Til innholdet

Meny

Cybersikkerhet

Vær forberedt på dataangrep

Arbeid | Samfunn |

Norsk næringsliv er dårlig forberedt på cyberangrep, og risikoen er økende. Hvor forberedt er bedriften din dersom den skulle bli utsatt for hacking?

Vi lever i en tid der stadig flere ting blir digitalisert. Og når så mange funksjoner som holder hjulene i gang i samfunnet blir flyttet til internett, blir vi sårbare. Truslene blir mer og mer dynamiske og sammensatte, og konsekvensene av å bli hacket kan være store, både for deg og for andre.

Datainnbrudd forekommer ofte, og det kommer stadig nyheter om nye dataangrep og hacking. Alle kan rammes – uavhengig bransje, geografi og bedriftens størrelse. Derfor er det viktigere enn noensinne å hindre at utenforstående får tilgang til informasjon og data.

Hva er dataangrep og hacking?

Et dataangrep, eller hacking, betyr at en person, gruppe eller stat skaffer seg uautorisert tilgang til PC-er, systemer, servere eller nettverk. Det kan også foregå gjennom en programvare, for eksempel virus eller trojaner – og kan ramme alle som er koblet til internett.

Hacking kan være ufarlig. For eksempel er det ikke uvanlig at bedrifter leier inn en etisk hacker for å finne svakheter i systemer og tjenester, for så å forbedre systemet. Men som oftest blir hacking forbundet med datakriminalitet.

Dataangrep som gjennomføres har som mål å stjele eller endre data, eller ødelegge et system. Motivene kan være både økonomiske, ideologiske og personlige. Sensitive data som personopplysninger, forskningsdata og informasjon om IT-systemer, er bare noen eksempler på verdifull informasjon som kan brukes til svindel og kriminelle handlinger.

Opplevde dataangrep i bedriften

Schrader Gartneri har hatt to tilfeller av dataangrep. Første gang var det et løsepengevirus, i form av en CV fra en som ønsket å søke jobb hos det moderne produksjonsgartneriet på Nesoddtangen.

– En e-post dukket opp hos en av våre ansatte, som inneholdt noe som virket som en uskyldig fil. Filen ble åpnet, og glemt når arbeidsdagen var over. Dagen etter oppdaget vi at bildeserveren vår hadde blitt låst, og vi fikk krav om et visst beløp i bitcoin for å få tilgangen tilbake, forteller Eystein Ruud, driftssjef og styremedlem i Schrader Gartneri.

Det er nemlig slik løsepengevirus fungerer. Skadevaren låser eller krypterer hele eller deler av innholdet på datamaskinen. For å få tilgang til innholdet igjen, krever angriperen at man betaler løsepenger - ofte i kryptovaluta.

Og for et moderne gartneri som tar mange bilder daglig, var det snakk om mange gigabyte med filer.

– Vi hadde heldigvis noen rutinemessige sikkerhetstiltak. En gang i døgnet ble det utført en backup av filene våre. Dermed kunne vi hente tilbake bildene som ble borte, fra en tidligere backup. I ettertid har vi oppdatert virussystemet vårt, og er mer forsiktige med å sjekke hvor e-postene kommer fra, sier Ruud.

 

Eystein Ruud, Schrader Gartneri
Eystein Ruud, driftssjef og styremedlem i Schrader Gartneri. Foto: Privat.

Kan skje hvem som helst

– Det andre tilfellet var en e-post fra daglig leder som ønsket at en ansatt skulle kjøpe et gavekort, og selvfølgelig gjorde vedkommende det. Men e-posten var ikke fra daglig leder.

Denne svindelmetoden er kjent som «direktørsvindel» og handler om å lure en medarbeider til å betale en faktura, overføre penger eller kjøpe noe, ved hjelp av en e-post eller SMS fra personer som utgir seg å være fra ledelsen i bedriften.

– I ettertid er det lett å tenke at man skulle vært mer undrende til forespørselen, men det hele så ekte ut, og dette kan skje hvem som helst, sier Ruud.

Etter å ha opplevd disse episodene i Schrader Gartneri, deler Ruud noen gode råd:

– Sørg for å ha en seriøs partner på IT som sørger for at virusprogramvare blir oppdatert, og ikke utsett det! Er du usikker på e-posten du har mottatt? Send til IT for en sjekk. Det er bedre å sjekke en gang for mye, enn en gang for lite. Man er sårbar for mange typer virus, og det er viktig å være oppdatert og følge sikkerhetsrutiner, avslutter Ruud.

6 tips som kan beskytte mot hacking

For å redusere risikoen for at et dataangrepet lykkes, er det flere måter å beskytte seg på.

1. Beskytt datamaskinen og oppdater programvare så raskt som mulig

Oppdateringer kommer for en grunn. Sårbarheter i den forrige versjonen kan lett utnyttes – derfor burde du unngå å utsette oppdateringer. Spesielt viktig er det at du alltid har oppdatert antivirusprogram. Husk også de mobile enhetene dine. I tillegg bør du avinstallere gamle versjoner, programmer og apper du ikke lenger bruker.

2. Bruk tofaktorautentisering og gode passord

Pass på at du har gode passord til ulike tjenester, og vær nøye med å ikke dele passordene dine med noen – ikke engang IT-support. Husk at seriøse aktører aldri ber deg om å dele passordet ditt. Et langt passord er bedre enn et kort, og en setning kan være vanskeligere å gjette enn enkeltord.

Et sterkt passord er bra, men bruk likevel alltid tofaktorautentisering alle steder det er tilgjengelig.

3. Beskytt deg selv mot virus

Virus kan gjemme seg bak tilsynelatende vanlige filer og nettsider, men kan gjøre stor skade om du først får tilgang til enheten din. For eksempel kan det føre til at de tar fullstendig kontroll over maskinen din, eller stjeler alle passordene dine. For å unngå virus bør du:

  • Ta sikkerhetskopier jevnlig – det begrenser tap ved angrep eller skade på utstyr.
  • Logge ut av programmer og skylagring når du er ferdig med å bruke dem.
  • Være forsiktig med å koble mobiler, minnebrikker eller eksterne harddisker til maskinen din.
Ta kontroll over bedriftens sikkerhet – før noen andre gjør det.

4. Vær oppmerksom i innboksen

E-post er den vanligste måten å bli hacket på, og kan raskt spre virus. For å unngå at sensitiv informasjon kommer på avveie bør du:

  • Være skeptisk til lenker og vedlegg. For å sjekke hvor en lenke leder deg, kan du holde musepekeren over lenken - uten å klikke på den.
  • Dobbeltsjekk e-postadressen både når du sender og mottar. Virker en e-post underlig, er det bedre å ta en telefon for å sjekke, enn å ta den for god fisk.
  • Vurdere nøye hvilke nettsider du oppgir informasjonen din til.
  • Huske at sensitiv og konfidensiell info skal krypteres om den sendes på e-post.

5. Vær obs på sosial manipulering

Sosial manipulering er et sikkerhetsangrep der man bruker metoder som fristelser, relasjoner og frykt, for å lure til seg sensitiv informasjon som kan brukes for å svindle til seg penger. Ofte er bedriftsledere attraktive mål for datasvindlere.

Det er ikke alltid så enkelt å oppdage disse svindelforsøkene, og man kan aldri være helt beskyttet mot dem, men i tillegg til «direktørsvindelen» er dette noen eksempler du bør være obs på:

  • Du mottar en samtale om at noe må fikses på PC-en din.
  • Du blir oppsøkt, for eksempel på konferanse eller i sosiale medier, av en som har interesse for dine faglige aktiviteter og ber deg detaljert dele kunnskap om dine spesialområder.
  • En "venn" ringer og må låne penger øyeblikkelig.

Les mer om ulike metoder for svindel på nettvett.no.

6. Ta grep på forhånd for å redusere skaden hvis den skulle skje

Det er nesten umulig å gardere seg helt. Hva gjør du for å redusere skaden hvis uhellet først skulle være ute, og du får et datainnbrudd?

  • Sjekk hva bedriften og du selv som privatperson har av forsikringsdekning mot svindel og ID-tyveri.
  • Mistenker du at du har vært utsatt for ID-tyveri, kan du legge inn frivillig kredittsperre. Da kan du ikke bli kredittvurdert. Da vil ikke andre kunne misbruke din identitet til å kjøpe på kreditt eller ta opp lån i ditt navn.

Hvor forberedt er bedriften din på et cyberangrep?

Cyberangrep skjer alltid når du minst venter dem. Og når det først skjer, skjer det raskt. Hvor forberedt er bedriften din? Vet alle hva de skal gjøre, og ikke minst ikke gjøre? Cybersikkerhet er ikke bare IT-avdelingen sitt ansvar; alle i organisasjonen har en rolle. Styret, ledere og teammedlemmer må kjenne sine roller og ansvar, i tilfelle man blir utsatt for et nettangrep.

Vet du hvor rustet dere er til å sikre virksomhetens data mot interne og eksterne trusler? Sjekk grunnprinsippene for IKT-sikkerhet utarbeidet av Nasjonal sikkerhetsmyndighet (NSM). Ambisjonen er at norsk næringsliv har en standard å forholde seg til – og et verktøy for å gjennomføre analysen.

Implementering av sikkerhet kan ta tid, men har du egentlig råd til å utsette det? Ta kontroll over bedriftens sikkerhet nå – før noen andre gjør det.