Statusrapport: IT-sikkerhet i store bedrifter

Hvordan står det til med IT-sikkerheten i større nordiske bedrifter? Ikke bare bra. Halvparten av alle store bedrifter i Norden mangler beskyttelse mot informasjonslekkasjer og digitale angrep. Hvorfor er det sånn? Og hva må gjøres?

En undersøkelse gjort av konsulentfirmaet PWC blant 9 500 bedrifter rundt om i verden gir et statusbilde: Nesten annenhver bedrift mangler en overordnet plan for IT-sikkerhet og 48 prosent av de spurte oppga at de ikke har rutiner for håndtering av uforutsette hendelser.

– Alt for mange bedrifter mangler en strategi for sin IT-sikkerhet, sier Anne-Marie Eklund Löwinder, sikkerhetssjef for Internetstiftelsen i Sverige.

En viktig årsak er at IT-sikkerhetsspørsmål sjelden havner på ledernivå, mener hun.

– IT-sikkerheten i bedrifter i Norden variere. Noen har en godt utbygd IT-sikkerhet mens mange bedrifter ligger langt etter. Problemet er ofte at sikkerheten betraktes et rent IT-spørsmål som ledelsen ikke er delaktig i. Visse bedrifter forstår ikke at det kreves en strategi fra høyeste hold for at IT-sikkerheten skal gjennomsyre hele organisasjonen.

I store bedrifter med mange systemer kan IT-sikkerhetsarbeidet bli ekstra utfordrende.

– Mange større bedrifter sliter med å ha full kontroll på alt som er beskyttelsesverdig i bedriften ettersom de har komplekse miljøer med flere innblandede, noe ganger fra flere ulike jurisdiksjoner.

Guide: Datasikkerhet og datainnbrudd

Kjapp på ny teknologi – mindre interessert av sikkerhet

Anne-Marie Eklund Lövinder peker på den raske teknologiutviklingen er en viktig årsak til sikkerhetsbristene i de store bedriftene.

– Jo mer avhengig vi blir av IT-tjenester, desto mer komplisert blir det å holde styr på alle oppdateringene, innloggingsinformasjon, regler og prinsipper. Vi er også gjerne ute på sosiale medier ¬– men vi virker mindre interesserte i å beskytte oss mot skadelige koder eller angrep. Faktumet er at det er lettere å tråkke feil enn det vi tror.

– Vi er klåfingrede og vil gjerne klikke på lenker og dele tekster og tips, uten å vite om det leder til skadelige koder. Det er lett å få inn en skadelig kode som leser av tastaturtrykk eller gjør din enhet til en del av et botnet.

Plasser personalet på skolebenken

Jonas Lejon er IT-sikkerhetsekspert med bakgrunn fra FRA og det svenske forsvaret og driver blant annet nettsiden kryptera.se. Han mener at vi bør forberede oss på at noen vil komme seg inn i større bedrifters systemer, uansett hvor mye vi beskytter oss. Trusselen mot større IT-miljøer er i dag så mange at det er vanskelig å forsvare seg mot alle på en gang. I stedet må større bedrifter og myndigheter bli bedre på å klassifisere og prioritere sine data.

– Vi bruker å si at bedrifter bør vite hvilke data som kan være tilgjengelig via nettet og hvilke data som har en finansiell verdi eller inneholder verdifull informasjon og som bør være avgrenset fra nettet. Sammen bør man se på hvordan denne informasjonen skal beskyttes på best mulig måte. Bedrifter må bli bedre på å vite hvor de mest sårbare forretningsopplysningene ligger og hvordan de beskyttes. I tillegg må man ha oversikt over hvem som kommer inn på hvilke systemer.

Jonas Lejon ser også verdien av kontinuerlig kursing av personalet i sikkerhetsspørsmål i større bedrifter.

– IT-sikkerhet er ikke vanskelig, men det krever et visst engasjement og arbeidsinnsats av de ansatte. Dette er ikke bare noe IT-avdelingen eller noen få ildsjeler skal drive med, men bedriftene bør stadig kurse sine ansatte i sikkerhet og hva de skal gjøre og ikke gjøre.

Jonas Lejons 3 tips for bedrifters IT-sikkerhet

  • Sørg for å oppdatere gammel programvare eller eldre versjoner av applikasjoner i mobiler, nettbrett eller datamaskiner.
  • Engangspassord er en god løsning. Jeg bruker MFA, en multifaktorautentisering som er en bra beskyttelse mot at uvedkommende skal få tak i passordene.
  • Ved anskaffelse av et system, still krav til sikkerhet og at leverandøren har rutiner for patch management, incident management og sikker utvikling. La et uavhengig firma gjøre en test for å sjekke at disse funksjonene er inkludert.

Anne-Marie Eklund Löwinders råd til store bedrifter og deres ansatte

  • Ha ulike passord til ulike kontoer. Bytt ofte.
  • Ikke klikk på lenker i mailer uten å reflektere over hvem avsenderen er og hvorfor du har fått mailen.
  • Ikke del saker fra sosiale medier ukritisk. Bruk sunn fornuft og kildekritikk når det handler om ting som fake news og annet.
  • Som bedrift gjelder det å ikke bare ha en sikkerhetsløsning, men sikte på å ha flere lag av beskyttelse – gjerne begrense tillatelser i systemet og segmentere nettverk for å kunne begrense skaden i tilfelle det skjer en ulykke.

De største IT-truslene mot store bedrifter

Ransomware

En raskt voksende trussel som innebærer at brukeren lures til å installere skadelige koder på datamaskinen eller mobiltelefonen, og så krypterer programmet alt den kommer over. Deretter får brukeren en melding på skjermen: betal løsepenger om du vil ha tilbake filene dine.

VD-mail (CEO/CFO fraud)

Dette innebærer at noen utgir seg for å være en sjef i en bedrift, og bruker senere denne som referanse i en mail til økonomiavdelingen der det står at en utbetaling skal skje til denne og denne kontoen.

Sabotageattacker

Hensikten med angrepene er å ødelegge informasjon, inkludert sikkerhetssystemer og backups, noe som i praksis gjør det umulig for en bedrift å få tilbake sin informasjon. Fra utsiden ser dette ut som et såkalt ransomware-program, men er konstruert på en måte som gjøre det umulig å få tilbake sin data.

Phishing-angrep

Gjerningspersonene prøver å bruke navn innad i virksomheten for å gjøre det vanskelig å skille en ekte mail fra en farlig mail, sånn at sannsynligheten for at medarbeidere klikker på farlige mail, vedlegg og lenker øker.

Les mer om Dustins kompetanse for store bedrifter

Guide: Datasikkerhet og datainnbrudd

11 april 2018

Datakriminalitet koster mer enn naturkatastrofer

Den kraftig økende datakriminaliteten koster individer, organisasjoner og samfunnet enorme summer hvert år. Undersøkelser viser at nordiske bedrifter ofte mangler et grunnleggende forsvar mot disse angrepene.

15 april 2019

Dustin designer IT-infrastruktur for verden

PatientSky er en åpen plattform som gjør livet lettere for omsorgsgivere og deres kunder, takket være en robust infrastruktur som garanterer drift- og datasikkerhet.

13 mars 2019

GUIDE: Skytjenester – slik funker de

Å bruke skytjenester er ikke noe nytt. Men det er i senere år, takket være utviklingen innen maskinvare, programvare og oppkoblinger, at tjenesten har vokst seg sterk og blitt en løsning som både privatpersoner og bedrifter har stor nytte av.

21 februar 2019

Digitaliseringsstrategi: 5 tips for å lykkes

Enten du vil utvikle applikasjoner for å skape økt kundeengasjement eller du vil modernisere IT-infrastrukturen for å oppnå bedre fleksibilitet, er det noen ting du bør huske på for å lykkes med din digitaliseringsstrategi.

8 februar 2019

Så mye koster et datainnbrudd

30 millioner kroner. Så mye koster et gjennomsnittlig datainnbrudd ifølge den nyeste studien fra Ponemon Institute. Risikoen for å bli rammet er større enn noensinne, men med rett beskyttelse kan du minimere den betydelig.

27 januar 2019

Outsourcing av IT-drift: 5 trinn for å lykkes

Når du skal outsource IT-driften finnes det det ikke rom for feil – men mye kan gå galt. Det gjelder å planlegge langsiktig, fokusere på det som er viktig og ikke overse viktige detaljer.

17 januar 2019