Hver oktober markeres Nasjonal sikkerhetsmåned i Norge. Det er en måned dedikert til å øke bevisstheten rundt viktigheten av IT- sikkerhet. I en tid der digitalisering er en integrert del av hverdagen og teknologi utvikler seg i rasende fart, har også trusselbildet for alle bedrifter vokst kraftig, samme hva du produserer eller yter av tjenester. Cyberangrep blir stadig mer sofistikerte, og konsekvensene av sikkerhetsbrudd kan være katastrofale.
Hvorfor fokusere på IT- sikkerhet?
For Statement som utelukkende jobber i skyen, er datasikkerhet hjørnesteinen i vårt daglige virke. Å ha gode rutiner og systemer på plass for å beskytte sensitive opplysninger er avgjørende.
Det handler om å styrke bedriften internt, oppdatere systemer, gjennomføre sikkerhetsvurderinger, og kanskje viktigst – å trene våre ansatte og kunder til å bli mer bevisste på trusler som phishing, svindel og andre former for sosial manipulering.
Hvordan kan man bli angrepet
Phishing er en av de mest utbredte metodene cyberkriminelle bruker for å kompromittere bedrifter. Phishing-angrep kan komme i form av mailer som ser ut som de er fra legitime kilder, og som ofte lurer brukeren til å gi fra seg sensitiv informasjon som passord eller kredittkortopplysninger. Det kan også være mailer som tilsynelatende er fra en kollega eller kunde/leverandør, som ber om at det foretas en betaling – som ofte haster. Slike angrepsforsøk har både vi og våre kunder blitt utsatt for.
De fleste angrep forsøker å utnytte menneskelige feil, noe som gjør bevisstgjøring og trening essensielt. Her er det viktig at de ansatte læres opp i hvordan man kan detektere angrep fra blant annet mailer, SMS’er og falske fakturaer og hvordan man skal ivareta kritisk tenkning i en hektisk hverdag. Å ha klare rutiner for hvordan man skal rapportere mistenkelig aktivitet er også svært viktig.
Noen viktige tiltak – for både selskap og ansatte
- Får du en mail som tilsynelatende er fra en person du kjenner, men den ser litt annerledes ut eller er forespørselen uvanlig? Sjekk avsenders mailadresse! Dette kan ofte avdekke at mailen ikke er fra personen du tror.
- Ikke gi ut flere tilganger enn det den enkelte bruker faktisk trenger: ofte kan det være fristene å gi for eksempel admin-rettigheter til mange, så man slipper justeringer i etterkant. Dette er ikke å anbefale og øker risiko for at det kan skje feil.
- Ansatte bør ikke ha rettigheter til å laste ned programvarer på selskapets PC’er. Dette gir selskapet bedre kontroll.
- Alle bedrifter bør sikre seg mot spoofing av eget domenenavn, gjennom aktivering av DMARC
- Det bør også settes opp MFA (multifaktor-autentisering) på brukerkontoer
- Selskapet bør alltid ha et frittstående backupsystem. Da unngår du å måtte betale løsepenger dersom du blir utsatt for et Cryptolocker-angrep.
En kontinuerlig prosess
IT- sikkerhet er ikke et engangstiltak, men en kontinuerlig prosess. Bedrifter som tar dette på alvor, er bedre rustet til å møte fremtidens trusler. Statement har IT-sikkerhet høyt på agendaen, både for våre ansatte og våre kunder. Det er også derfor det er viktig for oss å kjenne til våre kunders interne rutiner, for å hjelpe med å minimere risiko for at det skal skje noe utilsiktet.
For dette handler ikke bare om teknologi, men om mennesker – og den største trusselen mot enhver sikkerhet er mangel på kunnskap og bevissthet.