Hvilke sommerforsetter har du for cybersikkerhet?
Fire av ti bedrifter som oppdager brudd på egen IT-sikkerhet oppdager det ved en tilfeldighet. Hvilke strategier har du og din organisasjon lagt for 2023 for å forhindre datainnbrudd?
For ikke lenge siden oppdaget en liten sørlandsbedrift hyppige besøk på sine websider fra utenlandske IP-adresser i Europas østligste regioner. Det er en kjensgjerning at vi alle blir overvåket, at vi alle er potensielle mål for cyberkriminalitet.
«For næringslivet er det ledelsen som i praksis utgjør den største trusselen for en bedrift, dersom man ikke prioriterer ressurser til å sikre sine digitale tjenester og verdier,» uttalte tidligere generalmajor og sjef for Cyberforsvaret, Inge Kampenes, i et intervju med Computerworld tidligere i 2022.
I løpet av de siste årene har over 70% av verdens befolkning i ikke-vestlige land med såkalt fremvoksende økonomier koblet seg på internett. Den globale landsbyen blir stadig større og kommer nå helt inn i stuene våre. Dette forandrer måten vi samhandler på over landegrensene, både innen handel, business og kulturutveksling. Det går helt åpenbart en ideologisk skillelinje mellom Vesten og flere av disse landene, og den pågående cyberkrigen som føres mot våre verdier ble gitt ytterligere moment gjennom krigsutbruddet i Ukraina, der Norges NATO-deltagelse automatisk gjør norske verdier til uttalte mål som det oppfordres til å ramme. Den siste sikkerhetsrapporten fra Nasjonal Sikkerhetsmyndighet viser at antall cyberoperasjoner øker under høytider.
Fire av ti norske virksomheter som vet at de har hatt en it-hendelse, oppdaget den ved en tilfeldighet, kommer det frem i en rapport fra Næringslivets sikkerhetsråd; Mørketallsundersøkelsen. Man oppdager med andre ord ikke trusselen via egne systemer. Man snubler bare over det. Sjansen er derfor stor for at angrepene foregår uten at vi verken vet om det eller dermed rapporterer det inn. Det kan være det pågår akkurat nå, og at ingen finner det ut. Før det er for sent.
Det er ikke meningen å skremme. Men bildet som tegnes av norsk cybersikkerhet gjennom rapportene er virkelig skremmende. Heldigvis er det mye som kan gjøres gjennom å ta bevisste grep på ledelsesnivå. Dersom bedriften din skulle oppleve et cyberangrep, er det enkelt å skylde på en driftsleverandør av IT-tjenestene, men dypest sett ligger ansvaret hos deg som leder. Sårbarheten ved en manglende sikkerhetskultur kan bli ødeleggende, selv for en liten bedrift.
Har du hyppig, digital utveksling av informasjon med dine kunder, underleverandører eller andre samarbeidspartnere, må en sikkerhetsvurdering også omfatte disse. Vi må begynne å stille nye sikkerhetskrav. Hullet i muren kan komme av noe så uskyldig som et lite, nyttig program noen laster ned for å lette arbeidshverdagen, eller det kan være man har anskaffet en digital tjeneste man ikke har hatt innsikt nok til å evaluere. Det koker kanskje ned til et kostnadsspørsmål, siden de færreste i ledelse av norske mellomstore bedrifter har kompetansen på huset. Risikovurdering i et digitalt landskap er dessuten en svært dynamisk øvelse, der scenariet kan skifte form og mønster like raskt som solen går opp og ned over oss.
Har du ingen sommerforsetter for cybersikkerhet, har vi laget en liste du kan få adoptere av oss:
- Til neste år skal jeg beskytte verdiene mine bedre. Jeg skal vite hva jeg lagrer, og hvem jeg lagrer det for. Jeg skal også vurdere Cyber-forsikring hvis det viser seg at jeg har store informasjonsverdier lagret i mine tjenester eller systemer.
- Til neste år skal jeg forhindre at andre stjeler data fra meg. Jeg skal ikke gå fella og la meg phishe, verken på jobb eller privat. Alle mine kontoer skal beskyttes med to-faktor pålogging. Jeg klikker ikke på lenker. Hvis jeg lurer på hvem avsenderen er, spør jeg en venn. Hvis jeg har gjort en feil så sier jeg ifra.
- Tjenester jeg tilbyr på internett skal være tilpasset brukeres behov. Brukerne mine skal føle at det er enkelt å være sikker på mine nettsider. Jeg skal sette gode krav til passordkvalitet på sidene mine.
- Tjenestene jeg bygger skal være adskilt fra hverandre, med mindre de absolutt må snakke sammen. Sikkerhetsarkitekturen min skal følge en av de etablerte standardene.
- Til neste år skal jeg øve på cybersikkerhetshendelser i min bedrift, slik at vi er forberedt når vi blir låst ute fra systemene våre og blir tvunget til å betale løsepenger for å få bedriften på fote igjen. Bedriften min skal vite at vi har rutiner for slikt.
- Jeg skal prioritere sikkerheten til systemene. Jeg skal slutte å bruke gammel PHP-kode på internett, jeg skal patche systemene mine med en gang patchene kommer ut, og jeg skal låse ned dataporter på utstyr når jeg ikke bruker det.
- Jeg skal aldri mer bruke USB-minnepinne. Jeg flytter alle dataene mine til skyen isteden. Å bruke en annen persons minnepinne vil neste år være like ekkelt som å tygge en brukt tyggegummi fra gata.
Med ønske om en god og trygg sommer,
Hilsen alle oss i Egde