Regnskapsførerne er attraktive mål for cyberkriminalitet

Over 400 000 bedrifter stoler på regnskapsføreren til å håndtere sensitiv informasjon. Det gjør bransjen sårbar for dataangrep.

21. desember 2021 fryktet hele Norge at julemiddagen skulle ryke. Det utenkelige hadde skjedd. Nortura, bindeleddet mellom bøndene og butikkene, var utsatt for dataangrep. Tre dager før selveste julaften besluttet de derfor å stenge ned IT-systemene og fjerne internettilgangen for å minimere skadene av angrepet. I praksis gikk bedriften i sort.

Nortura er ikke alene om å bli utsatt for cyberkriminalitet. Det utenkelige er faktisk svært tenkelig. Norge har de siste årene opplevd en enorm økning i dataangrep. En undersøkelse utført av NHO viser at hver femte medlemsbedrift har blitt utsatt for angrep.

Mange tror at det kun er de store virksomhetene som står i faresonen. Jan Martin Kristiansen, markedsdirektør i Verji, avkrefter denne myten:

– I realiteten er små og mellomstore virksomheter mer utsatt enn de store. Årsaken er dels fordi små virksomheters IT-systemer er lettere å hacke seg inn i og dels fordi hackerne kan nå større bedrifter via småbedriftene. Sistnevnte kaller vi verdikjedeangrep, sier han.

Sikre egen bedrift, og sikre kunden samtidig

Hans Christian Ellefsen, leder for Teknologi og innovasjon i Regnskap Norge, forteller at regnskapsbedrifter opplevde dataangrep i 2021 og er opptatt av at bransjen innser at de er i skuddlinjen.

– Bransjen må forstå at den er utsatt. Regnskapsføreren behandler verdier, en mengde konfidensielle opplysninger og personopplysninger, og fremstår derfor som et attraktivt mål for kriminelle, forteller han.

Kristiansen er enig med Ellefsen; regnskapsførerne er et yndet objekt for dataangrep.

– Regnskapsførerne er attraktive mål fordi de sitter på betydelige mengder informasjon, både om ansatte og virksomhetene. Dette er informasjon som kan benyttes til ID-tyveri som kan selges på dark web, forteller han.

Regnskapsbedriftene er viktige ledd i såkalte verdikjedeangrep hvor cyberkriminelle bruker små bedrifter til å angripe store. Ved å heve sikkerheten i egen bedrift, bidrar bransjen til å beskytte seg selv og kundene – norsk næringsliv. Det imidlertid viktig at alle i kjeden tar et ansvar.

– Det handler om å få dine kontakter opp på samme sikkerhetsnivå som deg selv. Det hjelper ikke å være den eneste i verdikjeden med god sikkerhet, sier Kristiansen.

Ellefsen oppfordrer bransjen til å være åpne om angrepene. – Ved å fortelle åpent om dine erfaringer med cyberkriminalitet kan bransjen bli bedre og lære av hverandre. Det er ingen skam i å bli rammet. Hele bransjen er utsatt – store som små.

Hvordan beskytte virksomheten mot dataangrep?

Dataangrep er en av de største risikoene for virksomheter i dag. Ifølge Kristiansen kommer 91 % av alle dataangrep via epost. Han er tydelig på at det ikke handler om hvis en ansatt trykker på feil lenke i en epost, men når. Er det overhodet mulig å beskytte virksomheten mot angrep?

– Fryktelig mange stiller seg det spørsmålet. Cyberkriminalitet kan virke overveldende. Den gode nyheten er at mange av tiltakene er enkle å gjennomføre. Med litt økt kunnskap, veiledning og sjekklister kan du oppnå en betydelig heving av sikkerhetsnivået, sier Kristiansen.

–  Virksomhetenes neste steg bør være å lese seg opp på sikkerhet. Drøft det du har lært internt og vurder hvilke tiltak som er viktige for virksomheten. Lag så en handlingsplan og gjennomfør, råder han.