Datakriminalitet – dette gjør bedriften din sårbar


Hver dag er det noen som finner nye måter å bryte seg inn i datasystemer på

Å holde seg oppdatert på alle nye trusler innenfor datakriminalitet er nesten umulig. Men disse fem klassikerne bør du kjenne til.

– De færreste tenker på at de selv kan være et mål – og en vei inn til bedriften, sier sikkerhetsekspert Tommy Bårdevik i IBM Norge.

De tekniske løsningene kan være være så gode de bare vil, det kommer til kort dersom menneskene svikter. Det viser seg raskt at mennesket ofte er det svakeste leddet. Løsningen er opplæring, ikke som et engangskurs, men som en kontinuerlig prosess som treffer alle ansatte i bedriften.

– Bevisstgjøring og opplæring er til nytte og svært viktig i arbeidet med å få fram gode holdninger, spre kunnskap og øke robustheten i en virksomhet. Dette er en kontinuerlig jobb der budskapet hele tiden må tilpasses egne erfaringer og endringene i trusselbildet. Ledelsens engasjement, gode sikkerhetspolicyer, et godt sikkerhetsprogram, og en kultur på å dele erfaringer og hendelser kombinert med tekniske hjelpemidler reduserer angrepsflaten, sier Bårdevik.

For små til mellomstore bedrifter er det spesielt innen fem områder Bårdevik mener man bør ha ekstra sikkerhetsfokus:

1. Antivirusprogram

De fleste kjenner til datavirus og de skadene som kan oppstå dersom de får herje fritt på maskinen. Datakriminelle kan ta over maskinen din og ødelegge informasjonen, eller bruke maskinen din som en del av et datanettverk for andre kriminelle. Antivirus er det første programmet du bør installere på datamaskinen, og det må oppdateres regelmessig. Oppdatering skjer automatisk, men sjekk innimellom at automatikken fungerer slik den skal.

 2. Brannmur

Som all annen programvare gjelder det å sørge for at brannmuren er slått på, at den er riktig satt opp for bedriftens behov, er oppdatert og fungerer slik den skal, ellers vil den være verdiløs.

3. Brukertilganger

Mangelfull identitetsstyring og -håndtering er et ofte oversett tema på IT-avdelingen. Hvem skal ha tilgang til hvilke systemer, hva skjer når samarbeidet med eksterne parter som har fått tildelt en brukerkonto er over, og hva skjer når den ansatte forlater bedriften? Det er lett å legge til brukere i systemer, men vanskelig å sette gode grenser for hvor mye tilgang brukerne skal ha. De fleste brukere vil aller helst ha tilgang til så mye som mulig, så fort som mulig. IT-ansvarlige bør ha en klar policy på hvem som skal ha tilgang til hva, hvor lenge og helst hvorfor.

4. Tjenester som ikke er i bruk

Kutt ut tjenester og programmer som ikke benyttes aktivt. Mange bedrifter kjører tjenester som ikke er nødvendige for driften. Unødvendige tjenester bør slås av.

5. Menneskelige ressurser

Det viktigste punktet spiller tilbake på bedriftens håndtering av menneskelige ressurser. Mangelfull policy og opplæring om informasjonssikkerhet er den største trusselen for datasystemene. Det hjelper lite å ha oppdaterte programmer og de strengeste brannmurer dersom ansatte gir fra seg passord når de blir spurt om dem, eller ikke låser mobilen med kode.

– Vi bruker enkle passord, og vi bruker de samme passordene på ulike nettsteder, og vi er lite kritiske til egen bruk av mobile medier, forklarer Bårdevik.

To av de enkleste måtene å manipulere mennesker på er å be dem om informasjon på e-post, eller å få dem til å installere et skadeprogram.

– I en slik e-post kan man bli bedt om å oppgi personlige data, eller aktivt trykke på en link for å verifisere at informasjonen er korrekt. En seriøs virksomhet vil aldri sende ut denne type bekreftelse til brukere eller kunder. Allikevel åpner noen slike meldinger, og trykker på linker som i praksis innebærer en nedlasting av skadevare som gir hackeren et fotfeste inn i bedriften.

Forsikring mot datakriminalitet

Konsekvensene av et datainnbrudd kan reduseres betraktelig, med en ny kategori forsikringer som har kommet på det norske markedet. 

– Det kan være litt vanskelig for en bedrift å vite hva man skal gjøre om man blir rammet av datainnbrudd. Med en forsikring mot datainnbrudd, vil IBM ta seg av det praktiske og forsikringen tar seg av økonomiske konsekvenser, sier Sigmund Clementz i If.

I tillegg til å dekke økonomiske tap og konsekvensene fra et innbrudd, gir forsikringen øyeblikkelig eksperthjelp, stiller en diagnose og utreder hva man kan gjøre videre når et datainnbrudd mistenkes.

Artikkelen er opprinnelig publisert på e24.no av If Skadeforsikring.

Robert Gjelstenli Daglig leder | Partner
Tlf.: +47 926 96 541
Epost:
robert@hca-revisjon.no
Robert Gjelstenli, Daglig leder | Partner
+47 926 96 541 / / robert@hca-revisjon.no

LUKK