8 tips til digital sikkerhet
Mange står overfor store utfordringer innen IT-sikkerhet. Her er åtte enkle tiltak du kan implementere i dag for å styrke sikkerheten i din bedrift.
Først, hva er egentlig «hacking»?
De ulike angrepsmetodene får gjerne fellesbetegnelsen «hacking», men i praksis er det ofte én av følgende som faktisk skjer:
Løsepengevirus
En angriper klarer å kjøre et program som låser ned dataene til en bedrift, og krever penger for å gjøre dem tilgjengelige igjen.
Tjenestenektangrep (DDOS)
En angriper forsøker å stoppe tjenester, for eksempel en nettbutikk, ved å overbelaste trafikken. Dette fører til at tjenesten ikke fungerer mens angrepet pågår.
Malware
Et virus som kjører uten at du ser det og sm forsøker å stjele informasjon fra datasystemer. Data kan selges videre, eller brukes for å få tilgang til enda mer data og brukerinformasjon.
Sosial manipulasjon
Sosial manipulasjon, ofte gjennom det som kalles «phishing», skjer ved at en angriper utgir seg for å være noen andre og dermed lurer til seg penger eller passord. Dette er ofte en inngang til videre angrep.
Kan få store konsekvenser
De fleste bedrifter er helt avhengig av sine digitale systemer, og et vellykket angrep kan ramme hardt. Man trenger heller ikke å være et mål for å bli et offer. Cyberangrep i dagens klima er ofte automatiserte og kan ramme hvem som helst.
Teknologilandskapet er stort og komplisert — så hvor skal man egentlig begynne?
1. Kartlegg digitale verdier og systemer
Før du gjør noe som helst mener vi det er viktig å kartlegge bedriftens mest verdifulle digitale verdier. Dette vil gi et godt utgangspunkt for hva som må prioriteres, og hvilke tiltak som bør innføres. Ting må stå i forhold – en bank trenger for eksempel ikke et hvelv rundt brosjyrene sine.
Spørsmål du bør stille deg er:
- Har vi viktige filer i OneDrive eller Dropbox?
- Hvilke system har vi personopplysninger i?
- Hva hadde skjedd med driften hvis disse dataene forsvant i dag?
- Hvor lenge hadde vi klart oss uten disse dataene?
Et viktig spørsmål er også «Har vi data/tjenester som anses som samfunnskritiske?». I tilfelle kan dette medføre større sikkerhetskrav og ansvar.
Det er også viktig å kartlegge hvilke systemer som er kritiske. Hvordan ville det påvirke driften hvis disse systemene ble utilgjengelige, og kan de potensielt utnyttes som inngangspunkter av angripere?
Husk også å være nøye med valget av leverandører. Hos Appex legger vi spesiell vekt på sikkerhet innen web- og systemutvikling og kan dokumentere våre tiltak på dette området.
2. Ha en god strategi for sikkerhetskopiering
Dette er viktig for å minimere skadene dersom uhellet skulle være ute. Sikkerhetskopier bør tas hyppig, og lagres på annen lokasjon og nett enn der det kopieres fra. Sikkerhetskopiene bør også være krypterte dersom de skulle havne i feil hender. Sørg også for at det jevnlig foretas tilbakekopiering for å verifisere at sikkerhetskopieringen fungerer som den skal.
Med sikkerhetskopi på stell er det større sjanse for å komme seg raskt opp igjen.
I Appex rådgir vi kundene våre hvordan vi kan sikre data på best mulig måte i tjenester vi leverer, og tilbyr løsninger som er tilpasset deres behov. Når vi drifter kundeløsninger, benytter vi oss av Microsoft Azure og utnytter deres systemer for datalagring og sikkerhetskopiering.
3. Ha gode passord og to-faktorautentisering
Mange av oss benytter flere ulike tjenester i vår daglige bruk, og det kan oppleves som nesten umulig å holde styr på alle passordene. Dette er også grunnen til at mange til tider blir fristet til å bruke det samme, enkle passordet på flere tjenester.
En bedre løsning er å bruke et verktøy for å holde styr på kontoer og passord. To av de mest brukte er 1Password og LastPass. Disse verktøyene er kjent for å kunne generere og lagre passord for ulike tjenester, slik at du kun trenger å huske ett hovedpassord, i tillegg til å aktivere to-faktorautentisering. Dette gjør din daglige rutine både mer praktisk og sikrere.
I tillegg til sterke og unike passord er det viktig å aktivere to-faktorautentisering der det er tilgjengelig. To-faktorautentisering krever at du, i tillegg til passordet, også må oppgi en kode som du mottar via SMS eller gjennom en app på telefonen din. Med to-faktorautentisering aktivert, blir du bedre dersom et passord skulle komme på avveie.
Start med å kartlegge at alle brukerkontoer i bedriften er sikret med to-faktorautentisering. Deretter kan du vurdere å ta i bruk et passordbehandlingsverktøy.
I Appex bruker alle ansatte et verktøy for å administrere passord. Når vi utvikler løsninger for våre kunder, anbefaler vi de mest optimale alternativene for pålogging, slik at løsningen passer inn i et trygt og sikkert økosystem.
Passord som havner på avveie er en av de mest vanlige årsakene til cyberangrep. Ved å aktivere to-faktorautentisering, øker du din sikkerhet betydelig!
Cathrine Dreyer, teamleder i Appex
4. Personalrutiner og opplæring
Du kan innføre så mange sikkerhetstiltak du bare vil, men det viktigste vil alltid være kunnskapen til de ansatte.
Opplæring i sikkerhet og trusselhåndtering er derfor veldig viktig, slik at alle har kunnskap om nødvendige tiltak i deres daglige arbeid. Samtidig er det viktig at sikkerhetsprosedyrer ikke er for kompliserte, men enkle nok til at ansatte faktisk kan følge dem.
Det er også viktig å ha gode rutiner når ansatte starter og slutter. Ved nye ansettelser er det essensielt å sørge for riktig opplæring i bedriftens sikkerhetsrutiner og at det benyttes utstyr som oppfyller bedriftens sikkerhetskrav. Når et arbeidsforhold avsluttes, er det viktig å ha rutiner for å fjerne tilganger. Et nyttig tips er å dokumentere alle tilganger en ansatt skal ha slik at disse er enkle å følge opp.
Vurder også risikoen ved å tillate arbeid på ansattes private maskiner, hvis dette er aktuelt. Arbeidsgiver har sjelden kontroll på ansattes private telefoner og datamaskiner, og hvis man er logget inn på jobb-kontoer kan det utgjøre en risiko. En hacket privatkonto som er brukt på arbeidsmaskin kan også føre til dataangrep.
5. Cyberforsikring
De fleste har større digitale verdier enn de er klar over. Derfor er det viktig å vurdere en spesifikk cyberforsikring. Innholdet i en slik forsikring kan variere, men den dekker ofte økonomiske tap som følge av dataangrep, hjelp til gjenoppbygging av datasystemer, samt rådgivning og bistand til å håndtere hendelsen.
Det er ofte en forutsetning for cyberforsikringer at bedriften allerede har gjennomført andre tiltak som beskrevet i dette blogginnlegget.
I Appex anbefaler vi alle våre kunder å ha egen cyberforsikring. Vi planlegger sammen med deg hvordan våre leveranser kan oppfylle disse kravene.
6. Endepunkt sikkerhet
Begrepet «endepunkt» definerer en enhet som er tilkoblet bedriftsnettverket, og det kan derfor inkludere alt fra telefoner og datamaskiner til servere som bedriften administrerer. Et viktig tiltak for å sikre disse enhetene er å ta i bruk noe som kalles for “Endpoint Detection and Response”-programvare, eller EDR.
Antivirus er et mer kjent begrep, og man kan godt si at EDR er som et mer avansert antivirus. Å sikre arbeidsenheter på denne måten gir betydelig bedre sikkerhet, da det kan stoppe de fleste angrep og hindre spredning av skadelig programvare.
EDR kan også kombineres med en såkalt SOC-tjeneste (Security Operations Center). Dette er en tjeneste med en alarmsentral som overvåker EDR-programvaren på ansattes enheter og kan iverksette tiltak og varsle bedriften ved hendelser.
SOC-tjenesten kan også overvåke installerte programmer på maskiner for å passe på at ingen har installert risikabel programvare og at programmene er oppdaterte. Mange virus går spesifikt etter utdatert programvare da de ofte har kjente sårbarheter.
Det finnes mange tilbydere av EDR og SOC, og vi anbefaler derfor å ta kontakt med en leverandør av IT-sikkerhet som kan rådgi og bistå på dette området.
7. Nettverk
Det er også viktig å ta en evaluering av selve nettverket. Er utstyret låst inn slik at ikke hvem som helst kan putte en kabel i nettet? Skal gjester ha tilgang til det trådløse nettverket? I så tilfelle bør dette separeres fra nettet til de ansatte, spesielt dersom passordet henger på en lapp på veggen — noe det ofte gjør rundt omkring.
Generelt er brannmur og nettverksenheter viktig å ha kontroll på, i tillegg til å kontrollere og oppdatere jevnlig.
8. Lag en beredskapsplan
Selv med ovenstående tiltak er det ikke mulig å sikre seg hundre prosent. Så hva gjør du dersom uhellet er ute? Du iverksetter planen. Det nytter ikke å lage en plan når det skjer, den må være tenkt ut på forhånd — og kanskje til og med trent på.
En slik plan bør beskrive hvilke aksjoner som skal gjøres ved en hendelse. Dette kan inkludere å kartlegge hvilke systemer som er påvirket, hvilke data som eventuelt er på avveie, samt varsle aktuelle som er påvirket og eventuelt Datatilsynet.
En plan bør også beskrive hvem som har ansvar for hva slik at alle har definerte roller når krisen er ute. Det bør for eksempel være helt klart hvem som skal uttale seg til kunder og media.
Nyheter & blogg
Tips til bruk av kunstig intelligens
Et knippe Appex’ere forteller hvordan de bruker AI.
Kunstig intelligens endrer spillereglene
Lurer du på hva AI egentlig er for noe? Her får du innsikt i begrepene bak kunstig intelligens (KI)
Ledig stilling!
Har du jobbet utenbys og vil hjem til Haugalandet, eller er du på jakt etter nye, spennende utfordringer? Sjekk ut våre ledige stillinger. Ledige stillinger
Derfor skal du hyre en konsulent!
Blir du som leder litt overveldet av den forrykende utviklingen i dagens marked?
Ser kontoret ditt ut som en snøstorm? 🌨️
Hvem har lyst til å tilbringe arbeidsdagen sin i kalde, hvite kontorlanskap? 🪑
Kristian Fredrik og Henrik er våre nye systemutviklere!
Velkommen til våre to nye junior systemutviklere👨💻