Mange av de som driver datakriminalitet har både tid, penger og ressurser. Hvis det er hull i din bedrifts IT-sikkerhet, er det enkelt for kriminelle å finne dem. Målet kan være å utnytte sensitiv data, å stanse forretningsprosesser eller å presse bedriften for penger.
Og du får ikke noe advarsel før det smeller.
Kompetansen på IT-sikkerhet i norske bedrifter må bli bedre. I dag er den altfor dårlig. De fleste bedrifter kaster bort pengene sine når de kjøper IT-sikkerhetsløsninger. Mange bedrifter kjøper de grunnleggende løsningene, men disse løsningene holder ikke uten å gjøre en risikoanalyse. Den dagen systemet går ned og ingenting virker, kan. Det ta dager før man er på riktig spor igjen dersom man ikke har gjort en vurdering av hvilke data og systemer som er de viktigste å berge.
Det aller første vi gjør når vi starter et samarbeid med våre kunder, er å foreta en risikoanalyse av bedriften deres. Her går vi gjennom hvor sårbarhetene ligger, hva som må prioriteres, og deretter begynner vi å se på hvilke kontrollmekanismer man kan fase inn. Deretter velger vi en standard å jobbe etter, slik at vi klarer å se en strukturert målbar endring.
Gratis seminar: Er din bedrift sikret mot dataangrep?
De kriminelle går etter det skjøreste leddet
Dersom man tror at bedriften sin ikke kan rammes av datakriminalitet tar man mest sannsynlig feil. De kriminelle finner det skjøreste leddet for å komme til målet. Den letteste veien å gå er ofte via en leverandør eller en partner – noen hovedmålet stoler på. Om man får man en fot inn via en maskin eller et vedlegg hos noen, kan dette bli. Tatt videre inn i en kommunikasjon med de som er det reelle målet. Dette er en vanlig måte å angripe på, og vi har sett mange eksempler på dette.
Det er avgjørende å skape en tydelig bevissthet rundt IT-sikkerhet blant de ansatte i en bedrift. Når vinteren kommer og det blir snø og is, vet folk at de kan falle. Derfor tar de forhåndsregler, bøyer knærne og går litt mer forsiktig. Men når de setter seg foran pc-en og åpner mailboksen, er de avslappet og trykker på hva som helst. Forsiktigheten og bevisstheten som ligger i ryggmargen når det er vinter og glatt, må også innarbeides når det gjelder digital sikkerhet. Det å trene hver enkelt ansatt har mye større verdi enn noen programvare du kan anskaffe.
Hvem har ansvaret?
Over 90% av ledere er ikke forberedt på hvordan de skal håndtere et cyberangrep, og 40% av ledere mener de ikke er ansvarlige for konsekvensene av et slikt angrep.
Ved å ikke forvalte en bedrifts verdier, også de digitale, med betryggende kontroll, er det brudd på aksjeloven § 6-12. For å få dette på plass behøves en sårbarhetskontroll og en risikoanalyse av selskapet. Den runden er ekstremt viktig, men det er svært få som gjør det. Dersom bedriften bryter GDPR-reglene eller andre forskrifter, kan det få store økonomiske konsekvenser. De fleste ledere er ikke innforstått med denne risikoen, for de vet ikke hvilke farer man må beskytte seg mot.
Dersom man jobber målrettet med sikkerhet, vil man kunne ha kontrollmekanismer for det meste. Om man leker katt og mus, slik mange gjør det, kommer man på etterskudd av de kriminelle. Da er man alltid utsatt for et angrep.
Ønsker du å lfå konkrete tips og triks til hvordan angripe problemstillinger knyttet til IT-sikkerhet? Meld deg på vårt gratis sikkerhetsseminar den 10. mars.
