IT-sikkerhet 2021.06.07

Datasikkerhet - Dette må bedriften vite om IT-sikkerhet

Datasikkerhet og informasjonssikkerhet bør være et stort og viktig tema i bedriften.

Sikring av dine data er viktigere enn noen gang. Hvordan sørger du for å sikre din virksomhets data? Hvilke trusselbilder har du sikret deg mot?

Data- og IT-sikkerhet spiller en større rolle i dagens samfunn enn noen gang før. Hverdagen styres mer og mer av digitale løsninger og vi genererer mer data for hver dag som går. For de aller fleste virksomheter skaper dette mange muligheter, men det kan også føre med seg nye utfordringer knyttet til IT-sikkerhet.

I denne artikkelen kan du lese mer om hvorfor datasikkerhet er viktig, hvilke trusler du må være oppmerksom på og hvordan du sørger for god datasikring.

New call-to-action

Hva er datasikkerhet?

Datasikkerhet handler blant annet om å beskytte informasjon om virksomheten, forretningsdokumenter, personopplysninger og immaterielle rettigheter. Dette er informasjon som ofte lagres i dokumenter, på bærbare eller mobile enheter, flyttbare disker, servere og lignende.

For en sikker og effektiv IT-sikkerhet anbefaler vi at du følger følgende tre hovedpunkter.

 

1. Konfidensialitet

Informasjonen din må holdes konfidensiell i alle ledd av din verdikjede, inkludert lagring, kryptering og utveksling.

 

2. Integritet

Det er viktig at din informasjon ikke blir endret av uvedkommende i samme verdikjede som overnevnte punkt, samt sikring av backup, med sjekksum og lignende.

 

3. Tilgjengelighet

På tross av sikring skal informasjonen din være lett tilgjengelig. Rutinene og prosedyrer for tilgangen skal gjøres så enkelt som mulig for brukeren.

 

Er cyber security det samme som IT-sikkerhet?

Cyber security blir for eksempel ofte forvekslet med IT-sikkerhet eller informasjonssikkerhet, men er ikke dette det samme? IT-sikkerhet handler om beskyttelse av informasjon i både fysisk og digital form. Cyber security går ut på å beskytte IT-systemer og komponenter, som data, software og hardware, og den digitale infrastrukturen fra angrep.

Etter hvert som vi i stadig større grad bruker skyen, øker også behovet for cyber security som en del av datasikringen. Kriminelle aktører som ønsker tilgang til din data, vet å utnytte eventuelle sikkerhetshull i ditt nettverk. Cyber security bidrar til å tette disse hullene gjennom analyser av interne og eksterne nettverk eller systemer, der man ser etter sårbarheter i alle ledd av infrastrukturen, samt ikke-autorisert trafikk og tilganger.

 

Tre grunnpilarer for datasikkerhet

For at din data skal være sikret må de tre grunnpilarene mennesker, prosesser/rutiner og teknologi være på plass. 

 

1. Menneskelig feil og IT-sikkerhet

Det anslås at ca. 90 % av alle dataangrep er forårsaket av menneskelige feil eller oppførsel. Derfor er det viktig at alle ansatte i virksomheten har grunnleggende kunnskaper om IT- og datasikkerhet. Dette gjelder hver enkelt ansatt, ikke bare de som ar IT som sitt ansvarsområde. IT-avdelingen må imidlertid være oppdatert på nåværende trusselbilde.

For å sikre at dine ansatte ikke begår feil som kan utsette din virksomhets data og informasjon for unødvendig høy risiko er det viktig at alle har grunnleggende kunnskap om IT-sikkerhet.

Dine ansatte må være informert om at de

  • ikke må dele passord med andre
  • ikke må åpne mistenkelige e-poster
  • alltid må melde fra ved mistanke om angrep

Hvordan sikrer du at dine ansatte har denne kunnskapen? Sørg for å tilby tilstrekkelig opplæringer, send jevnlig ut e-poster med informasjon om eventuelle endringer i trusselbildet og kartlegg kunnskapsnivået på hver enkelt ansatt for å finne ut hvilken opplæring du bør prioritere til den enkelte.

 

2. Prosesser og rutiner som øker datasikkerheten

Hvilke prosesser og rutiner dere har innført for å øke virksomhetens IT-sikkerhet og forhindre dataangrep kan være avgjørende for din virksomhets konkurransedyktighet. I tillegg vil det at dine ansatte er innforstått med hvilke rutiner og prosesser de skal følge dersom de oppdager et sikkerhetsbrudd kunne utgjøre en vesentlig forskjell for din virksomhet.

For å sørge for at alle ansatte har tilstrekkelig kunnskap er det viktig at dere går gjennom disse rutinene regelmessig. Kriminelle aktører endrer sine metoder og utvikler stadig nye, mer sofistikerte måter å angripe virksomheter på. Deres egne rutiner bør derfor våre i forkant av, eller i det minste holde tritt med, denne utviklingen.

Dine ansatte må være informert om at

  • alle passord er personlige og aldri skal deles med noen
  • de ved minste mistanke om angrep eller sikkerhetsbrudd skal melde fra til IT-avdelingen
  • det finnes rutiner ved angrep og hva disse er

3. IT-sikkerhet og teknologi

Den siste av de tre grunnpilarene som må være på plass for å sikre god IT- og datasikkerhet i din virksomhet, er oppdatert og moderne teknologi. 

Den økte bruken av tingenes internett (IoT) er en av de senere årenes teknologiske nyvinninger som øker behovet for gode sikkerhetsløsninger. Det holder ikke lenger å beskytte dine data i virksomhetens lokaler med brannmurer ettersom ansatte i stor grad også benytter seg av hjemmenettverket og usikrede, offentlige nettverk når de jobber mens de er på farten,

I den forbindelse er det viktig at dere sørger for at følgende er tilstrekkelig beskyttet

  • bærbare datamaskiner og andre mobile enheter
  • stasjonære maskiner
  • alle skyplattformer
  • rutere

Dette beskytter du vet å investere i blant annet gode brannmurer, DNS-filtrering, malware-beskyttelse, antivirus-programvare og sikkerhetsløsninger for e-posttjenester.

Les: Internopplæring – Hva må alle i din bedrift kunne om datasikkerhet og dataangrep?

 

Hvordan kan du bli angrepet?

Risikoen for dataangrep blir stadig større og angrepene stadig mer avanserte. Derfor er  det viktig at IT-sikkerheten i din virksomhet til enhver tid er oppdatert. Det er også en stor fordel om alle dine ansatte kjenner til de mest vanlige angrepene de kan bli utsatt for slik at det er enklere for dem å kjenne dem igjen.

Nedenfor går vi gjennom de fire vanligste angrepsformene norske virksomheter blir utsatt for.

 

1. Phishing

Denne formen for angrep har vært brukt en god stund. Dette er ikke uten grunn. Angrepet forsøker å lure deg til å gi fra deg sensitiv og hemmelig informasjon.

Eksempler på dette kan være at du får en e-post som tilsynelatende ser ut som at den er fra banken din. Avsenderen kan for eksempel ber deg om å logge inn grunnet oppdateringer i programvaren. Du følger en link der siden du havner på er helt lik som siden til banken din. Når du derimot logger inn skjer det ikke annet enn at du har gitt fra deg informasjonen din.

For å unngå dette er det viktig at du følger med på hvem som er avsender av e-posten hver gang du får en oppfordring til å logge inn et sted. Er avsender for eksempel «Nordae»og ikke «Nordea» er du mest sannsynlig utsatt for et forsøk på angrep.

 

2. DDoS-angrep

DDoS står for distributed denial-of-service. Dette er en angrepsform som vil kunne skade bedriften din hardt, uten nevneverdig innsats fra angriperen sin side. Et DDoS-angrep går ut på at angriperen sender store mengder med trafikk til nettsiden din og på den måten overbelaster serverne. Dette kan ha store konsekvenser dersom nedetiden for nettsiden din varer over en lenger periode.

For større bedrifter anslås det at et DDoS-angrep har en gjennomsnittlig kostnad på 2 millioner dollar. For å trekke frem et skrekkeksempel: I desember 2014 ble Playstation Networks serverene utsatt for et DDoS-angrep, noe som sørget for at online funksjonen for Playstation-spillerne ble satt ut av drift. Sony hevdet senere at prislappen for angrepet var på hele 35 millioner dollar.

Les: De 7 vanligste sikkerhets-tabbene bedrifter gjør

 

3. Malware

Malware er en fellesbetegnelse for filer eller programmer som har som formål å gjøre skade. Trojanske hester, virus, ormer og spyware regnes som ulike former for malware.

Et datavirus er en skadelig kode som gjerne kommer seg inn i dataen på en måte som ikke blir oppdaget. På samme måte som et vanlig virus i kroppen vår, vil dataviruset duplisere seg og spre seg til andre datamaskiner på nettverket. Dette gjøres gjerne ved å feste seg til filer som blir delt.

En trojansk hest har sitt navn fra den greske mytologien. De kamuflerer seg gjerne som en programvare som utfører skadelige aktiviteter når det blir åpnet.

Ormer kan minne om virus, men er gjerne hakket mer sofistikerte. De trenger blant annet ikke å feste seg til en fil for å spre seg videre til andre datamaskiner eller enheter på nettverket.

Spyware installerer seg på datamaskinen, overvåker aktiviteten og samler inn personlig informasjon, som blir sendt tilbake til «avsenderen.»

 

4. Løspengevirus

Dette er en av formene for dataangrepene som har vokst raskest de siste årene. Løsepengevirus fungerer på den måten at viruset låser alle filene på datamaskinene og tar dem som gissel med en oppfordring om at offeret må betale løsepenger for å fjerne krypteringen på filene.

Du har kanskje hørt om løspengeviruset WannaCry som herjet i 2017? Det spekuleres i at WannaCry forårsaket skader for så mye som 1,5-4 milliarder dollar, på verdensbasis.

Konsekvensene av dataangrep

Det å blir utsett for dataangrep kan koste virksomheten mye penger. Derfor er alle godt tjent på å ha gode systemer og rutiner IT-sikkerhet.

I tillegg til at dataangrep kan bli svært kostbart eller føre til store tap i inntekt, kan det også føre til at virksomheten ikke lenger overholder GDPR og personvernlovgivningen. De aller fleste virksomheter sitter på store menger sensitiv og personlig informasjon om sine ansatte, kunder og samarbeidspartnere. 

Ved et brudd på datasikkerheten har du, ifølge Datatilsynets retningslinjer, 72 timer på å melde fra om dette til myndighetene. Overholdes ikke disse retningslinjene kan virksomheten stå i fare for å måtte betale store summer i bøter. Men viktigst av alt er det at slike sikkerhetsbrudd kan føre til tapt tillit hos dine kunder og samarbeidspartnere. Dette kan i verste fall føre til kundefrafall og tapt posisjon i markedet.

Andre konsekvenser av slike sikkerhetsbrudd kan være at den daglige driften kan bli hindret eller satt helt ut av spill. Dette vil ha store økonomiske konsekvenser for de fleste virksomheter. Det samme gjelder angrep som treffer kritiske kjernesystemer. Dette kan bety mye for deres posisjon i markedet og i verste fall stoppe opp deler av potensielle kundestrømmer.

Les: Er vi nordmenn for naive når det gjelder datasikkerhet?

 

Slik opprettholder du IT-sikkerheten og sørger for god datasikring

Noe av det viktigste du kan gjøre er å sørge for at de tre tidligere nevnte grunnpilarene stadig holdes oppdatert. Dette vil være med på å bidra til bedre IT-sikkerhet.

Vi har i tillegg flere gode råd til deg som ønsker å forbedre data- og IT-sikkerheten i din virksomhet.

 

Våre råd til datasikkerhet

  • Tren opp de ansatte i prinsippene som ligger til grunn for datasikkerhet. 

  • Opprett gode rutiner rundt deres digitale infrastruktur og informasjonssikkerhet.

  • Sørg for at teknologien for datasikring er oppdatert. Dette gjelder alt fra programvare og nettlesere til datamaskiner og mobiltelefoner.

  • Analyser og vurder risiko kontinuerlig. Finn ut hvilken data som er viktig å beskytte og kartlegg potensielle konsekvenser dersom disse kommer på avveie.

  • Sørg for at informasjonssikkerheten er en del av deres IT-infrastruktur.

  • Sørg for en trygg og sikker løsning som sikrer informasjonssikkerheten i deres skyplattform.

  • Ha en trygg og sikker brannmur som sikrer deres nettverk.

  • Ha gode rutiner for bytte av passord. Dette bør gjøres med jevne mellomrom. Det bør også være restriksjoner mot enkle passord, samt krav til minimum én stor bokstav og et tall eller tegn i passordet.

  • Opprett gode rutiner for backup av viktig data og informasjon. Det er viktig å ha backup av data som ellers kan gå tapt dersom dere utsettes for angrep.

  • Innfør rutiner for hvem som har tilgang til hvilken data og informasjon og hvem som har autoritet til å installere applikasjoner.

  • Gjennomfør sårbarhetstester og penetrasjonstester for å finne ut hvor utsatt dere kan være for angrep.

  • Sørg for at dere har de riktige sertifiseringene. ISO 27001 er en standard innen informasjonssikkerhet. Sertifisering blir gjort av et uavhengig sertifiseringsorgan som viser at du har iverksatt nødvendige tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer.

Les: De 4 mest effektive tiltakene for å stoppe dataangrep

 

Vi håper at denne artikkelen har vært til stor hjelp og at den i tillegg har gitt deg et tydelig bilde av hva IT- og datasikkerhet her, hvorfor det er viktig, hvilke trusler du må være oppmerksom på og hvordan du sørger for god datasikring.

Under her kan du få tilsendt vårt webinar "Hvordan beskytte infrastruktur og kritiske systemer". I webinaret tar vi opp hvilke angrepsmetodikker som er økende og hvilke anbefalte tiltak alle virksomheter bør innføre for å være best mulig rustet.

 

Ofte stilte spørsmål:

 

Hva er datasikkerhet?

Datasikkerhet handler om å beskytte viktig og sensitiv informasjon om virksomheten, deres ansatte, kunder og samarbeidspartnere, i tillegg til forretningsdokumenter, personopplysninger og immaterielle rettigheter.

Hvorfor er datasikkerhet viktig?

Dataangrep kan føre til store utgifter og tap av inntekter for virksomheten. Det kan i tillegg føre til at kunder og samarbeidspartnere mister tillit til deg som virksomhet og at dere bryter GDPR- og personvernlovgivningen. God datasikkerhet er viktig for alle virksomheter.

Hvordan ivaretar jeg IT-sikkerheten i min virksomhet?

Du ivaretar IT-sikkerheten i din virksomhet ved å ivareta følgende tre grunnpilarer: mennesket, prosesser/rutiner og teknologiske løsninger. Dersom alle disse er ivaretatt har du et godt grunnlag for god IT-sikkerhet.

Hvilke dataangrep kan min virksomhet utsettes for?

De vanligste dataangrepene norske virksomheter utsettes for er phishing, DDoS-angrep, malware og løsepengevirus.

Hvordan vet jeg om IT-sikkerheten i min virksomhet er god nok?

Du vet om IT-sikkerheten i din virksomhet er god nok dersom du stadig gjennomgår rutiner og prosesser. Disse må alltid være oppdaterte og i tråd med den teknologiske utviklingen.

New call-to-action

Relaterte artikler