – slik at ansatte beskyttes mot farlige lenker og falske nettsider.
Denne typen sikring beskytter mot phishing, malware og ransomware, og kan stoppe opp mot 98 prosent av uønskede hendelser.
Ikke tenk at du «ikke er viktig»
Har du noen gang tenkt at du eller din bedrift umulig kan være et mål fordi «ingen andre kan være interessert i dette»? Tro om igjen. Selv hvis du ikke håndterer sensitiv informasjon av noe slag og mener at du kunne reist deg etter hva som enn måtte komme av angrep eller lekkasjer, bør du tenke over dette:
Hvem leverer du til?
Iblant er du eller din bedrift nemlig bare en brikke i et større spill. Om en svindler får kontroll over e-posten du bruker til å kommunisere med kunder, eller personer høyere opp i organisasjonen din, kan tilliten du har utnyttes til å gjøre ønskede handlinger. Som for eksempel å få noen til å klikke på en lenke, åpne en fil eller gi ut sensitive opplysninger.
Om du er slepphendt med sikkerheten og dette går utover en samarbeidspartner kan det føre til både omdømmetap og tapte oppdrag.
Hvem har tilgang til hva?
Å legge begrensninger i systemene bedriften bruker, slik at ingen har mer tilgang enn de behøver, er et godt grep. Da minskes handlingsrommet for en inntrenger. Dette gjelder også eksterne tjenester.
Har en ansatt for eksempel tilgang til bedriftens Facebook-konto, enten med publiserings-mulighet eller administrator-rettigheter? Da MÅ den ansatte ha tofaktorautentisering aktivert for Facebook.
Ellers kan en angriper gjennom å ta over den private kontoen publisere ytringer som kan skade bedriftens omdømme, eller ta over eierskapet til siden, og kanskje begge deler.
Et slikt tilfelle illustrerer også hvorfor det kan være smart å nedgradere tilganger. Ansatte som bare skal publisere oppdateringer på Facebook-veggen har for eksempel ikke behov for administratortilgang.
Har noen med tilganger sluttet i bedriften? Pass på å få tilbakelevert alt relevant utstyr og skift passordene, uansett hvor mye tillit du har til personen. Det holder nemlig at noen kommer inn på for eksempel den digitale nøkkelringen deres for at alt av tilganger er på avveie.
Intern kommunikasjon
Hvor godt sikret er for eksempel Slack-kontoene i bedriften? Dette kan kanskje virke uviktig, men ansatte (og sjefer!) kan bruke interne kommunikasjonskanaler til alt fra å dele sensitive passord til slengbemerkninger om kunder.
Om uvedkommende får tilgang på dette og bestemmer seg for å spre det, kan følgene være alvorlige – også i GDPR-sammenheng. Det kan være en idé å jevnlig renske ut all kommunikasjon som er eldre enn for eksempel et halvt år (men pass på å ta vare på ting dere faktisk trenger eller er lovpålagt å beholde).
For et eksempel på hvor galt det kan gå ellers er det bare å ta en titt på da Sony Pictures ble hacket i 2014 og alt fra personnummer til e-poster med baksnakking av filmstjerner og økonomisk sensitive opplysninger ble offentlig informasjon.
Her finner du guider for tidsinnstilt meldingssletting i Slack og Teams. For andre tjenester kan du prøve å søke på «message retention» sammen med navnet på tjenesten.
Sikre e-postdomenet
Om du ikke har tatt spesifikke grep for å sikre bedriftens e-postdomene, kan det godt hende at uvedkommende enkelt kan sende egne e-poster fra samme domene. Hvis domenet er usikret kan det også føre til at viktig e-post ikke kommer fram til mottakere, fordi den får en dårlig sikkerhetsvurdering av ulike spam-filtre og havner rett i søpla.
Nøkkelen til bedre sikkerhet og færre e-poster som går i spam-filteret og havner i søppelpost, er DMARC og SPF. En konfigurasjon som sørger for at e-poster kommer fra avsenderen de oppgir å være fra.
Det er en del arbeid involvert for å sette dette opp skikkelig. Men det første steget er uansett å sjekke om du i det hele tatt har dette aktivert (noe til og med Statsministerens kontor ikke hadde inntil nylig – så du er ikke alene om å ikke ha alt på stell).
Nasjonal sikkerhetsmyndighet (NSM) har sin egen DMARC-sjekk som du kan prøve her.
Sikker håndtering av personopplysninger
Hvordan håndteres personopplysninger innad i bedriften? Hvordan lagres disse og hvor godt sikret er de?
GDPR-lovgivningen fokuserer mye på dette. Ved en lekkasje vil du kunne risikere saftige bøter om det kommer frem at du har vært slepphendt på dette punktet.
Om du vil vite mer, kan du starte med denne innføringen fra Datatilsynet og DigitalNorway.
Skaff deg en sikkerhetspartner
Sikkerhet på nett er en omfattende jobb. Mye kan gjøres på egen hånd, men om du ikke har en egen IT-ansvarlig er det lurt å ha noen du kan lene deg på i mer kompliserte spørsmål.
Med for eksempel DMARC-sertifisering kan det være greit å betale noen for timene det tar å sette det opp, i stedet for å måtte lære seg alt selv. Det samme gjelder hva du gjør om du blir angrepet.
Det er ikke uvanlig at utpressere truer med omfattende DDoS-angrep som vil sette bedriftens nettsider eller servere ut av drift over lengre tid – noe som kan ha svært negative konsekvenser for driften. Da bør man ha en erfaren IT-ekspert på laget for å sette opp gode forsvarsmurer.
Med en god sikkerhetspartner vil du også kunne få råd om andre grep for videre sikring av bedriften.
Les mer om cybersikkerhet i denne guiden fra Telenor.
Vil du lære mer om sikkerhet, er denne veiviseren et godt utgangspunkt:
Veiviser
Digital sikkerhet
Cyberkriminalitet er et problem som påvirker alle nivåer i en bedrift. Det er et felles ansvar – og det starter med deg. Denne veiviseren passer for deg som trenger en innføring i cybersikkerhet.