• Alle virksomheter har verdier som er interessante for cyberkriminelle
Blogg:

Alle virksomheter har verdier som er interessante for cyberkriminelle

29. april 2019

Stadig flere virksomheter tegner cyberkriminalitetsforsikring og tror dermed at de er sikret mot et dataangrep. En slik forsikring er utvilsomt viktig og kan for mange være redningen ved store finansielle tap, men samtidig glemmer mange at det finnes andre verdier cyberkriminelle også er interessert i, og disse er det betraktelig vanskeligere å forsikre seg mot.

 

Les også: Derfor bør du ta IT-risiko på ramme alvor

Cyberkriminelle opptrer organisert og benytter avanserte metoder og verktøy. Mange ser for seg en ensom ulv som hacker hjemme fra gutterommet, men dette er sjelden sannheten. Organiserte cyberkriminelle leier egne lokaler, jobber i team og har noe som ligner mistenkelig mye på en vanlig 8-16 jobb. Noen angrep er målrettede og bestilt av en statlig eller privat aktør, men de fleste er tilfeldige og kan potensielt treffe alle virksomheter i hele verden. For de kriminelle er kostnaden svært lav, og risikoen dessverre det samme. Har du reflektert over hvilke verdier din virksomhet er i besittelse av?

 

Databaser og opplysninger om kunder

Verdien av data har eksplodert. Selskaper som sitter på store databaser og mengder med kundedata må være klar over hvilken verdi de faktisk håndterer. Data er selve verdidriveren til store selskaper som Facebook, Amazon og Google. Men også mindre bedrifter er ofte bygget på og rundt forskjellige typer data. Cyberkriminelle kan utnytte slike datasett til egne formål, men også selge videre til aktører som er svært betalingsvillige. Ikke glem at lekkede datasett med brukerinformasjon fra millioner av Facebook-profiler kan ha vært avgjørende da Donald Trump ble valgt til president.

 

Kontrakter og informasjon om relasjoner til andre virksomheter

Er din virksomhet i besittelse av informasjon som kan være kritisk for en tredjepart? IT-sikkerhet angår ikke bare egne interesser, men også klienter, samarbeidspartnere eller andre som har delt informasjon med deg. Selv om et datainnbrudd ikke nødvendigvis innebærer konkrete eller målbare tap, vil det utvilsomt medføre et stort omdømmetap. Konfidensialitet, integritet og kvalitet er viktig uansett bransje. Et datainnbrudd, uansett omfang, vil svekke din mulighet til å opprettholde gode relasjoner. 

 

Hacket uten å vite det

Det hører med til sjeldenhetene at konkurrenter stjeler fra hverandre med mål om å ta markedsandeler. Det vi derimot ser er at enkelte internasjonale hackergrupper spesialiserer seg på å stjele forretningshemmeligheter som enten kan videreselges eller oppbevares for videre analyse. Programvareleverandøren Visma gikk nylig ut offentlig med at de var blitt rammet av et omfattende hackerangrep, hvor målet etter all sannsynlighet var å få tilgang til forretningshemmeligheter. Selskaper i alle størrelser sitter på immaterielle eiendom som kan være verdifull i dag, eller i fremtiden. Industrispionasje er blitt et økende problem, men går ofte under radaren, ikke minst fordi det er vanskelig å oppdage. Det er ikke uvanlig at uvedkommende er inne i nettverket i lengre tid før de utfører ondsinnede angrep.

 

Personopplysninger om ansatte

De fleste cyberangrep lykkes ved at uvedkommende får tilgang til en av de ansattes brukerkontoer. Det er ikke uvanlig at jobb-mailen og det tilhørende passordet også benyttes privat. Sosial manipulasjon kan påføre virksomheten store tap, men mange glemmer at det også er stor sannsynlighet for at enkelte ansatte kan påføres store private tap. Hvorfor skulle en cyberkriminell bruke tid på dette? Som nevnt tidligere benytter trusselaktører automatisert programvare og kan derfor scanne alle kontoer du har med e-posten, og passordet du har gitt fra deg. Enkelt sagt kan de tømme nettbanken og bruke din kontaktliste til å identifisere nye mål, uten at du nødvendigvis var et mål i utgangspunktet.

 

Les også: Hvordan beskytte seg mot e-postangrep

I IT-bransjen har vi et mantra: Det finnes to typer virksomheter på kloden – de som vet at de har blitt hacket, og de som ikke vet at de har blitt hacket.

Ønsker din virksomhet å identifisere hvilke verdier som kan være av interesse for uvedkommende? BDO Cybersecurity har en helhetlig tilnærming til IT-sikkerhet. Ta kontakt med oss for en risikovurdering av din virksomhet.