8 tips til digital sikkerhet

IT-sikkerhet er en stor utfordring for mange. Her er 8 enkle grep du kan gjøre i dag for å sikre din bedrift bedre.

Først, hva er egentlig «hacking»?

De ulike angrepsmetodene får gjerne fellesbetegnelsen «hacking», men i praksis er det ofte én av følgende som faktisk skjer:

Løsepengevirus
En angriper klarer å kjøre et program som låser ned dataene til en bedrift, og krever penger for å gjøre dem tilgjengelige igjen.

Tjenestenektangrep (DDOS)
En angriper forsøker å stoppe tjenester (for eksempel en nettbutikk) ved å overbelaste trafikken. Dette fører til at tjenesten ikke fungerer mens angrepet pågår.

Malware
Et virus som kjører uten at du ser det og som forsøker å stjele informasjon fra datasystemer. Data kan selges videre, eller brukes for å få tilgang til enda mer data og brukerinformasjon.

Sosial manipulasjon
Sosial manipulasjon, ofte gjennom det som kalles «phishing», skjer ved at en angriper utgir seg for å være noen andre og dermed lurer til seg penger eller passord. Dette er ofte en inngang til videre angrep.

Kan få store konsekvenser

De fleste bedrifter er helt avhengig av sine digitale systemer, og et vellykket angrep kan ramme hardt. Man trenger heller ikke å være et mål for å bli et offer. Cyberangrep i dagens klima er ofte automatiserte og kan ramme hvem som helst.

Teknologilandskapet er stort og komplisert — så hvor skal man egentlig begynne?

1. Kartlegg digitale verdier og systemer

Før du gjør noe som helst mener vi det er viktig å kartlegge bedriftens mest verdifulle digitale verdier. Dette vil gi et godt utgangspunkt for hva som må prioriteres, og hvilke tiltak som bør innføres. Ting må stå i forhold. En bank trenger for eksempel ikke et hvelv rundt brosjyrene sine.

Spørsmål du bør stille deg er:

Et viktig spørsmål er også «Har vi data/tjenester som anses som samfunnskritiske?». I tilfelle kan dette medføre større sikkerhetskrav og ansvar.

Det er også viktig å kartlegge hvilke systemer som er kritiske. Hvordan påvirker det driften hvis disse hadde blitt utilgjengelig, og kan de brukes som et inngangspunkt for angripere?

Husk også å velge leverandører med omhu. Når det kommer til web- og systemutvikling har vi i Appex et stort fokus på sikkerhet og kan dokumentere hva som blir gjort i forhold til dette.

2. Ha en god strategi for sikkerhetskopiering

Dette er viktig for å minimere skadene dersom uhellet skulle være ute. Sikkerhetskopier bør tas hyppig, og lagres på annen lokasjon og nett enn der det kopieres fra. Sikkerhetskopiene bør også være krypterte dersom de skulle havne i feil hender. Sørg også for at det jevnlig foretas tilbakekopiering for å sjekke at dette fungerer.

Med sikkerhetskopi på stell er det større sjanse for å komme seg raskt opp igjen.

I Appex rådgir vi kundene våre hvordan vi kan sikre data på best mulig måte i tjenester vi leverer, og tilbyr løsninger som er tilpasset deres behov. Vi bruker Microsoft Azure når vi drifter kundeløsninger, og utnytter deres systemer for datalagring og sikkerhetskopiering.

3. Ha gode passord og to-faktor

De fleste bruker mange forskjellige tjenester i det daglige, og det kan oppleves som nesten umulig å holde styr på alle passordene. Det er også derfor mange faller for fristelsen og gjenbruker et passord som er enkelt å huske over flere tjenester.

En bedre løsning er å bruke et verktøy for å holde styr på kontoer og passord. To av de mest brukte er 1Password og LastPass. Disse verktøyene kan både opprette og huske passord til ulike tjenester for deg, slik at du bare trenger å huske ett masterpassord + to-faktor. Dette gjør hverdagen både enklere og tryggere.

Utover ulike og gode passord er det viktig å sette på to-faktor der det er mulig. To-faktor betyr at du i tillegg til passordet også må oppgi en kode som du mottar for eksempel på SMS eller i en app på telefonen. Med to-faktor aktivert er man bedre sikret dersom et passord skulle komme på avveie.

Start med å kartlegge at alle brukerkontoer i bedriften er sikret med to-faktor. Vurder deretter å ta i bruk et verktøy for å holde styr på kontoer og passord.

I Appex bruker alle ansatte et verktøy for å administrere passord. Når vi utvikler løsninger for våre kunder anbefaler vi de beste alternativene for innlogging slik at løsningen passer inn i et sikkert økosystem.

Passord på avveie er en av de vanligste årsakene til cyberangrep. Med to-faktor er du bedre sikret.

Øystein Langeland Sandvik, fagleder i Appex

4. Personalrutiner og opplæring

Du kan innføre så mange sikkerhetstiltak du bare vil, men det viktigste vil alltid være kunnskapen til de ansatte.

Opplæring i sikkerhet og trusler er derfor veldig viktig, slik at alle vet hva som skal gjøres i det daglige. Samtidig må ikke sikkerhetsrutiner være for kompliserte, men enkle nok til at ansatte faktisk følger dem.

Det er også viktig å ha gode rutiner når ansatte starter og slutter. Får du en ny ansatt er det viktig med riktig opplæring i bedriftens sikkerhetsrutiner og at det benyttes utstyr som oppfyller bedriftens sikkerhetskrav. Når et arbeidsforhold avsluttes, er det viktig å ha rutiner for å fjerne tilganger. Et nyttig tips er å dokumentere alle tilganger en ansatt skal ha slik at disse er enkle å følge opp.

Vurder også risikoen ved å arbeide på private maskiner dersom det er aktuelt. Arbeidsgiver har sjelden kontroll på ansattes private telefoner og datamaskiner, og hvis man er logget inn på jobb-kontoer kan det utgjøre en risiko. En hacket privatkonto som er brukt på arbeidsmaskin kan også føre til dataangrep.

5. Cyberforsikring

De fleste har større digitale verdier enn de tror. Derfor er det viktig å vurdere en spesifikk cyberforsikring. Hva en slik forsikring dekker vil variere, men ofte dekker den økonomiske tap som følge av dataangrep, hjelp til gjenoppbygning av datasystemer og rådgivning/hjelp til å håndtere en hendelse.

Det er ofte en forutsetning for cyberforsikringer at bedriften allerede har gjennomført andre tiltak som beskrevet i dette blogginnlegget.

I Appex anbefaler vi alle våre kunder å ha egen cyberforsikring. Vi planlegger sammen med deg hvordan våre leveranser kan oppfylle disse kravene.

6. Endepunkt sikkerhet

Et “endepunkt” defineres som en enhet som er koblet til bedriftsnettverket, og kan dermed være alt fra telefoner og datamaskiner til servere som bedriften drifter selv. Et viktig tiltak for å sikre disse enhetene er å ta i bruk noe som kalles for “Endpoint Detection and Response”-programvare, eller EDR.

Antivirus er et mer kjent begrep, og man kan godt si at EDR er som et mer avansert antivirus. Å sikre arbeidsenheter på denne måten vil gi en mye større trygghet, og vil stoppe de fleste angrep, samt stoppe spredning av uønsket programvare.

EDR kan også kombineres med en såkalt SOC-tjeneste (Security Operations Center). Dette er en tjeneste med alarmsentral som overvåker EDR-programvaren på maskinene til de ansatte, og som kan ta handlinger og varsle bedriften ved hendelser.

SOC-tjenesten kan også overvåke installerte programmer på maskiner for å passe på at ingen har installert risikabel programvare og at programmene er oppdaterte. Mange virus går spesifikt etter utdatert programvare da de ofte har kjente sårbarheter.

Det finnes mange tilbydere av EDR og SOC, og vi anbefaler derfor å ta kontakt med en leverandør av IT-sikkerhet som kan rådgi og bistå på dette området.

7. Nettverk

Det er også viktig å ta en evaluering av selve nettverket. Er utstyret låst inn slik at ikke hvem som helst kan putte en kabel i nettet? Skal gjester ha tilgang til det trådløse nettverket? I så tilfelle bør dette separeres fra nettet til de ansatte, spesielt dersom passordet henger på en lapp på veggen — noe det ofte gjør rundt omkring.

Generelt er brannmur og nettverksenheter viktig å ha kontroll på, i tillegg til å kontrollere og oppdatere jevnlig.

8. Lag en beredskapsplan

Selv med ovenstående tiltak er det ikke mulig å sikre seg hundre prosent. Så hva gjør du dersom uhellet er ute? Du iverksetter planen. Det nytter ikke å lage en plan når det skjer, den må være tenkt ut på forhånd — og kanskje til og med trent på.

En slik plan bør beskrive hvilke aksjoner som skal gjøres ved en hendelse. Dette kan inkludere å kartlegge hvilke systemer som er påvirket, hvilke data som eventuelt er på avveie, samt varsle aktuelle som er påvirket og eventuelt Datatilsynet.

En plan bør også beskrive hvem som har ansvar for hva slik at alle har definerte roller når krisen er ute. Det bør for eksempel være helt klart hvem som skal uttale seg til kunder og media.

La oss ta en prat!

Har du et prosjekt på gang? Skriv inn din e-post­adresse, så tar vi kontakt.

"*" obligatorisk felt