Feilene som faktisk kan ta knekken på bedriften din

Fordi regnskapsbedrifter sitter på mye verdifull informasjon om kundene sine, er de dessverre mer utsatt for digitale angrep enn «vanlige» selskaper. Nå blir de ansattes smarttelefoner stadig oftere mål for cyberkriminelle.

Del
ET "OH, NO"-ØYEBLIKK? Det er viktig å ta cybersikkerhet på alvor. Men skulle uhellet først være ute , er det viktig å søke profesjonell hjelp så fort som overhodet mulig! (Illustrasjonsfoto: Storyblocks.com)

For en liten bedrift er det gjerne lett å tenke at nettsikkerhet hovedsakelig er et problem for store selskaper, men sannheten er egentlig motsatt.

Mens SMB-segmentet sjelden har råd til å ha en egen sikkerhetsekspert som jobber aktivt med å holde alle bedriftens systemer oppdatert og sikret mot angrep, kan store bedrifter ha hele team som jobber døgnkontinuerlig med bare det – og i tillegg ha råd til å leie inn kostbar ekspertise. Og det er dessverre en realitet at regnskapsbedrifter er enda mer eksponert for dataangrep enn små og mellomstore bedrifter.

Én vei inn, eller mange?

– Det avhenger av hva slags angrep vi snakker om, men hvis kriminelle ved å «bryte seg inn» i én regnskapsbedrift kan skaffe enklere tilgang til data på titalls eller flere hundre bedrifter, er naturligvis det enklere enn å gå på én og én bedrift. En regnskapsbedrift kan også være en ettertraktet distributør av manipulerte fakturaer.

Amund.jpgDet sier Amund Lier, som er Produktsjef Sikkerhet i Telenor. Han legger til at uansett størrelse på bedriften som rammes, kan konsekvensene av datainnbrudd, nedetid eller krypteringsangrep være katastrofale. I enkelte tilfeller kan det sågar bety kroken på døra.

– Det å gjøre bedriften mer motstandsdyktig mot digitale trusler er ingen enkel oppgave, men alternativet er ikke egentlig noe alternativ. Dette er dessuten ikke noe det nytter å jobbe med etter skippertaksmetoden. Dersom dere venter med å starte sikkerhetsarbeidet til bedriften først er rammet, vil både kostnader og andre konsekvenser bli mangedobbelt, sier han.

Siden oktober er nasjonal sikkerhetsmåned, har Telenor den siste tiden gjennomført og deltatt på mange arrangementer hvor de har gitt råd og innspill til hvordan bedrifter og enkeltpersoner kan bli mer bevisst på IT-sikkerhet, og hvordan de kan innrette seg. Du finner et knippe av tipsene deres i faktaboksen nederst i denne saken.

Den mobile faren

De fleste av oss har nok vært vant til å forholde seg til antivirus-programmer og ulike former for sikkerhetstiltak på datamaskinen. Det aller vanligste er at jobb-PC brukes til jobb, mens vi ordner private oppgaver på vår egen, private laptop eller nettbrett. Et like skarpt skille har derimot de færreste av oss vært vant med på den bærbare datamaskinen vi går rundt med i lommen:

– På smarttelefonen er grensen mellom jobb og privat som regel mer uklar. Arbeidsoppgaver og privat nettsurfing eller app-bruk går gjerne over i hverandre, og alt gjøres på den samme enheten. Nå begynner heldigvis både arbeidsgivere og ansatte å ta på alvor at dette kan ha sikkerhetsmessige konsekvenser, sier Lier.

Jobbmobilen din er nemlig utsatt for et bredt spekter av forskjellige trusler: Det kommer støtt og stadig inn phishing-lenker via SMS eller e-post, og på små mobilskjermer kan det være vanskeligere å oppdage at en nettside er falsk – særlig hvis du er på farten og prøver å gjøre flere ting samtidig. Da hjelper det ikke med svak fysisk sikring av mobilen og dårlig «netthygiene» som gjør det enklere for uvedkommende å få tilgang til bedriftens systemer og data.

På Android-enheter kan man da risikere at skadevare som Flubot og TangleBot installeres. De gir trusselaktørene full tilgang til mobilen, og kan stjele eller dele data uten at den som bruker telefonen nødvendigvis merker det. Slik skadevare kan, på samme måte som useriøse apper, samle inn ting som for eksempel geolokasjon og brukerdata. Falske profiler eller brukerkontoer i sosiale medier kan også brukes som ledd i svindeloperasjoner.

Ikke så digitalt når det smeller

Alle dataene de cyberkriminelle samler inn, kan nemlig misbrukes. Og når det skjer, behøver ikke angrepet å være så veldig digitalt avansert som sådan – det skal ikke mye informasjon til for å gjøre det enklere for svindlere å fremstå troverdig i en telefonsamtale.

– Hvis de datakriminelle har detaljer om forhold som få utenforstående kjenner til, kan de fremstå som svært troverdige når de ringer inn med svært konkrete henvendelser. Det er dessuten ikke uvanlig at de «spoofer» kjente telefonnumre, altså får det til å fremstå som at de ringer fra et nummer du stoler på, forteller han.

Det gjelder forresten ikke bare for telefonsamtaler – selv tekstmeldinger kan komme fra spoofede numre, og de vil da legge seg i tråden sammen med andre meldinger fra folk du ikke vil mistenke for å sende deg noe muffens. Sagt med andre ord: Det gjelder å være årvåken!

Så hva bør du gjøre?

Når en bedrift ønsker å legge til rette for at de ansatte kan jobbe effektivt, er det ikke noe alternativ å ta smarttelefonene fra de ansatte – selv om konsekvensene av datainnbrudd, nedetid eller krypteringsangrep i enkelte tilfeller kan bety kroken på døra. Ei heller er det gjort i en håndvending å sikre bedriften mot digitale trusler, men det er ikke noe alternativ å la være å jobbe for å forbedre sikkerheten.

– Et godt tips er å slå på multifaktorautentisering, også kjent som totrinnspålogging og 2FA. For å kunne åpne eller logge deg på en app, vil du da trenge en kode fra SMS eller en spesiell kodegeneratorapp på telefonen. Det kan virke litt kronglete, men det sikrer at selv i tilfeller hvor noen har fått tak i passordet ditt, vil de ikke kunne logge seg på din brukerkonto uten videre, sier han.

For å sikre mot såkalt «direktørsvindel» – altså at noen ringer inn og for eksempel utgir seg for å være en direktør som krever at det blir overført eller betalt penger til en ukjent konto – kan det i noen tilfeller også være lurt å ha en avtale om at den som mottar en slik samtale ringer vedkommende opp igjen. Det vil gi større sikkerhet for at den som ringer er den hen utgir seg for å være.

– Slike forholdsregler kan kanskje virke litt paranoide, men det gir en ekstra trygghet i hverdagen. Husk at dersom bedriften er slepphendt med sikkerheten og dere havner i en situasjon hvor en samarbeidspartner blir skadelidende, så kan det føre til både omdømmetap og tapte oppdrag, sier Lier.

 

Gode tips for (mobil)sikkerhet

  • Sørg for at operativsystemet og alle apper er oppdatert med seneste versjon til enhver tid. Det kommer jevnlig sikkerhetsoppdateringer som det er viktig å installere!
  • Bruk aldri samme passord mer enn ett sted. Bruk et godt verktøy for å holde styr på alle passordene du bruker (enten det telefonen tilbyr eller en troverdig tredjepartsløsning)
  • Ta i bruk tofaktorautentisering på alle apper og tjenester som tilbyr det – og krev slik funksjonalitet der dere kan påvirke leverandører av apper som evt. mangler slik støtte.
  • Investér i – og sørg for å ha oppdaterte versjoner installert av – god antimalware (tidligere kjent som antivirus).
  • Pass også på å ta jevnlig backup av alle viktige filer. Sørg for å ha flere kopier fra ulike tidspunkter, og at ikke alle disse er koblet mot nett. Skybackup er veldig fint og praktisk, men et krypteringsangrep vil i noen tilfeller også ramme backupen – noe som gjør den verdiløs. Og da blir plutselig backupen på en ekstern harddisk veldig verdifull. Husk at det kan være verdifultt å ta backup også av data som er lagret i skyapplikasjoner og -tjenester.
  • Også bilder og videoer du tar med mobilen kan være verdifulle, så sørg for å ta backup også av disse. Noen av bedriftsabonnementene fra Telenor inkluderer datalagringstjenester som Min Sky, og disse kan utvides med mer lagringsplass dersom du trenger det.
  • Ikke overfør penger basert på telefonhenvendelser fra en kunde, i hvert fall ikke uten at du forsikrer deg om at henvendelsen er ekte – for eksempel ved å ringe vedkommende opp igjen. Jo større beløpet er og jo mer det haster, desto større grunn er det til økt årvåkenhet.
  • Nettsikkerhet er et krevende område å holde seg oppdatert på. Du kommer et stykke ved selv å være bevisst, men hvis bedriften ikke har egne IT-ansvarlige, bør dere absolutt ha noen å lene dere på i mer kompliserte spørsmål.

Og husk: Skulle uhellet først være ute, er det viktig å søke profesjonell hjelp så fort som overhodet mulig!