Dobbelt så mange dataangrep
Datakriminelle har funnet det svake punktet i norske virksomheter, viser undersøkelse fra Næringslivets sikkerhetsråd.
Antallet bedrageriangrep mot norske virksomheter ble mer enn doblet de første ukene av koronatiltaksperioden. Det kommer frem i en undersøkelse Næringslivets Sikkerhetsråd fikk utført våren 2020 blant virksomheter med mer enn fem ansatte.
Den viser også at de datakriminelle har lagt om «forretningsmodellen»: Dataangrepene rettes i stadig større grad mot mennesker. Det henger blant annet sammen med at virksomhetens sikkerhetssystemer blir stadig bedre, opplyser seniorrådgiver Karoline Tømte i NorSIS, Norsk senter for informasjonssikring.
Angrep på hjemmekontoret
Forsøk på bedrageri og phishing/sosial manipulering utgjør til sammen 25 prosent av angrepene. Hacking og regelrette datainnbrudd utgjorde fem prosent. I Mørketallsundersøkelsen fra 2018 var denne andelen 13 prosent.
– Dette viser hvor viktig den enkelte ansatte er for IT-sikkerheten på arbeidsplassen, konstaterer Tømte.
Hun peker på at usikkerhet og «annerledeshet», med blant annet mye bruk av hjemmekontor, fortsatt preger hverdagen til mange.
– En konsekvens av dette kan være at sikkerhetsrutiner og -systemer får mindre oppmerksomhet. Når folk blir sin egen sikkerhetsansvarlige, øker risikoen for at de gjør feil – og at disse ikke oppdages i tide.
Mindre bedrifter mer sårbare enn store
Små og mellomstore bedrifter er generelt ikke like godt rustet mot cyberangrep som større virksomheter. Derfor kan de være sårbare for mange former for angrep, påpeker Jack Fischer Eriksen. Han leder avdelingen for sikkerhetsrådgivning i Advansia og er blant annet tidligere direktør i Næringslivets Sikkerhetsråd.
– Det kan for eksempel skorte på gode rutiner og kunnskap om trusselbildet og egen sårbarhet. Dette henger gjerne sammen med en mangel på sikkerhetskultur eller -modenhet, sier Eriksen.
Dataangrep blir ofte forbundet med vinningskriminalitet. De senere årene har det imidlertid kommet frem at organisasjoner og ikke minst stater også står bak flere angrep. Disse rammer virksomheter og institusjoner av stor økonomisk eller samfunnsmessig betydning. Eriksen nevner angrepene mot Norsk Hydro, helseforetak, kommuner og Stortinget som eksempler.
Bakdør for fremmede makter
Mange mindre bedrifter oppgir at de ikke er utsatt for denne typen angrep, påpeker Eriksen.
– Det er imidlertid mange eksempler på at store virksomheter blir rammet via underleverandører og mindre samarbeidspartnere. Disse fungerer rett og slett som en bakdør til angripernes egentlige mål, sier Eriksen. Han fortsetter:
– Hvis noen vil bryte seg inn hos en større virksomhet med et godt forsvarsverk, er risikoen for å bli oppdaget stor. Da kan de i stedet utnytte sårbarheter i systemet til en underleverandør og skaffe seg tilgang til informasjon eller verdier via denne omveien. Mindre bedrifter mangler ofte verktøy for å oppdage angrep fra profesjonelle aktører, som dessuten er flinke til å skjule sporene sine.
Vil øke kunnskapen om digital sikkerhet
Sikkerhetskulturen må styrkes i alle typer virksomheter, er ekspertene enige om. Karoline Tømte viser til Nasjonal sikkerhetsmåned, som blir gjennomført i oktober hvert år.
– Målet er å øke bevisstheten og kunnskapen rundt digital sikkerhet ved å få flest mulig virksomheter til å gjennomføre digital sikkerhetsopplæring blant egne ansatte, sier Tømte.
Hun forteller at NorSiS tilbyr en opplæringspakke som er gratis for virksomheter med færre enn 20 ansatte – og rimelig for de større.
– Ledere utvikler en sikrere virksomhet ved å styrke de ansattes kompetanse og kunnskap i å gjennomskue forsøk på svindel, bedrageri og dataangrep, slår seniorrådgiveren fast.
IT-sikkerhet er en helårsjobb
Jack Fischer Eriksen mener Nasjonal sikkerhetsmåned er et viktig tiltak. Han understreker samtidig at IT-sikkerhet må stå høyt på bedriftens agenda hele året.
– Det grunnleggende er at virksomheten må erkjenne at den er utsatt. Det gjelder nesten uansett størrelse og bransje. Deretter gjelder det å skaffe seg oversikt over trusselbildet: «Hvilke typer angrep er det mest sannsynlig at vår bedrift blir utsatt for?» Ut fra dette må man jobbe for å skape en god sikkerhetskultur og innføre tiltak som reduserer risikoen i den daglige driften, sier Eriksen.
Stikkord er bevisstgjøring, opplæring og praktiske øvelser, rutiner for varsling og etablering av en beredskapsplan.
– Hvis man blir utsatt for et angrep, må de ansvarlige på arbeidsplassen vite hva de skal gjøre. I tillegg må man ha gode systemer for blant annet sikkerhetskopiering. Rask gjenopprettelse av data er en nøkkel til å komme raskt tilbake til normaltilstand. Lagring i en sikker skytjeneste vil være en god løsning for mange bedrifter, sier Eriksen.
Han understreker at ansatte som gjør feil må oppmuntres til å varsle. Folk som frykter å få en reprimande av sjefen kan i verste fall unnlate å slå alarm, slik at et angrep blir oppdaget for sent.
Gratis informasjon og kurs
Ikke alle kan ansette en sikkerhetssjef eller leie inn konsulenter. Bedriften bør uansett peke ut en nøkkelperson som får det overordnede ansvaret for arbeidet med sikkerhet, mener Eriksen.
– Vedkommende må blant annet sørge for at arbeidsplassen har gode rutiner for passord, oppdatering av programvare og sikkerhetskopiering. I tillegg må leverandører og samarbeidspartnere følges opp, sier han og viser til at det er mye god hjelp å få i arbeidet med IT-sikkerhet.
– NorSIS og Næringslivets sikkerhetsråd er gode kilder til informasjon og bistand. Det finnes også en rekke kurs som enten er gratis eller billige for ledere og ansatte. Videre kan forsikringsselskapet være en god støttespiller for virksomheter som har kjøpt cyberforsikring, sier Eriksen.
Dette bør en cyberforsikring dekke
Erlend Hjelle jobber med cyberforsikring i Gjensidige. Han opplyser at funnene i undersøkelsen fra Næringslivets sikkerhetsråd stemmer godt overens med forsikringsbransjens erfaringer.
– Bildet er det samme over hele Europa. Antallet dataangrep har økt i forbindelse med koronakrisen, sier Hjelle. Han mener flere selskaper nå vil vurdere cyberforsikring.
– Det er viktig å velge en forsikring som dekker bedriftens behov. En god forsikring erstatter et økonomisk tap som kommer som følge av nedetid eller forstyrrelser i driften. I tillegg bør forsikringsselskapet tilby hjelp fra eksperter som kan redusere skadeomfanget, sikre beviser og hjelpe virksomheten raskt tilbake i drift, sier Hjelle.
En virksomhet risikerer å få rettet erstatningskrav mot seg hvis den ikke kan oppfylle forpliktelsene sine overfor kunder og partnere. Sjekk at forsikringen gir erstatning for tredjepartstap og dekker utgifter til juridisk bistand, råder Hjelle.
Han understreker at tid er en vesentlig faktor i forbindelse med dataangrep. Gjensidige oppfordrer kunder med cyberforsikring til å ta kontakt umiddelbart hvis de mistenker eller oppdager uregelmessigheter.
– Det er ingen egenandel knyttet til de innledende undersøkelsene av en hendelse, sier Hjelle.
Sist oppdatert: