Sikkerhetskonsulenten tror det er høye mørketall blant dataangrep i norske bedrifter, men forteller at det er vanskelig å si hvor mange som faktisk rammes. (Foto: tomazl/iStock)
– Sikkerhet må være en obligatorisk del av lederens ansvar
De siste årene har det vært en stor økning i antall hackerangrep. Bare i fjor ble blant annet Nordic Choice, Nortura og Amedia angrepet med såkalte løsepengevirus. Samtidig opplyser en sikkerhetsekspert at de fleste angrepene skjer mot små og mellomstore bedrifter, som sjelden rapporterer dem.
Ansvaret for IT-sikkerheten ligger alltid hos øverste leder, mener Valdemar Andersen, sikkerhetskonsulent i Experis. Det er et ansvar mange ledere ikke tar tilstrekkelig på alvor.
– Mange ledere ser på investeringer i sikkerhetssystemer som en ren utgiftspost. De ser ikke kostnaden ved ikke å ha god nok sikkerhet før det faktisk smeller. Resultatet er at bedriftene systematisk nedprioriterer IT-sikkerhet. Dermed øker også risikoen for å bli utsatt for angrep drastisk, sier han.
Datasikkerhet handler både om systemer og mennesker. Ledere må sørge for at bedriften investerer i gode nok sikkerhetstiltak, som VPN, flerfaktorautentisering og endepunktovervåking. Men de må også sørge for at de ansatte har høy nok bevissthet og kompetanse om sikkerhet.
– For å lykkes med en sikkerhetsstrategi, må sikkerhet være en obligatorisk del av lederens ansvar, sier Andersen.
Manglende kompetanse
Av det Andersen har sett, er det en del bedrifter som ikke helt skjønner alvoret med å ha gode sikkerhetsløsninger og sikkerhetstiltak. Det kan være forskjellige grunner til det.
– Det kan skyldes manglende kompetanse om digital sikkerhet. Hvis man klarer å heve kompetansen til å forstå hva som skal til for å sikre bedriften din, mener jeg at man allerede har kommet et godt stykke.
Han mener kompetanseheving rundt datasikkerhet burde løftes til et nasjonalt nivå. At det burde komme føringer og et lovverk som sikrer at bedriftsledere tar digital sikkerhet seriøst.
– Det som er positivt nå er å se utviklingen hvor store bedrifter i større grad sjekker om mindre bedrifter og underleverandører har sikkerhetstiltak på plass. De undersøker om underleverandørene har sertifiseringer og stiller små leverandører til ansvar for sikkerhetsløsningene de bruker, i større grad enn de har gjort før.
Som underleverandør må man dermed vise at man har sikkerhetstiltak på plass. Det mener Andersen er et viktig insentiv for små- og mellomstore bedrifter for å ta tak i problematikken.
Enkle sikkerhetssteg
– Hva kan SMB-bedrifter gjøre for å beskytte seg mot dataangrep når store selskaper som Amedia og Nortura blir rammet så hardt?
– Det er absolutt tiltak små bedrifter kan gjøre. Det er mange enkle ting man kan gjøre for å heve sikkerheten betraktelig.
Han drar fram at alle bedrifter burde ta i bruk tofaktorautentisering. Dette er ekstremt viktig å ha på plass for å kunne forhindrer mange enkle angrep. En annen ting man burde passe på å ha, er gode backup-løsninger som er offline.
– Dersom man blir komprimert, er ikke backup-løsningen koblet direkte sammen med alt det andre man har. Det er en fin mekanisme.
Det er også mulig å kjøpe en test for å finne ut hvor utsatt bedriften er mot dataangrep. Man kan se om det er veldig trivielt å spasere rett inn i hjerte av bedriften, eller forsikre seg om at man har gode tiltak på plass.
– Gå gjennom sikkerhetstiltak med leverandører, sjekk at alt er avtalefestet tilstrekkelig slik at hvis det skjer noe, så går det tydelig frem hvem som har ansvaret og sikre at leverandører også bryr seg om sikkerhet.
Hendelsehåndtering er også viktig å ha på plass. I det ligger det å ha en plan dersom noe skulle skje.
– Mange har brannøvelser for å øve på hva man skal gjøre hvis det blir brann, men det er ikke like mange som har øvelser for at de digitale systemene er nede. En slik øvelse kan man gjøre basert på hvor mye tid og ressurser man har.
Skal man kjøre en fullskala øvelse må man få med seg instruktører som guider lederen gjennom hendelsesforløpet i et digitalt angrep.
I mindre skala kan man gå gjennom noen scenarioer ved at man setter seg ned og for eksempel sier – nå er datasystemene nede, hva gjør vi? Hvem ringer vi? Hva må på plas? Hva skal vi presentere for de man ringer? Når snakker vi med media?
/roxen-files/print/images/magic-tab.png "[tab]"){kind=small}
Ikke alltid rent mel i posen
VPN er en annen sikkerhetsmekanisme man kan ta i bruk for å beskytte seg. Det er en form for tunnel som man bruker for å kjøre internett-trafikken til bedriften gjennom. Likevel advarer Andersen om å ta første og beste VPN-løsning i bruk.
– Det er en sikkerhetsløsning som er litt omstridt fordi noen VPN-leverandøren ikke alltid har rent mel i posen. Det er en del gråsoner rundt VPN-bruk. Det er nyttig dersom man jobber fra hjemmekontor og skal jobbe med interne systemer, samtidig er det en tunnel rett inn i datasystemet, og denne tunnelen kan benyttes av ondsinnede aktører.
Endepunktovervåking er et annet sikkerhetstiltak som handler om å logge det som skjer ute i endepunktene – for eksempel alle datamaskinene til de ansatte som er eid av bedriftene. På denne måten har man oversikt hva som skjer på de bedriftseide datamaskinene.
– Det handler ikke om å arrestere noen, men om å få en oversikt over hvilke programmer som til enhver tid kjører. Man kan se om noen har lastet ned farlig skadevare som endrer viktige filer.
Høye mørketall
Sikkerhetskonsulenten tror det er høye mørketall blant dataangrep i norske bedrifter, men forteller at det er vanskelig å si hvor mange som faktisk rammes.
– Jeg hører om en del bedrifter som ikke vil gå offentlig, men at de har blitt kompromitert. Jeg hører om sikkerhetseksperter som går inn i selskaper som har blitt angrepet Det får man ikke høre om i media. Angrep skjer hele tiden, likevel er det ganske stille i media.
Han tror en del bedrifter føler på stigma rundt det å stå fram med at man har blitt angrepet.
– Det kan være flaut å bli utsatt for et digitalt angrep. Samtidig er det nok en del som er redde for omdømmetap. De vil ikke håndtere saken i media og tror saken vil slå negativt ut på dem. Om det er basert på noe de vet eller tror, er vanskelig å si.
Noe av mørketallene tror han skyldes at bedriftene betaler løsepenger til angriperne og at dette er noe de ikke gå ut med.
– Det er så pass mange bedrifter som man hører om at blir angrepet uten at media skriver om det. Det er en stor andel bedrifter i USA som betaler løsepenger til hackerne, så det er realistisk å tro at det skjer i Norge også.
Skape et totalforsvar
En viktig grunn for bedriftseiere å investere i digital sikkerhet handler om å skape et totalforsvar. De fleste bedrifter samarbeider med andre bedrifter og mange norske bedrifter har kontakt med hverandre. Går en av dem ned, påvirkes ganske mange andre bedrifter.
– Hvis man leverer til store aktører, er det en del av kritisk infrastruktur i Norge å sikre at man har ting på plass. Det er samfunnsperspektivet.
Hvis man er en liten bedrift, er det ikke sikkert at man klarer å overleve et dataangrep. Man må potensielt ut med et millionbeløp for å håndtere og rydde opp etter angrepet og det kan bety kroken på døra hvis det skjer i en periode hvor man har lite egenkapital og har investert i andre ting.
– Hvorfor tar ikke flere ledere datasikkerhet på alvor?
– Jeg tror ikke ledere tar datasikkerhet på alvor fordi de ikke har tilstrekkelig kompetanse på området. Det er ikke alle som har forutsetning for å vite hvor ille det kan bli. Noe av problemet ligger i de store mørketallene i Norge. Bedrifter får et falskt bilde av hvor alvorlig situasjonen er når noen velger å betale løsepenger og ikke rapportere om angrepet. Man hører kanskje kun om store, amerikanske bedrifter som blir hacket, men det er et vridd bilde av sannheten. Det er mange norske bedrifter som blir sikta på av hackere.
