02. april 2019
Økt risiko for dataangrep får store selskaper til å sette av mye penger til IT-sikkerhet i frykt for å bli rammet. Små og mellomstore virksomheter prioriterer derimot ofte bort sikkerheten, og er derfor ekstra sårbare.
Angrepet mot den norske børskjempen Hydro er det siste i rekken av alvorlige datainnbrudd hos store, multinasjonale selskaper.
Et «vellykket» angrep kan føre til betydelige økonomiske tap, nedetid og stjålet informasjon om kunder, ansatte og teknologi. Angrep rettet mot høyprofilerte selskaper får mye oppmerksomhet i mediene, mens små og mellomstore virksomheter som blir offer for datakriminalitet går mer ubemerket hen.
Prioriterer bort IT-sikkerheten
I det siste har vi heldigvis sett at flere små virksomheter har valgt å dele sine historier. Dette bidrar til økt bevissthet rundt konsekvensene av dataangrep, og reduserer forhåpentligvis terskelen for at andre står frem og deler sine historier.
Les også: Derfor bør du ta IT-risiko på ramme alvor
Flesteparten av de som er blitt rammet har nedprioritert IT-sikkerhet i budsjettet til fordel for vekst og utvikling. Dette gjør dem betydelig mer sårbare og attraktive som mål for trusselaktører. Eksempelvis ser vi at oppstartsselskaper fokuserer på å utvikle produktet eller tjenesten sin helt frem til salgsfasen før de vurderer IT-risiko.
BDO Cybersecurity jobber aktivt og kontinuerlig med å kartlegge og spore nye trusler, trender og sårbarheter som norske virksomheter må forholde seg til i en digital hverdag.
Les også: Norske virksomheters største trussel – hva burde du vite om cybersecurity?
Vi ser flere gode grunner til at små og mellomstore virksomheter bør ta et aktivt grep for å redusere sin digitale risiko.
Fire grunner til at små virksomheter er spesielt utsatte
1. Kan brukes som «brohode» til større virksomheter
2. Er ikke kritisk til bruk av skyløsninger
3. Kan ha ansatte som ikke tenker datasikkerhet
4. Mangler grunnleggende sikkerhetskultur
Kan brukes som inngangsdør til større virksomheter
Et dataangrep er ofte målrettet, men det kan også være tilfeldigheter som gjør at din virksomhet blir rammet. Mindre selskaper blir stadig oftere brukt som «brohode» for å infiltrere eller kompromittere data hos et enda mer attraktivt angrepsmål – for eksempel en global aktør.
Mange oppstartselskaper har profilerte samarbeidspartnere som gir dem tilgang til sine data. Andre deler lokaler og nettverk med virksomheter som sitter på større verdier. De minste og mest sårbare virksomhetene kan utnyttes for å få tilgang til store digitale verdier.
Blir ekstra sårbare i skyen?
Flere og flere norske virksomheter tyr til skybaserte løsninger for mye eller alt av sin IT-infrastruktur. Dette kan gjøre dem mer fleksible og effektive, men også mer sårbare. Jo lettere data er tilgjengelig, desto lettere vil det også være for uvedkommende å få tak i den samme informasjonen.
Mange trusselaktører sprer skadevare ved bruk av automatiserte metoder som kartlegger sårbare programmer, datamaskiner og nettverk. Vi ser også ofte at medarbeidere ukritisk gir fra seg personlige passord til trusselaktører etter å ha blitt utsatt for et målrettet e-postangrep. Om dette passordet gir tilgang til sensitiv informasjon lagret i skyen, kan det få uante følger for virksomheten.
Les også: Hvordan beskytte seg mot e-postangrep
Ansatte oppfatter ikke faresignaler
Mange mindre selskaper har ansatte som reiser mye på jakt etter investorer eller for å møte mulige kunder. Det betyr at de ofte kobler seg på nett på andre steder enn kontoret.
Åpne trådløse nettverk på flyplasser og kafeer har som oftest svært begrenset sikkerhet. Vi vet også at kriminelle har satt opp falske trådløse nettverk på offentlige steder, hvor de har fått tilgang til sensitiv informasjon når uvitende ansatte kobler seg til.
Mange virksomheter mangler en sikkerhetskultur
En trusselaktør kan bruke hvem som helst i en virksomhet som en inngangsdør. Derfor er det viktig at alle ansatte forstår hvilke metoder en angriper kan benytte seg av.
Les også: Antall cyberangrep doblet på fem år
Mindre selskaper mangler dessverre ofte en grunnleggende sikkerhetskultur, som å sørge for krav til passord eller regler om behandling av utstyr og data. Grunnleggende kunnskap og en innarbeidet sikkerhetskultur er et viktig og lite ressurskrevende grep.
Billigere å være føre var
I verste fall kan en utspekulert phishing-mail frata selskapet alle dets verdier. Da er det både billigere og enklere å beskytte egne og kunders data enn å måtte gjenopprette alt det tapte etter en sikkerhetshendelse.
Dersom et cyberangrep fører til sensitive data på avveie på grunn av manglende sikkerhet kan dette resultere i brudd på regelverk som GDPR. Straffen for selskaper som ikke overholder EUs personvernregelverk vil smake langt bitrere enn hva det ville kostet å implementere grunnleggende sikkerhetstiltak.
Er din virksomhet klar over risikobildet og konsekvensene forbundet med et dataangrep? Ta kontakt med oss i BDO Cybersecurity for råd og løsninger tilpasset din virksomhets størrelse og verdier.