Cybersikkerhet: Involver alle ansatte for å unngå svindel og dataangrep
18. mar 2021
Lesetid: 8 min
Anbefalte tiltak angår alle ansatte, og ikke bare IT-ansvarlige. Se hvordan du kan bidra til å skape en god kultur for sikkerhet i bedriften.
Vi ser at flere uønskede digitale hendelser har hatt store konsekvenser for berørte virksomheter, og hvor håndtering har tatt tid og krevd mye ressurser. Det foregår en digital kartlegging av norske virksomheters infrastruktur og digitale innhentingsoperasjoner hvor aktørene bak lykkes i å kompromittere virksomheter for deretter å hente ut data fra systemene.
Norge er et av verdens mest digitaliserte land. Det skaper muligheter, samtidig som det gjør oss sårbare. Innovasjon og utvikling satses det mye på, men utdanning og kompetanse innen cybersikkerhet prioriteres ikke like mye.
I undersøkelser gjennomført av Næringslivets Sikkerhetsråd oppgir bedrifter at tilfeldigheter og uflaks, samt menneskelige feil er hovedårsakene til at IT-sikkerhetshendelser oppstår. De samme undersøkelsene viser også at slike hendelser i stor grad oppdages ved en tilfeldighet. Gjennom gode rutiner og tiltak kan dette forebygges i langt større grad enn hva som skjer i dag.
Anbefalte sikkerhetstiltak
1. Kartlegg og skap en digital sikkerhetskultur
Erkjenn at bedriften kan rammes: Det første steget for å få på plass en sikkerhetskultur er å erkjenne at dataangrep og andre sikkerhetshendelser kan ramme alle. Mange tror de ikke har verdier som er attraktive nok for slike målrettede angrep. Det stemmer ikke. De kan likevel bli brukt i både verdikjedeangrep mot andre aktører eller rammes av mer vilkårlige trusler som fakturasvindel, direktørsvindel eller løsepengevirus.
Opplæring blant ansatte: Sørg for at medarbeiderne får opplæring i virksomhetens sikkerhetsrutiner. Oppmerksomhet på å motstå sosial manipulering og svindel er spesielt viktig. Alle ansatte skal vite hva som skal gjøres om noe skjer. Det handler blant annet om hvem som skal varsles, samtidig som ledelsen må ha en plan for hvordan det skal løses.
Du kan styrke de ansattes kompetanse gjennom blant annet opplæringspakker fra NorSIS og intern trening. Opplæringspakken er gratis for virksomheter med inntil 20 ansatte. Nasjonal sikkerhetsmåned arrangeres hver oktober og kan brukes til å gi medarbeidere innsikt i trusselbildet og hvordan de ved å følge virksomhetens sikkerhetsprosesser kan minske faren for uønskede hendelser.
Økonomimedarbeidere bør få opplæring om direktørsvindel, og virksomheten bør innføre rutiner rundt overføringer av større beløp som gjør det vanskeligere for direktørsvindlere å lykkes.
Digital sikkerhetskultur: Kartlegg virksomhetens digitale sikkerhetskultur for å avdekke om det er behov for å igangsette tiltak. Enhver virksomhet trenger en intern åpenhet om sikring av egne verdier, og en kultur der alle oppfordres til å melde fra om hendelser som avviker fra normalen. Undersøkelser som NorSIS har gjennomført viser at fire av ti nordmenn synes det er ubehagelig å si fra om egne eller arbeidskollegaers brudd på IKT-regler. Det bør flere virksomheter ta på alvor.
2. Benytt grunnprinsipper fra Nasjonal Sikkerhetsmyndighet (NSM)
Oversikt over NSMs grunnprinsipper for IKT-sikkerhet.
Les mer: Grunnprinsipper for IKT-sikkerhet (nsm.no)
3. Syv lag med sikkerhetstiltak mot dataangrep via e-post
For mange trusler er det nødvendig å etablere flere lag med sikkerhetstiltak. Flere typer angrep utnytter e-postmeldinger med skadevare, eller med lenker til falske nettsteder som angrepsvektor.
Beskytt e-post og nettleser
Flere forebyggende tekniske tiltak beskytter transport av e-post mellom servere for å redusere risiko for brudd på konfidensialitet, integritet og e-postmeldinger med falsk avsenderadresse.
Bruk skadevareskanning på e-postmeldinger og vedlegg
Bruk automatiserte verktøy for å analysere innkommende meldinger, meldingsvedlegg og klikkbare lenker i disse for å avdekke skadevare og andre trusler.
Merk usikre/mistenkelige meldinger
Det kan være til hjelp for brukerne dersom meldinger er tydelig merket dersom de ikke har vært sikret under transport mellom servere som beskrevet i punkt 1 av denne listen, eller dersom de er identifisert som mistenkelige av tiltaket som er beskrevet i punkt 2 av denne listen.
Autentisering av brukere
En trusselaktør kan også skaffe seg adgang til e-postsystemet ved å utnytte en brukers tilgang og sende meldinger med skadevare fra den interne brukeren. På denne måten kan trusselaktøren omgå noen av de forebyggende sikkerhetstiltakene som er nevnt over i denne listen. Relevante tiltak finner du i NSMs grunnprinsipp 2.6 «Ha kontroll på identiteter og tilganger».
Gi brukere opplæring og bedre risikoforståelse
Selv om det er etablert flere lag med forebyggende tekniske sikkerhetstiltak er det risiko for at meldinger med skadevare eller manipuleringsangrep havner i brukerens innboks. Sosial manipulasjon fungerer. Da er det viktig at brukerne har fått opplæring og har en sikkerhetsforståelse som reduserer risikoen for at de lar seg lure.
Oppdag sikkerhetsbrudd
For trusselaktøren er det bare et spørsmål om tid. Uansett hvor mange lag med forebyggende sikkerhetstiltak som er etablert kan sikkerhetshendelser ramme alle virksomheter. Da er det vesentlig å ha etablert gode og effektive konsekvensreduserende tiltak. Rask deteksjon av sikkerhetsbrudd er det beste utgangspunktet for å redusere konsekvensene av et sikkerhetsbrudd.
Håndter hendelser og gjenopprett normal driftssituasjon
Det siste punktet i gjennomgangen av scenarioer er håndtering av den uønskede hendelsen. Det gir mulighet til å forberede seg på mulige hendelser med en målsetning om at håndtering av denne typen hendelser kan gjennomføres effektivt.
4. Passord og totrinnsbekreftelse
- Passord utgjør fortsatt en betydelig sårbarhet.
- Virksomhetene glemmer ofte å bytte standardpassord på produkter.
- Passordene er for enkle og forutsigbare, noe som muliggjør passordgjetting.
- Passord gjenbrukes mellom personlige administrative konti og sluttbrukerkonti, mellom ulike tjenester og mellom forskjellige systemer, både interne og eksterne. Ett passord kan dermed gi tilgang til flere systemer.
Noen tiltak som NSM anbefaler
- Endre alle standardpassord på IKT-produktene før produksjonssetting, også for IoT-enheter.
- Bruk et sentralt verktøy til å kontrollere passord-kvaliteten opp mot virksomhetens sikkerhetskrav
- Innfør totrinnsbekreftelse ved pålogging fra ny enhet. Dette gjelder både e-post kontoer og andre personlige kontoer som for eksempel i nettbutikkløsninger. Det er viktig at tjenesteleverandører og andre tilbyr dette.
Mer om totrinnsbekreftelse
Totrinnsbekreftelse fungerer ved at du logger inn med brukernavn og passord slik du pleier på din e-postkonto eller sosiale medier, men ved førstegangs pålogging fra en ny enhet må du også oppgi en engangskode. Denne koden får du gjerne tilsendt til din mobil per SMS eller via en app. Dette er trolig det aller viktigste sikkerhetstiltaket små og mellomstore bedrifter og enkeltpersoner bør ta i bruk for å sikre sine digitale kontoer.
Råd og anbefalinger om passord (nsm.no)
5. Andre forebyggende sikkerhetstiltak
Hold IKT-infrastrukturen oppdatert
I halvparten av intrengningstestene NSM gjorde sist år fant de enkeltkomponenter i virksomhetens infrastruktur som ikke lar seg oppdatere fordi supporten på produktet for lengst har opphørt. Mangelfull sikkerhetsoppdatering er en gjenganger. Sikkerheten må følges opp gjennom hele livsløpet til utstyr og tjenester.
Beskytt virksomhetens nettverk og kontroller dataflyt
Del opp virksomhetens nettverk etter virksomhetens risikoprofil. Det er viktig å ha oversikt over fysisk tilgjengelighet for svitsjer og kabler, og ha etablert tilgangskontroll på flest mulige nettverksporter.
En erfaring fra NSMs inntrengningstester er at sensorer plassert utenfor kontrollert område, kan benyttes som veien inn i virksomhetens infrastruktur. Det har vært mulig å få tilgang til sensitive data på det interne nettet via tilgang fra adgangskontrollsystem og sensorer utendørs.
Unngå at IKT-sårbarheter gir fysisk adgang til virksomheten
Virksomheter benytter adgangskort basert på sårbar teknologi. NSM ser fortsatt utstrakt bruk av kort som er forholdsvis enkel å kopiere. Når dørlåser, adgangskontroll og alarmsystemer er digitale blir også dette en del av de systemer som må underlegges virksomhetens styring og kontroll av informasjonssikkerhet.
Ivareta en sikker IKT-infrastruktur
For at virksomhetens ansatte skal jobbe effektivt og ha tillit til arbeidsverktøyene må informasjonssystemene kunne stoles på. Dette gjøres ved å etablere robuste systemer og tjenester, konfigurere og tilpasse maskin- og programvare og verifisere at konfigurasjonen er riktig.
Virksomheter med et fåtall ansatte kan ha nytte av å se på anbefalinger for sikring av datamaskin, mobiltelefon og nettbrett (nettvett.no).
Sikkerhetsfaglige anbefalinger for tjenesteutsetting
Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet.
Samtidig må du være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.
En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess.
Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både Sikkerhetsloven og Personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette.
For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:
- Oversikt og kontroll på hele livsløpet
- God bestillerkompetanse
- Gode risikovurderinger for å kunne ta riktig beslutning
- Riktige og gode krav til ikt-tjenesten og til leverandør
- Riktig beslutning på riktig nivå
I dagens digitaliserte samfunn vil bortfall av IKT-tjenester som oftest påvirke hele eller store deler av virksomheten. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser som for eksempel bortfall av tjeneste eller tap/endring av data.
Beslutningen om tjenesteutsetting bør ikke utelukkende tas av virksomhetens IKT-miljø alene. Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse.
Kilde: Sikkerhetsfaglige anbefalinger ved tjenesteutsetting (nsm.no)
Oppdatert: 18. mar 2021
Publisert: 4. des 2020
Mørketallsundersøkelsen 2020
Last ned