Hacking er ikke lenger forbeholdt de store bedriftene, selskapene og konsernene. I dag ser vi en drastisk økning i angrep på små og mellomstore bedrifter, nettopp fordi det er en mangel på sikkerhetstiltak og gode rutiner.
Hvordan kan du som leder eller ansatt i en bedrift forsvare deg mot en fiende som alltid ligger et steg foran? Seniorrådgiver 
Eirik Bjarkøy i Waveit, kan fortelle om et stadig økende behov for å øke kompetansen innad i norske bedrifter, for å sikre informasjonen i systemene.
Selv om mye kan sies om datasikkerhet, og kravene som stilles for å være tryggere i denne digitale hverdagen, kan vi oppsummere de fire måtene du faktisk kan sikre din bedrift på i tiden fremover:
- Øke kunnskap om datasikkerhet.
- Ha fokus på fysisk sikring.
- Etabler innvendig sikring.
- Unngå å falle i fellen med et naivt tankesett “det skjer ikke oss”
Hva er egentlig datasikkerhet?
Datasikkerhet kan fremstå som et veldig teknisk og komplisert fagområde, som ofte er forbeholdt store selskaper som sitter på store verdier. Det har hovedsakelig vært fokus på å stoppe inntrengere som forsøker å ta seg inn i systemer som tilhører bedriften. Dette har mange gjort ved å legge inn kraftige brannmurer og andre blokkerende løsninger.
De siste årene har det vært en drastisk økning i mer moderne og utspekulerte forsøk på å trenge seg inn i systemene hos bedrifter. Dette gjør at man nå må jobbe med, og tenke på datasikkerhet på en helt ny måte. Hackere sitter ikke lenger og leter etter hull i muren, men som en parasitt tar de veien inn via de som har adgang gjennom denne muren.
Dette har ført til at menneskene som jobber i bedriften stadig opplever flere hacking-forsøk, samt at det nå settes mer fokus på identifisering og autorisering av interne brukere av systemene.
– I dag tenker man annerledes på datasikkerhet enn man gjorde for 10 år siden. Det er ikke lenger kun sikring av ethvert system man må ha fokus på, men også tankesettet på den generelle sikkerheten. Det vi ofte ser er at mennesket er det svakeste leddet, fordi man ikke har nok kunnskap om sikkerhet til å ivareta den, forteller Bjarkøy.
Moderne krigføring i den digitale sfæren
Selv om fysisk sikring av systemene har vært svært viktig i alle år, og fortsatt holder en viktig posisjon i IT-sikkerheten hos de aller fleste bedrifter, er det større krav til overlevelse i dagens digitale verden.
– Nå i dag handler mye om hvordan man bruker systemene riktig. Det er fortsatt viktig å sikre systemene, men hvordan de brukes er nesten viktigere i dag. Det er viktig at de ansatte som bruker systemet forstår hvor risikoene ligger og hvordan de kan jobbe for å unngå de.
Å sørge for en forståelse og et kompetansenivå i bedriftene på hvordan datasikkerheten opprettholdes er en av de viktigste arbeidsoppgavene hos Waveit. Dersom de ansatte forstår og kan identifisere forsøk på hacking, kan man i stor grad forebygge uheldige utfall.
Gjennom å sikre systemene fra utsiden og fra innsiden vil antall berørte bedrifter i Norge falle betraktelig. Sikring fra innsiden av bedriften går i utgangspunktet ut på det vi kaller “zero trust”. Her er ingen hevet over identifisering og alle må gjennom de samme prosessene for å få tilgang i systemet.
– Det vi ofte ser er jo at hackere kommer seg inn i bedriften gjennom å bruke ansattes tilganger. Ved å benytte deg av et zero trust tankesett for pålogging og tilganger, vil risikoen for å utsettes for angrep fra innsiden reduseres betraktelig.
Den nye målgruppen
Når du hører ordene datasikkerhet, hacking og informasjonstyveri assosierer man det ofte med oppslag man ser i avisene om store konserner som opplever å miste all informasjon og store verdier til profesjonelle hackere. Dette gir ledere i små og mellomstore bedrifter en falsk trygghet, og sannheten er egentlig en helt annen.
– Det tankesettet vi ser at små og mellomstore bedrifter sitter med i dag er “det skjer ikke med oss, for vi er for små”. Dessverre er det nettopp dette som setter bedriften i en svært farlig situasjon.
Selv om det er de store bedriftene man hører om i media, kan Bjarkøy fortelle at det langt oftere er mindre bedrifter som opplever angrep.
– Det er gjerne de mindre bedriftene som opplever angrep, både fordi de ikke har de store budsjettene til å investere i fysisk sikring av systemene, og heller ikke egen IT-avdeling eller ansvarlig. De er rett og slett et enklere bytte, men det er sjeldent man hører om dette i media.
Grunnen til at hackere sjeldent bryr seg om størrelsen på bedriften, er fordi alle har informasjon om noen. Informasjon i dag er verdt mye på ulike markeder og all informasjon er viktig for noen. Dette trenger heller ikke være sensitiv informasjon, det kan være personlig kontaktinformasjon eller kontrakter.
En kreativ og desperat motstander
Det vi ser igjen og igjen er at hackere skaper nye måter å angripe bedrifter på. På denne måten ligger de alltid et hakk foran bedriftene og IT-spesialistene.
En av de siste trendene som mange bedrifter stadig opplever er det som kalles ransome-angrep. Dette er et typisk angrep som kommer fra innsiden av bedriften og kan sette store avdelinger og til og med hele bedrifter ut av spill. Måten det fungerer på er enkel og for det utrente og uoppmerksomme øyet, nesten umulig å identifisere før det er for sent..
– Dette skjer dessverre oftere enn mange bedrifter innrømmer. Det er også veldig lite som er mulig å gjenopprette dersom informasjonen faktisk blir borte. Det første du er nødt til å gjøre dersom dette skjer er å sikre at det finnes en sikkerhetskopi av systemet de infiltrerte.
Selv ekspertene som daglig jobber med datasikkerhet og IT-systemer, har sjeldent mulighet til å få tilbake informasjonen som fryses i et angrep. Derfor er det avgjørende at det lages en kopi av det du er avhengig av å beholde, og lagre dette på et trygt sted.
I tillegg til å sikre en kopi, er det neste steget å være bedre forberedt neste gang bedriften blir utsatt for et angrep.
– Det andre du må gjøre er å sikre systemene bedre til neste gang. Dette inkluderer både intern sikring og fysisk sikring. I tillegg er det viktig at man bygger kompetansen innad hos de ansatte i bedriften, slik at de forstår hvordan de skal jobbe med datasikkerhet fremover.
Dersom det foreligger gode rutiner og sikre systemer, har du gjort mye for å sikre deg mot fremtidige angrep. Datasikkerhet i dag handler om å være bevisst når man befinner seg inne i digitale systemer. Tenker du at det ikke kan skje med deg, er du allerede mer utsatt enn du tror.
Waveit leverer komplette tjenester som inkluderer fysisk sikring av systemer til opplæring av brukere. Er du bekymret for at deres sikkerhet ikke stiller til kravene er dette et svært godt sted å starte. Vern om din bedrift, dine kunder og dine ansatte ved å ta sikkerheten på alvor.