Statusrapport: IT-sikkerhet i store bedrifter

Hvordan står det til med IT-sikkerheten i større nordiske bedrifter? Ikke bare bra. Halvparten av alle store bedrifter i Norden mangler beskyttelse mot informasjonslekkasjer og digitale angrep. Hvorfor er det sånn? Og hva må gjøres?

En undersøkelse gjort av konsulentfirmaet PWC blant 9 500 bedrifter rundt om i verden gir et statusbilde: Nesten annenhver bedrift mangler en overordnet plan for IT-sikkerhet og 48 prosent av de spurte oppga at de ikke har rutiner for håndtering av uforutsette hendelser.

– Alt for mange bedrifter mangler en strategi for sin IT-sikkerhet, sier Anne-Marie Eklund Löwinder, sikkerhetssjef for Internetstiftelsen i Sverige.

En viktig årsak er at IT-sikkerhetsspørsmål sjelden havner på ledernivå, mener hun.

– IT-sikkerheten i bedrifter i Norden variere. Noen har en godt utbygd IT-sikkerhet mens mange bedrifter ligger langt etter. Problemet er ofte at sikkerheten betraktes et rent IT-spørsmål som ledelsen ikke er delaktig i. Visse bedrifter forstår ikke at det kreves en strategi fra høyeste hold for at IT-sikkerheten skal gjennomsyre hele organisasjonen.

I store bedrifter med mange systemer kan IT-sikkerhetsarbeidet bli ekstra utfordrende.

– Mange større bedrifter sliter med å ha full kontroll på alt som er beskyttelsesverdig i bedriften ettersom de har komplekse miljøer med flere innblandede, noe ganger fra flere ulike jurisdiksjoner.

Guide: Datasikkerhet og datainnbrudd

Kjapp på ny teknologi – mindre interessert av sikkerhet

Anne-Marie Eklund Lövinder peker på den raske teknologiutviklingen er en viktig årsak til sikkerhetsbristene i de store bedriftene.

– Jo mer avhengig vi blir av IT-tjenester, desto mer komplisert blir det å holde styr på alle oppdateringene, innloggingsinformasjon, regler og prinsipper. Vi er også gjerne ute på sosiale medier ¬– men vi virker mindre interesserte i å beskytte oss mot skadelige koder eller angrep. Faktumet er at det er lettere å tråkke feil enn det vi tror.

– Vi er klåfingrede og vil gjerne klikke på lenker og dele tekster og tips, uten å vite om det leder til skadelige koder. Det er lett å få inn en skadelig kode som leser av tastaturtrykk eller gjør din enhet til en del av et botnet.

Plasser personalet på skolebenken

Jonas Lejon er IT-sikkerhetsekspert med bakgrunn fra FRA og det svenske forsvaret og driver blant annet nettsiden kryptera.se. Han mener at vi bør forberede oss på at noen vil komme seg inn i større bedrifters systemer, uansett hvor mye vi beskytter oss. Trusselen mot større IT-miljøer er i dag så mange at det er vanskelig å forsvare seg mot alle på en gang. I stedet må større bedrifter og myndigheter bli bedre på å klassifisere og prioritere sine data.

– Vi bruker å si at bedrifter bør vite hvilke data som kan være tilgjengelig via nettet og hvilke data som har en finansiell verdi eller inneholder verdifull informasjon og som bør være avgrenset fra nettet. Sammen bør man se på hvordan denne informasjonen skal beskyttes på best mulig måte. Bedrifter må bli bedre på å vite hvor de mest sårbare forretningsopplysningene ligger og hvordan de beskyttes. I tillegg må man ha oversikt over hvem som kommer inn på hvilke systemer.

Jonas Lejon ser også verdien av kontinuerlig kursing av personalet i sikkerhetsspørsmål i større bedrifter.

– IT-sikkerhet er ikke vanskelig, men det krever et visst engasjement og arbeidsinnsats av de ansatte. Dette er ikke bare noe IT-avdelingen eller noen få ildsjeler skal drive med, men bedriftene bør stadig kurse sine ansatte i sikkerhet og hva de skal gjøre og ikke gjøre.

Jonas Lejons 3 tips for bedrifters IT-sikkerhet

  • Sørg for å oppdatere gammel programvare eller eldre versjoner av applikasjoner i mobiler, nettbrett eller datamaskiner.
  • Engangspassord er en god løsning. Jeg bruker MFA, en multifaktorautentisering som er en bra beskyttelse mot at uvedkommende skal få tak i passordene.
  • Ved anskaffelse av et system, still krav til sikkerhet og at leverandøren har rutiner for patch management, incident management og sikker utvikling. La et uavhengig firma gjøre en test for å sjekke at disse funksjonene er inkludert.

Anne-Marie Eklund Löwinders råd til store bedrifter og deres ansatte

  • Ha ulike passord til ulike kontoer. Bytt ofte.
  • Ikke klikk på lenker i mailer uten å reflektere over hvem avsenderen er og hvorfor du har fått mailen.
  • Ikke del saker fra sosiale medier ukritisk. Bruk sunn fornuft og kildekritikk når det handler om ting som fake news og annet.
  • Som bedrift gjelder det å ikke bare ha en sikkerhetsløsning, men sikte på å ha flere lag av beskyttelse – gjerne begrense tillatelser i systemet og segmentere nettverk for å kunne begrense skaden i tilfelle det skjer en ulykke.

De største IT-truslene mot store bedrifter

Ransomware

En raskt voksende trussel som innebærer at brukeren lures til å installere skadelige koder på datamaskinen eller mobiltelefonen, og så krypterer programmet alt den kommer over. Deretter får brukeren en melding på skjermen: betal løsepenger om du vil ha tilbake filene dine.

VD-mail (CEO/CFO fraud)

Dette innebærer at noen utgir seg for å være en sjef i en bedrift, og bruker senere denne som referanse i en mail til økonomiavdelingen der det står at en utbetaling skal skje til denne og denne kontoen.

Sabotageattacker

Hensikten med angrepene er å ødelegge informasjon, inkludert sikkerhetssystemer og backups, noe som i praksis gjør det umulig for en bedrift å få tilbake sin informasjon. Fra utsiden ser dette ut som et såkalt ransomware-program, men er konstruert på en måte som gjøre det umulig å få tilbake sin data.

Phishing-angrep

Gjerningspersonene prøver å bruke navn innad i virksomheten for å gjøre det vanskelig å skille en ekte mail fra en farlig mail, sånn at sannsynligheten for at medarbeidere klikker på farlige mail, vedlegg og lenker øker.

Les mer om Dustins kompetanse for store bedrifter

Guide: Datasikkerhet og datainnbrudd

11 april 2018

Våre vanligste nettverksfeil

Nettverk er bedriftens nervesystem. Hvis det ikke fungerer, rammes hele virksomheten. Ikke gjør disse vanlige feilene.

1 november 2019

Få et stabilt nettverk i form av en tjeneste

I dag er et fungerende nettverk en grunnleggende forutsetning for skolens drift. Det å kjøpe nettverket som en tjeneste er en smart og tidsbesparende måte å få en optimal plattform på.

4 oktober 2019

Sikkerhet eller brukervennlighet – Må man velge?

Noen ganger kan det virke som om det foregår en krig mellom IT-avdelinger og brukerne deres. Men må man velge side?

23 september 2019

Så mye koster et hackerangrep

30 millioner kroner. Så mye koster et gjennomsnittlig datainnbrudd ifølge den nyeste studien fra Ponemon Institute. Risikoen for å bli rammet er større enn noensinne, men med rett beskyttelse kan du minimere den betydelig.

23 september 2019

Consafe Logistics har kombinert reduserte IT-kostnader med økte servicenivåer

Consafe Logistics er Europas ledende leverandør av programvare for lager- og logistikkløsninger. Vi leverer i dag on-site support for hele virksomheten innen Consafe Logistics.

20 september 2019

White paper: Digitalisering, automatisering og innovasjon gjennom hyperkonvergert infrastruktur

IT-organisasjoner trenger å kunne håndtere raske forandringer. Vil du lære mer om hvordan du skaper rom for innovasjon? Les vårt white paper «Digitalisering, automatisering og innovasjon gjennom hyperkonvergert infrastruktur».

19 september 2019
Få fortrinnsrett på Black Friday!