Blogg:

IT-sikkerhet i handelsbransjen

16. desember 2021

Eivin Redbo, Partner, revisjon |
Lasse Andersen, Senior Manager, revisjon |

Mann foran pc-skjerm på et kontor

 

BDO gjennomfører hvert år Handelsundersøkelsen, en undersøkelse blant CFOer i norske retailselskaper. Årets undersøkelse er preget av pandemien, og de muligheter og utfordringer dette har skapt for norske retailselskaper.

Les hele Handelsundersøkelsen her.

90 % av respondentene mener at teknologi og teknologiutvikling er sentralt for deres virksomhet. Likevel er det få respondenter som er bekymret for IT-sikkerheten i sin virksomhet. Over halvparten av respondentene svarer at de enten ikke er bekymret eller at de i mindre grad er bekymret for IT-sikkerheten. Det er under 10 % av respondentene som i stor grad er bekymret for virksomhetens IT-sikkerhet.

Det finnes dessverre mange eksempler på større angrep, også blant mindre virksomheter, og eksperter advarer mot å glemme IT-sikkerhet fra hjemmekontoret. 

 

Handelsbransjen er sårbar

BDO samarbeider med det norske IT-sikkerhetsselskapet Defendable. Ifølge dem, kan virksomheter innenfor handelsbransjen være svært attraktive mål for ondsinnede trusselaktører. 

Virksomheter i handelsbransjen bruker i stadig større grad digitale tjenester i sin daglige drift. Den raske utviklingen i informasjonsteknologi, med økt tilgang på data og raskere data-prosessering og -deling, gjør det lettere å optimalisere drift og gjøre den tryggere, samt mer bærekraftig og kostnadseffektiv. Samtidig bygger disse fordelene på økt integrasjon og eksponering mot internett, gjennom sammenkoblinger mellom servere, IT-systemer og industri- og logistikk-kontrollsystemer. Denne kompleksiteten øker sårbarhetsflaten og risiko for sikkerhetshendelser, nedetid, og påfølgende finansielle tap.

Trusselen er særlig høy for virksomheter som vil oppleve betydelige finansielle tap som et resultat av et drifts- eller logistikkavbrudd. Trusselaktørene er klar over at julehandelen står for en betydelig andel av omsetningen i norske (og internasjonale) varehandelsvirksomheter. Det kan resultere i at risikoen for – og de eventuelle konsekvensene av – et angrep, er ekstra høy i denne perioden. 

 

Enkle grep kan redusere trusselen

Defendable peker på viktigheten av å kunne avverge, oppdage, og ikke minst håndtere, eventuelle angrep. Føre var-prinsippet er helt klart anbefalt å følge når det kommer til IT-sikkerhet, ifølge Andreas Vogt, daglig leder i Defendable.

Heldigvis kan ofte enkle grep redusere risikoen for at et angrep mot din virksomhet er vellykket. Defendable trekker blant annet frem følgende:

  • Sikre at det finnes en prosess for å oppdatere programvare jevnlig, og at kritiske sikkerhetsoppdateringer installeres så raskt som mulig etter lansering
  • Gjennomfør jevnlig opplæring av ansatte om behandling av e-post og besøk på mistenkelige nettsider
  • Still sikkerhetskrav til dine leverandører
  • Sørg for å ha gode backup-rutiner og løsninger. Husk også å teste gjenopprettingskapasiteten
  • Utarbeid og implementer rutiner for tilgangsstyring som følger minste privilegiums prinsipp 
  • Utarbeid og implementer rutiner for endrings- og konfigurasjonsstyring.
  • Implementer to-faktor autentisering.
  • Implementer sikkerhetsløsninger for endepunkter, skyløsninger og nettverk
  • Implementer sikkerhetsmonitorering
  • Utarbeid beredskapsplanverk som inneholder tiltakskort for dette scenariet, og gjennomfør øvelser.
  • Hvis du blir utsatt for en hendelse: 
    • Ikke betal løsepenger
    • Koble infisert maskin fra nettverk, men ikke slå den av
    • Kontakt (interne eller eksterne) sikkerhetseksperter
    • Iverksett øvrige tiltak iht. beredskapsplanene til virksomheten

 

Les mer om hvorfor IT-sikkerhet bør settes høyt på agendaen:
Nå er sikkerhet ekstra viktig for SMB – slik kommer du i gang!
Nettfiskeangrep - Bistandspenger på avveie 
Slik ivaretar du IT-sikkerhet i en sårbar tid
Derfor er IT-sikkerhet ekstra viktig for mindre virksomheter