1 av 3 handelsbedrifter mangler beredskapsplan for IT-angrep


Black Week og julehandelen er høysesong for detaljhandelen, men også for svindlerne. BDO advarer nå om at manglende planer for IT-sikkerheten kan føre til betydelig tap i årets mest kritiske salgsperiode. 



Kjell-Fredrik Kristiansen, partner og bransjeleder for handel i BDO, presenterte resultatene fra handelsundersøkelsen under Handelsdagen til BDO. 

– Julehandelen er en viktig sesong for detaljhandelen hvor mange henter inn en stor andel av årsomsetningen sin, men det er også høytid for svindlere som utnytter stress og tilbudsjag. Risikoen for IT-angrep øker drastisk og for bedriftene som rammes svir det ekstra, sier Kjell-Fredrik Kristiansen, partner og bransjeleder for handel i BDO. 


I BDOs handelsundersøkelse svarer én av tre bedrifter at de har opplevd svindelforsøk eller nettangrep det siste året. Likevel svarer en tredjedel av handelsbedriftene at de står uten beredskapsplan for håndtering av IT-angrep.  

  

– Når klikk og hent-funksjonen går ned eller netthandelen stopper opp i desember, kan konsekvensene bli store, spesielt om du står uten en plan. Det handler ikke bare om store summer i tapt omsetning, men også om svekket tillit blant kundene, sier Kristiansen. 

Begynner å haste 

I handelsundersøkelsen svarer også én av tre bedrifter at de har opplevd svindelforsøk eller nettangrep det siste året. 

Thomas Dahl er partner i BDO Consulting, og har lang erfaring innen cybersikkerhet. Han har tidligere jobbet med etterforskning og håndtering av datakriminalitet i Kripos. 


– Hvis ikke virksomheten din har en beredskapsplan, så begynner det å haste nå, sier Dahl. 


Han forklarer at en god beredskapsplan skal beskrive hva som skal gjøres ved en hendelse og ha en tydelig fordeling av ansvar. 

  • Hvem ringer hvem dersom betalingssystemet går ned? 
  • Hvordan får dere tatt betalt for varene? Og, hvordan registreres inntektene? 
  • Ha kontroll på varelageret. Hvilke varer er tilgjengelig, reservert og levert? Og hva er det som ikke er hentet eller returnert?
  • Har dere alternative løsninger for å opprettholde kritisk drift, slik at dere får levert ut varer som kundene har bestilt eller som står i hylla?


Økt bruk av AI til målrettede angrep 

Dahl peker på at det generelt er en nedgang i tradisjonelle phishingangrep, takket være at mange har blitt flinkere til å beskytte seg, blant annet med to-faktorautentisering. I tillegg har systemene som skal beskytte virksomhetene blitt bedre og de fleste har kommet seg til skyen. 

 

– Mange bruker i dag mobilbetaling med iboende sikkerhet, og handelsstanden har kommet langt når det gjelder å sikre betalingsmetoder i de fysiske butikkene. Det er innen netthandelen slaget står, og vi ser spesielt en økning i målrettede skadevareangrep med bruk av kunstig intelligens, sier Dahl. 

 

Trusselaktørene bruker i større grad AI til å tilpasse falske nettsider med skadevare til bestemte brukergrupper, blant annet basert på hvilke interesser du har og hvilket operativsystem eller telefonmodell du bruker. De falske nettsidene spres gjennom annonser i sosiale medier og fremstår troverdige.  

 

– For den enkelte forbruker handler det om å vekke sin kritiske sans og sjekke nøye om du er på en legitim side. Vi anbefaler deg alltid å gå inn i nettbutikker via søkefeltet i nettleseren og ikke via lenker i sosiale medier, sier Dahl. 


Han anbefaler også virksomheter å ta grep mot falske nettsider: 


Et bilde som inneholder klær, person, innendørs, vegg KI-generert innhold kan være feil. Thomas Dahl, partner i BDO, sier at det haster for bedriftene som fortsatt mangler en beredskapsplan for IT-angrep og uforutsette hendelser.Thomas Dahl, partner i BDO, sier at det haster for bedriftene som fortsatt mangler en beredskapsplan for IT-angrep og uforutsette hendelser.  


– Hvis du som virksomhet får vite at det spres falske versjoner av nettbutikken din, så kan du anmelde forholdet, selv om det erfaringsmessig kan være vanskelig å stoppe. At det florerer falske nettsider kan skape mistillit til merkevaren din og til handelsbransjen som helhet. Derfor anbefaler vi at du uansett går ut i markedet og advarer, sier Dahl. 

 

BDOs ni sikkerhetstips til handelsbransjen: 

  1. Innfør to-faktorautentisering. Det er en enkel måte å legge til et ekstra lag med sikkerhet.
  2. Få en oversikt over verdiene dere skal beskytte, som kortinformasjon, personopplysninger og kundedata.
  3. Gi ansatte enkel, praktisk opplæring. Lær opp ansatte i å kjenne igjen phishing, svindelforsøk og mistenkelig aktivitet.
  4. Begrens tilganger. Gi ansatte kun tilgang til systemer og data de faktisk trenger for å gjøre jobben sin.
  5. Sørg for at sikkerheten blir testet regelmessig, enten av interne eller eksterne ressurser. 
  6. Sikre at leverandørkjeden innehar tilstrekkelig sikkerhet. Be om dokumentasjon på at leverandøren ivaretar IT-sikkerheten på en forsvarlig måte.
  7. Få på plass en beredskapsplan som iverksettes dersom noe går galt eller dere blir rammet av et IT-angrep. Det skal være en tydelig plan over roller og ansvar. 
  8. Utarbeide gjenopprettingsplaner og gjennomføre øvelser for å sikre at de er i stand til å gjenopprette til normal drift etter en hendelse.
  9. Å sikre nettsiden og netthandelsløsninger mot dataangrep er avgjørende. BDO ser stadig lekkasje av personopplysninger fra netthandelsløsninger.

 

Les mer om BDOs arbeid med cybersecurity