02. oktober 2020
I en digital verden er det ikke lett å vite hva og hvem du kan stole på. Selv ikke for en stor hjelpeorganisasjon som Redd Barna. Alle virksomheter har verdier som er interessante for cyberkriminelle. Heldigvis er det hjelp å få i kampen mot dagens digitale trusler.
Foto: Redd Barna
Som andre samfunnsaktører som forvalter store verdier og mye personinformasjon, er også Redd Barna utsatt. Organisasjonen har en kompleks IT-infrastruktur som driftes internasjonalt, med mange tjenester og mye samhandling i «skyen». Selv om skyløsninger gir gode forutsetninger for kontroll med lagring av informasjon og tilgangsstyring, er også disse et attraktivt mål for cyberkriminelle.
Da Redd Barna ba BDO Cybersecurity om å sjekke status på sikkerheten i deres IT-systemer, fokuserte derfor BDOs sikkerhetseksperter på å teste sikkerheten i organisasjonens PCer, skyløsning og e-posttjeneste.
- I praksis innebar dette at våre «etiske hackere» forsøkte å få uautorisert tilgang til e-postkontorer og PCer. Testingen bestod av samme metoder som dagens cyberkriminelle benytter, og var dermed en effektiv måte å få testet Redd Barna sin motstandsdyktighet mot datainnbrudd, sier Håkon Lønmo, Direktør i BDO Cybersecurity.
BDO vurderte de ulike sårbarhetene som ble funnet, og gav tilpassede anbefalinger om relevante sikkerhetstiltak. Slike skreddersydde sikkerhetstester har vist seg nyttige for en rekke små og store virksomheter, i både privat og offentlig sektor.
- Det var viktig for oss å avdekke eventuelle datainnbrudd så tidlig som mulig, og på denne måten forhindre eller begrense eventuell skade. Sammen med BDO har vi nå gjort en grundig risikovurdering og fått på plass en mer helthetlig tilnærming til vår IT-sikkerhet, sier Marta Haraldsen, leder for Transformasjon og Teknologi i Redd Barna.
Den vanligste «døråpneren» for svindel eller spredning av skadevare i en organisasjon skjer ved hjelp av e-post. Som da Norfund tidligere i år ble svindlet for 100 millioner kroner. Svindlerne hadde hatt tilgang til Norfund sine e-postsystemer i lang tid før de til slutt fant en passende svakhet å utnytte, og et godt tidspunkt å slå til på. Også Norad opplevde å bli utsatt for et lignende angrep som Norfund, hvor kriminelle utga seg for å være direktoratets tilskuddsmottaker. Sakene føyer seg inn i en rekke alvorlige digitale angrep.
- Generelt anbefaler BDO alle virksomheter å gjennomføre sikkerhetstesting jevnlig for å avdekke nye sårbarheter etter hvert som de oppstår. I tillegg til testing av tekniske systemer, kan det være lurt med testing som benytter sosial manipulasjon til å avdekke menneskelige sårbarheter, avslutter Håkon Lønmo.
Dersom du er usikker på hvilken cyberrisiko din virksomhet står overfor, eller er nysgjerrig på hvilke sikkerhetstiltak som kan være hensiktsmessige, ta kontakt med oss for en uforpliktende prat. Du kan lese mer om cybersecurity og kontakte oss her.
Om samarbeidet med Redd Barna:
Redd Barna og BDO har vært samarbeidspartnere i over ti år. Vi er tett på Redd Barnas ledergruppe, som gjør at vi kjenner utfordringene og mulighetene - både nasjonalt og globalt. Våre rådgivere bidrar til å styrke Redd Barnas organisasjon og arbeid, for å sikre effektivitet og gjennomslagskraft i deres virke som humanitær aktør.