Datasikkerhet - dette må bedriften vite om IT-sikkerhet

Men hva er kjennetegner egentlig god datasikkerhet og hvordan sørger du for at din bedrift er trygg? Hvilke trusselbilder er det viktig at du sikrer deg mot? I denne artikkelen kan du lese mer om hvorfor datasikkerhet er viktig, hvilke trusler du må være oppmerksom på og hvordan du sørger for god datasikring.

Data- og IT-sikkerhet spiller en større rolle i dagens samfunn enn noen gang før. Hverdagen styres mer og mer av digitale løsninger og vi genererer mer data for hver dag som går. For de aller fleste virksomheter skaper dette mange muligheter, men det kan også føre med seg nye utfordringer knyttet til IT-sikkerhet.

Hva er datasikkerhet?

Datasikkerhet handler blant annet om å beskytte informasjon om virksomheten, forretningsdokumenter, personopplysninger og immaterielle rettigheter. Dette er informasjon som ofte lagres i dokumenter, på bærbare eller mobile enheter, flyttbare disker, servere og lignende.

Begrepet datasikkerhet brukes som en samlebetegnelse på alt som har med IT-sikkerhet å gjøre. Det vil si at det omfatter alt fra informasjonssikkerhet til IT-/IKT-sikkerhet, cybersikkerhet og lignende. Det er imidlertid noen forskjeller mellom de ulike begrepene ettersom noen metoder beskytter informasjon, mens andre beskytter infrastruktur.

Hva er forskjellen på cybersikkerhet og informasjonssikkerhet?

Cybersikkerhet, eller cyber security, blir ofte forvekslet med IT-sikkerhet eller informasjonssikkerhet, selv om begrepene beskriver to ulike former for sikkerhet. Informasjonssikkerhet handler om å beskytte både fysisk og digital informasjon. Cybersikkerhet handler om å beskytte IT-systemer og komponenter – data/informasjon, den digitale infrastrukturen, programvare og maskinvare – fra angrep.

Etter hvert som vi i stadig større grad bruker skyen, øker også behovet for cyber security som en del av datasikringen. Kriminelle aktører som ønsker tilgang til din data vet å utnytte eventuelle sikkerhetshull i ditt nettverk. Cybersikkerhet bidrar til å tette disse hullene gjennom analyser av interne og eksterne nettverk eller systemer, hvor man ser etter sårbarheter i alle ledd av infrastrukturen, samt ikke-autorisert trafikk og tilganger.

Tre prinsipper for god datasikkerhet

For å forstå hva datasikkerhet er, er det viktig å forstå hvilke prinsipper som ligger til grunn for god sikkerhet. Disse prinsippene danner et viktig fundament og er aktuelle for alle bedrifter, organisasjoner og virksomheter. 

1. Konfidensialitet
2. Integritet
3. Tilgjengeliget

Til sammen danner disse tre prinsippene IT-sikkerhetsbegrepet KIT. Nå skal vi gå nærmere inn på hva disse prinsippene betyr og hvordan du sørger for at de er gjeldende i din bedrift.

1. Konfidensialitet

Prinsippet om konfidensialitet handler om at informasjonen din må skjules for uvedkommende i alle ledd av din verdikjede. Du skal aldri anta at informasjon eller infrastuktur er trygg hvis den er tilgjengelig for andre. Derfor må all informasjon lagres på en trygg måte og krypteres om nødvendig. Det er også viktig at all informasjonsutveksling gjøres under kontrollerte forhold.

2. Integritet

Prinsippet om integritet handler om at du må ha kontroll på at informasjonen din ikke kan endres av uvedkommende. Dette gjelder også i hele verdikjeden. Du oppnår integritet hvis du hindrer personer uten tillatelse fra å endre hvordan informasjon lagres eller sendes, gjennom for eksempel kryptering, signering og autentisering.

3. Tilgjengelighet

Prinsippet om tilgjengelighet handler om at informasjonen din alltid skal være tilgjengelig for deg og de som skal ha tilgang på den. Dette prinsippet kan trues av hackere som låser informasjonen din, brukere som klikker på en mistenkelig lenke eller program- og/eller maskinvare som feiler eller er nede.

Datasikkerhethet for bedrifter

Å sikre privat informasjon er én ting. Det å sørge for god datasikkerhet, både informasjonssikkerhet og cybersikkerhet, i en bedrift er mer omfattende. Grunnen til det er at bedrifter ofte er mer utsatt for store hacker-angrep og fordi det er mange brukere som er inne i systemene og dermed kan gjøre feil.

Derfor har vi definert tre grunnpilarer vi mener alle bedrifter må ha på plass for å sikre god datasikkerhet. Disse tre pilarene er:

1. Opplæring av brukere
2. Prosesser og rutiner
3. Teknologi

La oss gå nærmere inn på og uttype disse tre pilarene.

1. Opplæring av brukere

Det anslås at ca. 90 % av alle dataangrep er forårsaket av menneskelige feil eller oppførsel. Derfor er det viktig at alle ansatte i virksomheten har grunnleggende kunnskaper om IT- og datasikkerhet. Dette gjelder hver enkelt ansatt, ikke bare de som ar IT som sitt ansvarsområde. IT-avdelingen må imidlertid være oppdatert på nåværende trusselbilde.

For å sikre at dine ansatte ikke begår feil som kan utsette din virksomhets data og informasjon for unødvendig høy risiko er det viktig at alle har grunnleggende kunnskap om IT-sikkerhet.

Dine ansatte må være informert om at de

• ikke må dele passord med andre
• ikke må åpne mistenkelige e-poster
• alltid må melde fra ved mistanke om angrep

Hvordan sikrer du at dine ansatte har denne kunnskapen? Sørg for å tilby tilstrekkelig opplæringer, send jevnlig ut e-poster med informasjon om eventuelle endringer i trusselbildet og kartlegg kunnskapsnivået på hver enkelt ansatt for å finne ut hvilken opplæring du bør prioritere til den enkelte.

2. Prosesser og rutiner

Hvilke prosesser og rutiner dere har innført for å øke virksomhetens IT-sikkerhet og forhindre dataangrep kan være avgjørende for din virksomhets konkurransedyktighet. I tillegg vil det at dine ansatte er innforstått med hvilke rutiner og prosesser de skal følge dersom de oppdager et sikkerhetsbrudd kunne utgjøre en vesentlig forskjell for din virksomhet.

For å sørge for at alle ansatte har tilstrekkelig kunnskap er det viktig at dere går gjennom disse rutinene regelmessig. Kriminelle aktører endrer sine metoder og utvikler stadig nye, mer sofistikerte måter å angripe virksomheter på. Deres egne rutiner bør derfor våre i forkant av, eller i det minste holde tritt med, denne utviklingen.

Dine ansatte må være informert om at

• alle passord er personlige og aldri skal deles med noen
• de ved minste mistanke om angrep eller sikkerhetsbrudd skal melde fra til IT-avdelingen
• det finnes rutiner ved angrep og hva disse er

3. Teknologi

Den siste av de tre grunnpilarene som må være på plass for å sikre god IT- og datasikkerhet i din virksomhet, er oppdatert og moderne teknologi. 

Den økte bruken av tingenes internett (IoT) er en av de senere årenes teknologiske nyvinninger som øker behovet for gode sikkerhetsløsninger. Det holder ikke lenger å beskytte dine data i virksomhetens lokaler med brannmurer ettersom ansatte i stor grad også benytter seg av hjemmenettverket og usikrede, offentlige nettverk når de jobber mens de er på farten.

I den forbindelse er det viktig at dere sørger for at følgende er tilstrekkelig beskyttet

• bærbare datamaskiner og andre mobile enheter
• stasjonære maskiner
• alle skyplattformer
• rutere

Dette beskytter du vet å investere i blant annet gode brannmurer, DNS-filtrering, malware-beskyttelse, antivirus-programvare og sikkerhetsløsninger for e-posttjenester.

Les: Internopplæring – Hva må alle i din bedrift kunne om datasikkerhet og dataangrep?

Hvordan kan du bli angrepet?

Risikoen for dataangrep blir stadig større og angrepene stadig mer avanserte. Derfor er  det viktig at IT-sikkerheten i din virksomhet til enhver tid er oppdatert. Det er også en stor fordel om alle dine ansatte kjenner til de mest vanlige angrepene de kan bli utsatt for slik at det er enklere for dem å kjenne dem igjen.

Nedenfor går vi gjennom de fire vanligste angrepsformene norske virksomheter blir utsatt for.

1. Phishing

Denne formen for angrep har vært brukt en god stund. Dette er ikke uten grunn. Angrepet forsøker å lure deg til å gi fra deg sensitiv og hemmelig informasjon.

Eksempler på dette kan være at du får en e-post som tilsynelatende ser ut som at den er fra banken din. Avsenderen kan for eksempel ber deg om å logge inn grunnet oppdateringer i programvaren. Du følger en link der siden du havner på er helt lik som siden til banken din. Når du derimot logger inn skjer det ikke annet enn at du har gitt fra deg informasjonen din.

For å unngå dette er det viktig at du følger med på hvem som er avsender av e-posten hver gang du får en oppfordring til å logge inn et sted. Er avsender for eksempel «Nordae»og ikke «Nordea» er du mest sannsynlig utsatt for et forsøk på angrep.

2. DDoS-angrep

DDoS står for distributed denial-of-service. Dette er en angrepsform som vil kunne skade bedriften din hardt, uten nevneverdig innsats fra angriperen sin side. Et DDoS-angrep går ut på at angriperen sender store mengder med trafikk til nettsiden din og på den måten overbelaster serverne. Dette kan ha store konsekvenser dersom nedetiden for nettsiden din varer over en lenger periode.

For større bedrifter anslås det at et DDoS-angrep har en gjennomsnittlig kostnad på 2 millioner dollar. For å trekke frem et skrekkeksempel: I desember 2014 ble Playstation Networks serverene utsatt for et DDoS-angrep, noe som sørget for at online funksjonen for Playstation-spillerne ble satt ut av drift. Sony hevdet senere at prislappen for angrepet var på hele 35 millioner dollar.

Les: De 7 vanligste sikkerhetstabbene bedrifter gjør

3. Malware

Malware er en fellesbetegnelse for filer eller programmer som har som formål å gjøre skade. Trojanske hester, virus, ormer og spyware regnes som ulike former for malware.

Et datavirus er en skadelig kode som gjerne kommer seg inn i dataen på en måte som ikke blir oppdaget. På samme måte som et vanlig virus i kroppen vår, vil dataviruset duplisere seg og spre seg til andre datamaskiner på nettverket. Dette gjøres gjerne ved å feste seg til filer som blir delt.

En trojansk hest har sitt navn fra den greske mytologien. De kamuflerer seg gjerne som en programvare som utfører skadelige aktiviteter når det blir åpnet.

Ormer kan minne om virus, men er gjerne hakket mer sofistikerte. De trenger blant annet ikke å feste seg til en fil for å spre seg videre til andre datamaskiner eller enheter på nettverket.

Spyware installerer seg på datamaskinen, overvåker aktiviteten og samler inn personlig informasjon, som blir sendt tilbake til «avsenderen.»

4. Løspengevirus

Dette er en av formene for dataangrepene som har vokst raskest de siste årene. Løsepengevirus fungerer på den måten at viruset låser alle filene på datamaskinene og tar dem som gissel med en oppfordring om at offeret må betale løsepenger for å fjerne krypteringen på filene.

Du har kanskje hørt om løspengeviruset WannaCry som herjet i 2017? Det spekuleres i at WannaCry forårsaket skader for så mye som 1,5-4 milliarder dollar, på verdensbasis.

Konsekvensene av dataangrep

Det å blir utsett for dataangrep kan koste virksomheten mye penger. Derfor er alle godt tjent på å ha gode systemer og rutiner IT-sikkerhet.

I tillegg til at dataangrep kan bli svært kostbart eller føre til store tap i inntekt, kan det også føre til at virksomheten ikke lenger overholder GDPR og personvernlovgivningen. De aller fleste virksomheter sitter på store menger sensitiv og personlig informasjon om sine ansatte, kunder og samarbeidspartnere. 

Ved et brudd på datasikkerheten har du, ifølge Datatilsynets retningslinjer, 72 timer på å melde fra om dette til myndighetene. Overholdes ikke disse retningslinjene kan virksomheten stå i fare for å måtte betale store summer i bøter. Men viktigst av alt er det at slike sikkerhetsbrudd kan føre til tapt tillit hos dine kunder og samarbeidspartnere. Dette kan i verste fall føre til kundefrafall og tapt posisjon i markedet.

Andre konsekvenser av slike sikkerhetsbrudd kan være at den daglige driften kan bli hindret eller satt helt ut av spill. Dette vil ha store økonomiske konsekvenser for de fleste virksomheter. Det samme gjelder angrep som treffer kritiske kjernesystemer. Dette kan bety mye for deres posisjon i markedet og i verste fall stoppe opp deler av potensielle kundestrømmer.

Les: Er vi nordmenn for naive når det gjelder datasikkerhet?

Slik opprettholder du IT-sikkerheten og sørger for god datasikring

Noe av det viktigste du kan gjøre er å sørge for at de tre tidligere nevnte grunnpilarene stadig holdes oppdatert. Dette vil være med på å bidra til bedre IT-sikkerhet.

Vi har i tillegg flere gode råd til deg som ønsker å forbedre data- og IT-sikkerheten i din virksomhet.

Våre råd til datasikkerhet

• Tren opp de ansatte i prinsippene som ligger til grunn for datasikkerhet. 
  
  
• Opprett gode rutiner rundt deres digitale infrastruktur og informasjonssikkerhet.
  
  
• Sørg for at teknologien for datasikring er oppdatert. Dette gjelder alt fra programvare og nettlesere til datamaskiner og mobiltelefoner.
  
  
• Analyser og vurder risiko kontinuerlig. Finn ut hvilken data som er viktig å beskytte og kartlegg potensielle konsekvenser dersom disse kommer på avveie.
  
  
• Sørg for at informasjonssikkerheten er en del av deres IT-infrastruktur.
  
  
• Sørg for en trygg og sikker løsning som sikrer informasjonssikkerheten i deres skyplattform.
  
  
• Ha en trygg og sikker brannmur som sikrer deres nettverk.
  
  
• Ha gode rutiner for bytte av passord. Dette bør gjøres med jevne mellomrom. Det bør også være restriksjoner mot enkle passord, samt krav til minimum én stor bokstav og et tall eller tegn i passordet.
  
  
• Opprett gode rutiner for backup av viktig data og informasjon. Det er viktig å ha backup av data som ellers kan gå tapt dersom dere utsettes for angrep.
  
  
• Innfør rutiner for hvem som har tilgang til hvilken data og informasjon og hvem som har autoritet til å installere applikasjoner.
  
  
• Gjennomfør sårbarhetstester og penetrasjonstester for å finne ut hvor utsatt dere kan være for angrep.
  
  
• Sørg for at dere har de riktige sertifiseringene. ISO 27001 er en standard innen informasjonssikkerhet. Sertifisering blir gjort av et uavhengig sertifiseringsorgan som viser at du har iverksatt nødvendige tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer.

Les: De 4 mest effektive tiltakene for å stoppe dataangrep

Vi håper at denne artikkelen har vært til stor hjelp og at den i tillegg har gitt deg et tydelig bilde av hva IT- og datasikkerhet her, hvorfor det er viktig, hvilke trusler du må være oppmerksom på og hvordan du sørger for god datasikring.

Under her kan du få tilsendt vårt webinar "Hvordan beskytte infrastruktur og kritiske systemer". I webinaret tar vi opp hvilke angrepsmetodikker som er økende og hvilke anbefalte tiltak alle virksomheter bør innføre for å være best mulig rustet.

Ofte stilte spørsmål:

Hva er datasikkerhet?

Datasikkerhet handler om å beskytte viktig og sensitiv informasjon om virksomheten, deres ansatte, kunder og samarbeidspartnere, i tillegg til forretningsdokumenter, personopplysninger og immaterielle rettigheter.

Hvorfor er datasikkerhet viktig?

Dataangrep kan føre til store utgifter og tap av inntekter for virksomheten. Det kan i tillegg føre til at kunder og samarbeidspartnere mister tillit til deg som virksomhet og at dere bryter GDPR- og personvernlovgivningen. God datasikkerhet er viktig for alle virksomheter.

Hvordan ivaretar jeg IT-sikkerheten i min virksomhet?

Du ivaretar IT-sikkerheten i din virksomhet ved å ivareta følgende tre grunnpilarer: mennesket, prosesser/rutiner og teknologiske løsninger. Dersom alle disse er ivaretatt har du et godt grunnlag for god IT-sikkerhet.

Hvilke dataangrep kan min virksomhet utsettes for?

De vanligste dataangrepene norske virksomheter utsettes for er phishing, DDoS-angrep, malware og løsepengevirus.

Hvordan vet jeg om IT-sikkerheten i min virksomhet er god nok?

Du vet om IT-sikkerheten i din virksomhet er god nok dersom du stadig gjennomgår rutiner og prosesser. Disse må alltid være oppdaterte og i tråd med den teknologiske utviklingen.