Vi hører stadig vekk om cyberangrep mot store selskaper, mediehus og regjeringen. Målet til hackerne er nesten utelukkende økonomisk vinning, og gjøres av kriminelle organisasjoner som er ute etter å tjene penger.
Likevel er det vel så ofte mindre bedrifter som blir rammet av slike angrep, og konsekvensene kan være enorme.
I denne bloggartikkelen skal vi diskutere nærmere hvilke bedrifter som er utsatt for cyberangrep, hvilke konsekvenser det har å bli rammet, og hvordan din bedrift kan hindre at slike angrep skjer.
Historisk sett har mindre bedrifter vært skjermet fra hackerangrep, men de senere årene har denne trenden snudd. Nå er majoriteten av bedriftene som blir utsatt, små og mellomstore bedrifter som ofte er enklere å bryte seg inn hos.
Disse bedriftene er ofte enkle bytter - de har kanskje ikke egen IT-avdeling, for enkle rutiner eller mangler kompetanse in-house til å sikre seg mot slike angrep. Det hjelper selvfølgelig ikke at vi i Norge generelt sett er programmert med tillit til de vi driver forretning med.
For å nå inn til små og mellomstore bedrifter utfører kriminelle organisasjoner omfattende spredte angrep over tid, som ikke er målrettet mot din organisasjon. Når en ansatt i en tilfeldig bedrift biter på, får de en vei rett inn i e-post, dokumentbiblioteker og samhandlingsløsningen deres.
Når tilgangen oppnås, endres angrepet til målrettet hacking hvor de over tid følger med på kommunikasjon og plukker opp transaksjoner som er planlagt ut av bedriftskontoen. Når en transaksjon er på vei ut, kan de ubemerket endre kontonummeret til mottaker eller kontaktinformasjon, og på dette viset stjele betydelige summer.
Som nevnt i innledningen er målet med disse angrepene nesten utelukkende økonomisk. Og om ikke målet direkte er økonomisk vinning, vil det som oftest være et indirekte tap. To andre hovedmål er å sette bedriften ut av spill, og å stjele bedriftshemmeligheter. La oss se nærmere på de tre punktene:
Økonomisk tap: Cyberkriminelle organisasjoner kan trekke ut store summer fra bedriften din med metoden nevnt i forrige avsnitt. Det anslås at rundt 70% av alle cyberangrep i 2021 var økonomisk motivert. I tillegg er økonomisk tap ofte følgene for alle typer angrep, også de to neste punktene vi skal diskutere.
Sette bedriften ut av spill: I unntakstilfellene kan det være snakk om cyberkrig, hvor målet er ødeleggelse og å sette bedriften ut av spill. Disse angrepene er ofte ikke rettet spesifikt mot din bedrift, og du blir et tilfeldig offer.
Angripere sprer løsepengevirus, også kjent som ransomware. Viruset krypterer filene i systemet, og hindrer at de kan åpnes. Du blir bedt om å betale et gitt beløp for å få nøkkelen og tilgang til filene igjen.
Merk at det er sterke anbefalinger om å aldri betale i disse tilfellene. Ofte kan viruset være gammelt, hvor viruset og meldingen fortsatt er aktiv, mens nøkkelen er utdatert og ikke-fungerende. Samtidig vil angriper forstå at det ligger penger og en villighet til å betale, og du kan risikere å bli truffet igjen.
Miste bedriftens "gull": Start-ups eller andre bedrifter innen teknologi som er i utviklingsfasen av et nytt og spennende produkt, er attraktive mål for hackere som ønsker å stjele «gullet», altså informasjon, for å komme først på markedet med produktet eller tjenesten.
Som offer for denne type hackerangrep mister man ikke bare teknologien sin, men også mulig profitt ved videreutvikling og salg.
Mange tror det er avansert, dyrt og vanskelig å hindre slike angrep. Sannheten er en helt annen. Man må være klar over at for en norsk, mellomstor bedrift er det oftest tilfeldig at du rammes av et angrep, i motsetning til større bedrifter og instanser hvor angrepet oftere er målrettet.
Ved å sikre 5 punkter, som Microsoft kaller «The Security Basics», anslås det at bedriften din oppnår en beskyttelse mot 98% av cyberangrep som ikke er målrettet hacking. La oss se nærmere på disse:
Anti-Malware: På godt norsk kjent som antivirus. Sikre at dette er installert på alle enheter, og gå for betalingsversjonene. Det er også viktig å skru på eller anskaffe seg «cloud-connected antimalware» for å sørge for at du er beskyttet mot de ferskeste truslene og som dekker data og kommunikasjon på skytjenestene dine.
Least privelege access: Ha kontroll på hvem som har administratorrettigheter og utvidet endringstilgang i IT-løsningene dine. Ofte har ansatte for mye rettigheter, ansvar og tilganger på sin ordinære brukerkonto. Administratortilgang bør aldri være tilknyttet en ansatts brukerkonto. Disse vil alltid være et mål og ofte enkleste vei inn for angriper.
MFA – Multi-Factor Authentication: Dette er uten tvil det viktigste punktet, fordi måten man jobber på har endret seg. To-faktorautentisering er ikke nytt, men tidligere jobbet vi hovedsakelig på innsiden av bedriftens brannmur eller via en kryptert VPN fra en sikret PC for å jobbe mot bedriftens tjenester. I dag jobber de fleste mobilt, fra hvor som helst og på hvilken som helst enhet.
To-faktorautentisering er som regel alltid inkludert i tjenestene du har, men de er ikke nødvendigvis skrudd på fra start. Tilbyderne av løsningene du har vil ofte gjøre implementeringen av disse så enkelt som mulig av konkurransefortrinn, og velger derfor å ikke tvinge deg til å skru dem på.
Versjonsoppdateringer: Varsel om oppdateringer av operativsystemer og applikasjoner kommer ofte på upassende tidspunkt, og det er fort gjort å utsette eller avvise disse. Pass på at ansatte i din bedrift ikke går i denne fellen. Oppdateringene skjer ofte for å tette sikkerhetshull, og så fort hackerne blir oppmerksomme på slike hull vil de utnytte dette. At oppdateringene blir gjennomført automatisk kan styres sentralt – ikke legg ansvaret i hendene til hver enkelt ansatt.
Beskytte data: Ta alltid sikkerhetskopier og back-up av dataene dine. Mange tror at dette er inkludert i tjenestene du kjøper, for eksempel hos Microsoft, men det er ikke alltid tilfelle. I de tilfellene det er inkludert, vil det sjeldent dekke bedriftens krav i forhold til hvor mye datatap en tåler eller hvor lang tid en tåler å være uten/nede før bedriften lider økonomiske tap. De fleste skyleverandører og tjenester har ingen ansvar for data du oppretter eller lagrer hos dem - det er opptil kundene å sikre seg for korrupsjon, feil eller cyberangrep som ødelegger disse.
Ved å sikre at disse 5 punktene er ivaretatt legger du et veldig godt grunnlag for å stoppe de aller fleste cyberangrep som treffer små og mellomstore bedrifter i Norge.
Kombinerer du disse med å bevisstgjøre de ansatte rundt IT-sikkerhet, vil du være godt rustet. Phishing-simulering for å kartlegge hvor mange som «biter på kroken», for så å gjennomføre opplæring og opplysning om typiske svindelmetoder på e-post og telefon, har vist seg å ha god effekt.
Konsekvensene av å ikke ta sikkerheten til bedriften din på alvor kan ha enorme, økonomiske følger. Heldigvis er ikke løsningen verken avansert, kostbar eller vanskelig. Se til at de 5 «basics» er på plass, og ha kontinuerlig oppfølging av dine ansatte på IT-sikkerhet og gode vaner.
Er du usikker på hvor du skal begynne, eller ikke har oversikt over om din bedrift har kontroll på de 5 punktene, vil en sikkerhetsanalyse eller kartlegging fra din IT-partner være en smart plass å starte.