Kriminelle spiller ofte på fire strenger
- Angrepsmetodene er ofte avanserte og utspekulerte, men det finnes enkle og effektive sikkerhetstiltak.
Det sier Knut Ivar Rønning, seniorrådgiver i NorSIS, Norsk senter for informasjonssikring.
- Det er fortsatt veldig mange angrepsforsøk mot bedrifter og offentlige bedrifter, sier Rønning.
De ansatte må læres opp og trenes, slik at de tenker seg om to ganger før de trykker på en lenke
- Trusselen er høy mot alle bedrifter, både små og store. Vi er særlig bekymret for de små bedriftene, da de ikke har de samme ressursene som de store til å sikre seg. De små bedriftene er en viktig del av verdikjedene til de store bedriftene, og rammes de vil det kunne ha store konsekvenser.
- Kriminelle spiller ofte på fire strenger. Fristelser, frykt, falsk tillit og tidspress, sier Rønning.
En fristelse kan for eksempel være at du får en e-post, sms eller telefonoppringing der det fristes med en lottopremie, du må bare betale litt for å få den tilsendt og du blir samtidig bedt om å klikke på en lenke.
- Før var kommunikasjonen på dårlig norsk, nå er det mye mer profesjonelt, og det kan være vanskelig å oppdage at noen prøver å svindle bedriften.
Rønning er klar på at bevisstgjøring og opplæring av de ansatte er veldig viktig for å unngå å bli utsatt for soisial manipulering.
- De ansatte må læres opp og trenes, slik at de tenker seg om to ganger før de trykker på en lenke, sier han.
Bruk to-trinns autentisering
Har du mistanke så ring til vedkommende og sjekk om de faktisk har tatt kontakt.
– Ofte sender svindlerne en e-post til bedriften og utgir seg for å være din leverandør, og forteller at de har endret kontonummeret. I andre tilfeller utgir de seg for å være sjefen din og ber deg gjennomføre en betaling, sier Rønning.
Ved at de kriminelle får endret kontonummeret går betalingene til svindlere i stedet for til leverandøren.
Rønnings beste råd er at dersom du får en slik e-post må du ringe din leverandør eller sjefen din og dobbeltsjekke. Da får du avklart med én gang om dette er en falsk melding eller ikke.
Hvis du kommer inn med tullepassord og tullebrukernavn – da er det svindel
Rønning mener det er noen helt konkrete tiltak alle bedrifter bør innføre for å sikre seg mot datakriminalitet. Noe som er veldig viktig er to-trinns autentisering.
– Bruk to-trinns autentisering. Det betyr at dersom kriminelle får tak i passordet, kommer ikke de kriminelle inn i systemene, for i tillegg må det også brukes en kode. Dette er det muligens det viktigste sikkerhetstiltaket å innføre.
Sikkerhetseksperten anbefaler å stille krav til dine leverandører om at de leverer sikre tjenester.
- Spør alltid om leverandøren tilbyr to-trinns autentisering. Hackerne er ofte ute etter å skaffe seg brukernavn og passord. Det er enklere å logge seg inn enn å hacke seg inn. Har du to-trinns autentisering gjør du det mye vanskeligere for de kriminelle.
- Det er veldig viktig å ha sterke passord og du må aldri gi fra deg passordet til noen, og du må ha forskjellige passord på forskjellige tjenester.
Kontroller alltid at fakturaen gjelder noe bedriften faktisk har bestilt
Sikkerhetseksperten forteller at trenden er at de kriminelle bruker flere virkemidler.
- Den mest vanlige angrepsmetoden er sosial manipulasjon, hvor angriperen forsøker å utnytte uoppmerksomme ansatte, sier Rønning.
Det vanligste er at man får tilsendt en e-post eller SMS der mottaker blir bedt om å åpne en lenke som fører til at du må logge inn et sted. Dette er som regel falske nettsider som ligner på en ekte påloggingsside til en tjeneste du vanligvis bruker. Da kan de kriminelle få tilgang til alt fra brukernavn og passord.
- Sjekk først om lenken ser rimelig ut. Dersom du blir bedt om å logge inn med brukernavn og passord, bruk tullepassord. Hvis du kommer inn med tullepassord og tullebrukernavn – da er det svindel.
Hvis du blir bedt om å legge igjen personlig informasjon, bankkortinformasjon eller brukernavn og passord, anbefales det at du skriver inn den riktige adressen til det du skal i nettleseren din. Da vet du at du er på riktig sted.
- Vær klar over at det er mulig å manipulere av avsenderadresser og telefonnumre. Det gjør at du ikke er trygg selv om du kjenner igjen telefonnummer eller epost-adressen.
Rønning forteller at mange bedrifter har gode rutiner for å unngå datakriminalitet, mens det fortsatt er en del som har mangelfulle rutiner.
- Det er viktig med bra rutiner for faktura og regnskap. Kontroller alltid at fakturaen som mottas er for noe bedriften faktisk har bestilt. På denne måten kan man oppdage svindel.
Det er flere rutiner som bedriftene bør etablere:
Sikkerhet er alltid et lederansvar, mener Rønning.
- Pass på at de ansatte får muligheten til å være sikre ansatte. Alle ansatte er kontaktpunkter mot omverdenen, og opplæring er viktig, sier han.
- Sørg for sikre passord
- Ha forskjellige passord på forskjellige tjenester
- Oppdater systemene
- Bruk to-trinns autentisering
- Sørg for opplæring av de ansatte
- Gjennomfør sikkerhetskopiering