Slik unngår din bedrift dataangrep
– Angrepsmetodene er ofte avanserte og utspekulerte, men det finnes enkle og effektive sikkerhetstiltak.
Det sier Anders Hardangen, sikkerhetsdirektør i DNB.
– Det er fortsatt veldig mange angrepsforsøk mot bedrifter og offentlige bedrifter, sier Hardangen.
Trusselen er høy mot alle bedrifter, både små og store
– Trusselen er høy mot alle bedrifter, både små og store. Vi er særlig bekymret for de små bedriftene, da de ikke har de samme ressursene som de store til å sikre seg.
Hardangen sier at de små bedriftene er en viktig del av verdikjedene til de store bedriftene, og rammes de vil det kunne ha store konsekvenser.
Ny og gratis cybersikkerhetsvurdering er kommet
Forsikringsnæringen tilbyr nå et digitalt verktøy, en cybersikkerhetsvurdering, der du kan sjekke hvor godt virksomheten er rustet i arbeidet med dataangrep. Vurderingene er gratis og kan hjelpe alle virksomheter med å forebygge dataangrep og dermed styrke sin cybersikkerhet.
Her kan du sjekke hvor godt beskyttet virksomheten din er
Med disse enkle tiltakene kan din bedrift unngå dataangrep og svindel:
1. Kjenn igjen sosial manipulering
– Kriminelle spiller ofte på fire strenger. Fristelser, frykt, falsk tillit og tidspress, sier Hardangen.
En fristelse kan for eksempel være at du får en e-post, sms eller telefonoppringing der det fristes med en lottopremie; du må bare betale litt for å få den tilsendt og du blir samtidig bedt om å klikke på en lenke.
– Før var kommunikasjonen på dårlig norsk, nå er det mye mer profesjonelt, og det kan være vanskelig å oppdage at noen prøver å svindle bedriften.
De ansatte må bevisstgjøres, læres opp og trenes
Sikkerhetsdirektøren er klar på at bevisstgjøring og opplæring av de ansatte er veldig viktig for å unngå å bli utsatt for sosial manipulering.
– De ansatte må bevisstgjøres, læres opp og trenes, slik at de tenker seg om to ganger før de trykker på en lenke eller utfører en uønsket handling, oppfordrer han.
2. Dobbeltsjekk før du gjør noe
Har du mistanke om at en henvendelse du mottar er falsk, ring til vedkommende og sjekk om de faktisk har prøvd å ta kontakt.
– Ofte sender svindlerne en e-post til bedriften og utgir seg for å være din leverandør, og forteller at de har endret kontonummeret. I andre tilfeller utgir de seg for å være sjefen din og ber deg gjennomføre en betaling, sier Hardangen.
Ved at de kriminelle får endret kontonummeret går betalingene til svindlere i stedet for til leverandøren.
Hardangens beste råd er at dersom du får en slik e-post må du ringe din leverandør eller sjefen din og dobbeltsjekke. Da får du avklart med én gang om dette er en falsk melding eller ikke.
3. Bruk totrinnspålogging
Sikkerhetsdirektøren mener det er noen helt konkrete tiltak alle bedrifter bør innføre for å sikre seg mot datakriminalitet. Totrinnspålogging er veldig viktig.
– Bruk totrinnspålogging. Det betyr at dersom kriminelle får tak i passordet, kommer ikke de kriminelle inn i systemene, for i tillegg må det også brukes en kode. Dette er et svært enkelt og effektiv sikkerhetstiltak å innføre.
Har du totrinnspålogging gjør du det mye vanskeligere for de kriminelle
Hardangen anbefaler å stille krav til leverandører om at de leverer sikre tjenester.
– Spør alltid om leverandøren tilbyr totrinnspålogging. Angriperen er ofte ute etter å skaffe seg brukernavn og passord. Det er enklere å logge seg inn enn å hacke seg inn. Har du totrinnspålogging gjør du det mye vanskeligere for de kriminelle.
– Det er veldig viktig å ha sterke passord og du må aldri gi fra deg passordet til noen, og du må ha forskjellige passord på forskjellige tjenester.
Her kan du kjøpe cyberforsikring i DNB – og få umiddelbar hjelp av en IT-ekspert når du blir utsatt for datainnbrudd
4. Pass opp for lenker
Trenden er at de kriminelle bruker flere virkemidler.
– Den mest vanlige angrepsmetoden er sosial manipulasjon, hvor angriperen forsøker å utnytte uoppmerksomme ansatte, sier Hardangen.
Vær klar over at det er mulig å manipulere både avsenderadresser og telefonnumre
Det vanligste er at man får tilsendt en e-post eller SMS der mottaker blir bedt om å åpne en lenke som fører til at du må logge inn et sted. Dette er som regel falske nettsider som ligner på en ekte påloggingsside til en tjeneste du vanligvis bruker. Da kan de kriminelle få tilgang til brukernavn og passord.
– Sjekk først om lenken ser rimelig ut. Dersom du blir bedt om å logge inn med brukernavn og passord, prøv med et tilfeldig brukernavn og passord som ikke er det du vanligvis bruker. Hvis du kommer inn med disse, da er det svindel.
Hardangen advarer om at at det er mulig å manipulere både avsenderadresser og telefonnumre.
– Det gjør at du ikke er trygg selv om du kjenner igjen telefonnummer eller e-post-adressen.
5. Etabler gode rutiner
Hardangen forteller at mange bedrifter har gode rutiner for å unngå datakriminalitet, mens det fortsatt er en del som har mangelfulle rutiner.
– Det er viktig med gode rutiner for faktura og regnskap. Kontroller alltid at fakturaen som mottas er for noe bedriften faktisk har bestilt. På denne måten kan dere oppdage svindel.
Det er flere rutiner som bedriftene bør etablere:
- Tilgangskontroll: Ha oversikt over brukerne av alle systemer. Leder må sørge for at ansatte ikke har rettigheter og tilganger til tjenester de ikke har behov for, eller tilgang til systemene når de slutter i bedriften.
- Rutiner: Ha rutiner for at bedriftens IT-ansvarlige oppdaterer programvare på firmaløsninger og på de systemer som ansatte bruker, for eksempel mobiltelefoner.
- Ta backup og sikkerhetskopier av informasjon. Hvis dette gjøres kan bedriften overleve et angrep hvis informasjonen blir borte. Det er veldig viktig å tenke på dette selv om du har satt bort tjenesteleveransen til en ekstern leverandør.
- System for rapportering og varsling: Ha et godt internt system på både intern rapportering og varsling. Det å bli manipulert eller å gjøre en feil kan være både skambelagt og stigmatiserende. Mange ansatte vil vegre seg for å varsle, nettopp av disse grunner. Det er viktig at det etableres en åpenhetskultur, slik at de ansatte tør å varsle.
- Beredskapsplaner: Det er viktig å ha beredskapsplaner hvis dere blir utsatt for et angrep, og at det er trent og øvd på.
Her kan du kjøpe cyberforsikring i DNB – og få umiddelbar hjelp av en IT-ekspert når du blir utsatt for datainnbrudd
6. Sørg for opplæring
Sikkerhet er alltid et lederansvar, mener Hardangen.
– Pass på at de ansatte får muligheten til å være sikre ansatte. Alle ansatte er kontaktpunkter mot omverdenen, og opplæring er viktig, sier han.
Cyberforsikring kan være viktig for bedriften. Med cyberforsikring får du hjelp av IT-eksperter til å minimere skadene forårsaket av et dataangrep.
Hvis du blir angrepet, kan forsikringen hjelpe deg med å unngå:
- å miste kundelister, betalingsdata eller bookingdata
- å bli frastjålet elektroniske verdier og viktig informasjon
- og at personopplysninger kommer på avveie
Forsikringen dekker blant annet:
- umiddelbar hjelp fra IT-eksperter, tilgjengelige 24 timer i døgnet,
- kostnader til rekonstruksjon og gjenoppretting av data,
- og driftstap som følge av et datainnbrudd
Hva gjør du hvis du blir utsatt for dataangrep? Mistenker du at bedriften din blir utsatt for et dataangrep og du har cyberforsikring i Fremtind, skal du:
- koble av nettverket, både trådløst og kabel
- ta kontakt med Fremtind sin døgnåpne nødtelefon: 915 04818