Statusrapport: IT-sikkerhet i store bedrifter

Hvordan står det til med IT-sikkerheten i større nordiske bedrifter? Ikke bare bra. Halvparten av alle store bedrifter i Norden mangler beskyttelse mot informasjonslekkasjer og digitale angrep. Hvorfor er det sånn? Og hva må gjøres?

En undersøkelse gjort av konsulentfirmaet PWC blant 9 500 bedrifter rundt om i verden gir et statusbilde: Nesten annenhver bedrift mangler en overordnet plan for IT-sikkerhet og 48 prosent av de spurte oppga at de ikke har rutiner for håndtering av uforutsette hendelser.

– Alt for mange bedrifter mangler en strategi for sin IT-sikkerhet, sier Anne-Marie Eklund Löwinder, sikkerhetssjef for Internetstiftelsen i Sverige.

En viktig årsak er at IT-sikkerhetsspørsmål sjelden havner på ledernivå, mener hun.

– IT-sikkerheten i bedrifter i Norden variere. Noen har en godt utbygd IT-sikkerhet mens mange bedrifter ligger langt etter. Problemet er ofte at sikkerheten betraktes et rent IT-spørsmål som ledelsen ikke er delaktig i. Visse bedrifter forstår ikke at det kreves en strategi fra høyeste hold for at IT-sikkerheten skal gjennomsyre hele organisasjonen.

I store bedrifter med mange systemer kan IT-sikkerhetsarbeidet bli ekstra utfordrende.

– Mange større bedrifter sliter med å ha full kontroll på alt som er beskyttelsesverdig i bedriften ettersom de har komplekse miljøer med flere innblandede, noe ganger fra flere ulike jurisdiksjoner.

Guide: Datasikkerhet og datainnbrudd

Kjapp på ny teknologi – mindre interessert av sikkerhet

Anne-Marie Eklund Lövinder peker på den raske teknologiutviklingen er en viktig årsak til sikkerhetsbristene i de store bedriftene.

– Jo mer avhengig vi blir av IT-tjenester, desto mer komplisert blir det å holde styr på alle oppdateringene, innloggingsinformasjon, regler og prinsipper. Vi er også gjerne ute på sosiale medier ¬– men vi virker mindre interesserte i å beskytte oss mot skadelige koder eller angrep. Faktumet er at det er lettere å tråkke feil enn det vi tror.

– Vi er klåfingrede og vil gjerne klikke på lenker og dele tekster og tips, uten å vite om det leder til skadelige koder. Det er lett å få inn en skadelig kode som leser av tastaturtrykk eller gjør din enhet til en del av et botnet.

Plasser personalet på skolebenken

Jonas Lejon er IT-sikkerhetsekspert med bakgrunn fra FRA og det svenske forsvaret og driver blant annet nettsiden kryptera.se. Han mener at vi bør forberede oss på at noen vil komme seg inn i større bedrifters systemer, uansett hvor mye vi beskytter oss. Trusselen mot større IT-miljøer er i dag så mange at det er vanskelig å forsvare seg mot alle på en gang. I stedet må større bedrifter og myndigheter bli bedre på å klassifisere og prioritere sine data.

– Vi bruker å si at bedrifter bør vite hvilke data som kan være tilgjengelig via nettet og hvilke data som har en finansiell verdi eller inneholder verdifull informasjon og som bør være avgrenset fra nettet. Sammen bør man se på hvordan denne informasjonen skal beskyttes på best mulig måte. Bedrifter må bli bedre på å vite hvor de mest sårbare forretningsopplysningene ligger og hvordan de beskyttes. I tillegg må man ha oversikt over hvem som kommer inn på hvilke systemer.

Jonas Lejon ser også verdien av kontinuerlig kursing av personalet i sikkerhetsspørsmål i større bedrifter.

– IT-sikkerhet er ikke vanskelig, men det krever et visst engasjement og arbeidsinnsats av de ansatte. Dette er ikke bare noe IT-avdelingen eller noen få ildsjeler skal drive med, men bedriftene bør stadig kurse sine ansatte i sikkerhet og hva de skal gjøre og ikke gjøre.

Jonas Lejons 3 tips for bedrifters IT-sikkerhet

  • Sørg for å oppdatere gammel programvare eller eldre versjoner av applikasjoner i mobiler, nettbrett eller datamaskiner.
  • Engangspassord er en god løsning. Jeg bruker MFA, en multifaktorautentisering som er en bra beskyttelse mot at uvedkommende skal få tak i passordene.
  • Ved anskaffelse av et system, still krav til sikkerhet og at leverandøren har rutiner for patch management, incident management og sikker utvikling. La et uavhengig firma gjøre en test for å sjekke at disse funksjonene er inkludert.

Anne-Marie Eklund Löwinders råd til store bedrifter og deres ansatte

  • Ha ulike passord til ulike kontoer. Bytt ofte.
  • Ikke klikk på lenker i mailer uten å reflektere over hvem avsenderen er og hvorfor du har fått mailen.
  • Ikke del saker fra sosiale medier ukritisk. Bruk sunn fornuft og kildekritikk når det handler om ting som fake news og annet.
  • Som bedrift gjelder det å ikke bare ha en sikkerhetsløsning, men sikte på å ha flere lag av beskyttelse – gjerne begrense tillatelser i systemet og segmentere nettverk for å kunne begrense skaden i tilfelle det skjer en ulykke.

De største IT-truslene mot store bedrifter

Ransomware

En raskt voksende trussel som innebærer at brukeren lures til å installere skadelige koder på datamaskinen eller mobiltelefonen, og så krypterer programmet alt den kommer over. Deretter får brukeren en melding på skjermen: betal løsepenger om du vil ha tilbake filene dine.

VD-mail (CEO/CFO fraud)

Dette innebærer at noen utgir seg for å være en sjef i en bedrift, og bruker senere denne som referanse i en mail til økonomiavdelingen der det står at en utbetaling skal skje til denne og denne kontoen.

Sabotageattacker

Hensikten med angrepene er å ødelegge informasjon, inkludert sikkerhetssystemer og backups, noe som i praksis gjør det umulig for en bedrift å få tilbake sin informasjon. Fra utsiden ser dette ut som et såkalt ransomware-program, men er konstruert på en måte som gjøre det umulig å få tilbake sin data.

Phishing-angrep

Gjerningspersonene prøver å bruke navn innad i virksomheten for å gjøre det vanskelig å skille en ekte mail fra en farlig mail, sånn at sannsynligheten for at medarbeidere klikker på farlige mail, vedlegg og lenker øker.

Les mer om Dustins kompetanse for store bedrifter

Guide: Datasikkerhet og datainnbrudd

11 april 2018

CMP er i mål med tjenestefisering av IT-leveransen

Copenhagen Malmö Port AB (CMP) har siden begynnelsen av 2001 vokst til å bli en av Skandinavias største havneoperatører med virksomheter på begge sider av sundet. I dag har de stort sett tjenestefisert hele virksomheten.

9 september 2019

Climat80-Gruppen vokser med Dustin som IT-partner

Når selskap forandrer seg og vokser, er det uunngåelig med et visst etterslep innen IT. Climat80-Gruppen har gjennom samarbeidet sitt med Dustin, fått riktige forutsetninger for å arbeide proaktivt og gi virksomheten sin en dytt i riktig retning.

6 september 2019

Hvordan arbeider Dustin med bærekraftig IT?

Dustins visjon er å sette standarden for effektiv og bærekraftig IT. I tillegg til at vi hele tiden fører en dialog med leverandørene våre om hvilke produkter og tjenester vi ønsker å selge, sørger vi hele tiden for å veilede kundene våre mot mer bærekraftige valg.

29 august 2019

CIO-rapport: IT på vei til å miste sin strategiske posisjon

IT-organisasjonen risikerer å miste sin betydning når en større del av IT-investeringene blir driftsfinansiert, ifølge en ny rapport.

15 august 2019

Sikre sensitive data i skyen

Den økte tjenestefiseringen i IT-bransjen betyr at mer og mer informasjonen blir håndtert i skytjenester, noe som krever høy bevissthet av bestillere innen virksomheter der man håndterer konfidensiell eller annen sensitiv informasjon.

12 juli 2019

Årsaken til økende IT-brister

Pasientsamtaler ble lagt ut på nett og utenlandske aktører fikk tilgang til viktige styresystemer. Dette er bare to av de store sikkerhetshull som har fått oppmerksomhet i det siste. Bak flere av dem finnes det – ja, nettopp, den menneskelige faktoren.

10 juni 2019