20. desember 2017
Rådene som ruster virksomheten mot cyberangrep
Selv om hele fire av ti norske toppledere mener et dataangrep mot dem ville vært kritisk, oppgir bare 59 prosent av alle spurte at de er tilfredsstillende sikret mot nettopp dette.
Ifølge BDOs risikoundersøkelse blant mer enn 1500 ledere i både offentlig og privat sektor, har en rekke virksomheter et akutt behov for å få på plass grunnleggende sikring mot den stadig økende trusselen for dataangrep.
– Både Nasjonal sikkerhetsmyndighet (NSM), Etterretningstjenesten, Norsk senter for informasjonssikring (NorSIS) og en rekke andre melder at trusselen for dataangrep er økende. Det er snakk om alt fra spionasje fra fremmede makter til regelrett informasjonstyveri, løsepengevirus eller idealistisk motivert hacking. Da er det skremmende at så mange ikke har på plass tilfredsstillende beskyttelse mot dette, sier leder i BDO CERT, Chris Culina.
Det er ikke så mye som skal til for å sikre seg mot vanlige dataangrep. I BDOs undersøkelse oppgir så mange som syv prosent av de spurte lederne at de har blitt utsatt for «digitale hendelser» som har resultert i direkte økonomiske tap, omdømmetap, tap av kontrakter eller beslagleggelse av interne ressurser.
Her er de viktigste generelle sikkerhetsrådene for å unngå digitale angrep:
Lær opp dine ansatte
En økende mengde angrep er basert på sosial manipulasjon. Ved opplæring av de ansatte kan de selv få en bedre forståelse for hvordan en trussel ser ut. Både phishing, løsepengevirus, småsvindel og direktørsvindel starter gjerne med en e-post. Denne kan være sendt til den ansattes private e-postadresse eller til en bedriftsadresse. I et kontinuerlig skiftende trusselbilde er det viktig at også opplæringen skjer kontinuerlig. BDO tilbyr også opplæring av ansatte med phishing-øvelser kombinert med e-læringskurs.
Få oversikt over dine digitale verdier
Utgangspunktet er enkelt: Absolutt alle virksomheter er utsatt for datakriminalitet. Derfor må du skaffe deg en oversikt over hvilke digitale verdier din virksomhet har og hvor mye disse kan være verdt for potensielle trusselaktører. BDO har utarbeidet en enkel test som kan gi deg en pekepinn på dette. Dette kan være alt fra personopplysninger, kontrakter og markedskunnskap til patenter og FoU-rapporter.
Ha en strategi for digital informasjonssikring
En virksomhet må ha et styringssystem for sikring av informasjonsverdiene sine. Har du ikke en slik overordnet plan, har potensielle verdier og sikring av disse en tendens til å falle mellom to stoler og bli oversett. Slik kan også tiltakene balanseres etter viktigheten av verdiene. IKT-sikkerhet er heller ikke noe som skal styres løsrevet fra den øvrige risikostyringen i virksomheten, herunder også arbeidet med fysisk sikkerhet og personellsikkerhet. Dette er områder som har tette koblinger til hverandre og bør ses i sammenheng.
Følg myndighetenes råd for IKT-sikring
NSM har følgende fire grunnråd:
- Oppgrader program- og maskinvare
- Vær rask med å installere sikkerhetsoppdateringer
- Ikke tildel sluttbrukere administratorrettigheter
- Blokker kjøring av ikke-autoriserte programmer
NSM trekker også frem penetrasjonstesting som et viktig tiltak for å forebygge datainnbrudd. BDO tilbyr denne type testing av både eksterne og interne nettverk.
En lang rekke hendelser gjennom 2017 samt vår egen erfaring tilsier at virksomhetene ikke er så godt rustet som de selv tror at de er. All erfaring tilsier at brannmur og antivirusprogrammer ikke i tilstrekkelig grad beskytter virksomheten. Mange norske offentlige og private virksomheter har erkjent dette, og har igangsatt overvåkning av nettverkstrafikk og annen aktivitet for å kunne avsløre dataangrep tidlig. Dessverre er det altfor få norske virksomheter som har erkjent dette.
Sørg for å ha tilgang til kvalifisert hjelp før du blir angrepet
Det er viktig å ha en kriseløsning klar før et eventuelt dataangrep. Da kan skadene og kostnadene ved disse bli langt lavere. BDO CERT var første leverandør som ble godkjent i Nasjonal sikkerhetsmyndighet (NSM) sin kvalitetsordning for leverandører som tilbyr tjenester for håndtering av datakriminalitet.
Kontakt oss gjerne dersom du har spørsmål rundt dette