<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2221218534838124&amp;ev=PageView&amp;noscript=1">

Alt du må vite om datasikkerhet for små og mellomstore bedrifter

Illustrasjon av en laptop, datasikkerhet for bedrifter

Digitaliseringen av Norge er i full gang, og er allerede gammelt nytt for mange. Selv små, tradisjonelt sett veldig analoge bedrifter, som frisører eller skobutikker, har deler av sine viktigste verdier på nett – som kundehistorikk eller betalingssystemer.

Likevel er det mange som velger å se gjennom fingrene på farene som introduseres når bedrifter kobles opp til internett. Det er rett og slett en del naivitet ute og går, og det går dobbelt for oss i Norge, som generelt sett stoler på hverandre. Det kan du banne på at det finnes kriminelle som vet å utnytte.

Skal du holde bedriften din trygg, er du nødt til også å forholde deg til truslene du ikke kan se. Dessverre er datakriminalitet av natur en ganske abstrakt trussel, og veldig mange tar først nødvendige grep etter at katastrofen er et faktum. Da er det strengt tatt for sent.

 

Datakriminalitet mot bedrifter – slik ser trusselbildet ut

Skal du ha noe håp om å forholde deg til truslene på nett, er det en god idé å lære mer om hva som faktisk kan ramme deg.

Datakriminalitet utvikler seg i takt med teknologien, og etter hvert som teknologien vår blir mer avansert, finner dermed de kriminelle nye måter å bruke den til sine formål. De opererer faktisk som organiserte, kriminelle organisasjoner, med fokus på å få mest mulig penger igjen for minst mulig kostnad. Det betyr ofte høy grad av automasjon, som i masseutsendelser av phishing-e-post.

intellisec-veier-til-rom

Du er sikkert også kjent med ransomware-angrep, der data krypteres i håp om at bedriften skal betale løsepenger for å få dekrypteringsnøkkelen. Ofte skjer det at bedriftene betaler, og likevel uteblir nøkkelen. De kan til og med presses for enda mer penger etter å ha vist seg villige til å betale. Rådet fra Kripos er å aldri betale, uansett.

Legger du eller ansatte ofte igjen innloggingsinformasjon, gjenbruker passord, eller fyller ut kredittkortinformasjon på nett, er det også enkle måter for kriminelle å stjele den informasjonen. Bare det å lagre passordet i nettleseren er en enorm sikkerhetsrisiko, siden moderne nettlesere lar den informasjonen i praksis stå åpen. Ligger viktig data i skyen bak et passord, skal det ikke mer til for uvedkommende å få adgang til den.

Hvor utsatt er SMB for datakriminalitet?

En vanlig feiloppfatning er at små og mellomstore bedrifter ikke er like utsatt for datakriminalitet. Det er kanskje ikke så rart, i og med at det hovedsakelig er store bedrifter som får oppslag i media. Dessuten er det vanskelig å se for seg hvordan organiserte kriminelle nettverk i utlandet skal finne frem til en norsk bedrift på 10–50 ansatte.

Det viser dessverre en naiv undervurdering av hvor bredt nett datakriminelle kaster ut, og hvor mye de kan finne fram til på internett. Gjennom automasjonsverktøy kan de angripe enorme mengder med bedrifter og privatpersoner på én gang. Da er det ofte de minste, som har tatt færrest forholdsregler rundt datasikkerhet, som rammes hardest.

Nesten 50 prosent av dataangrep mot bedrifter rammer nemlig SMB.

Daglig leders ansvar for datasikkerhet intellisec-5trusler-annonse-ransomware-v3

Selv om du har en IT-sjef eller IT-avdeling, er det likevel en forskjell på datasikkerhet og data-drift. Det er en grunn til at CISO (chief information security officer) og CIO (chief information officer) er to forskjellige roller. 

Til syvende og sist er datasikkerheten daglig leders ansvar, i og med at det er daglig leder som må svare for økonomiske eller omdømmemessige konsekvenser av datakriminalitet. Derfor er det viktig at du tar den rollen alvorlig. Du vil ikke stå igjen og måtte svare at du aldri tok noen grep for datasikkerheten.

Det første daglig leder må gjøre er å kartlegge hvilke verdier bedriften har digitalt, om det så er lokalt på maskinene eller i skyen, og deretter avgjøre hva som vil skje om disse forsvinner eller lekker ut. Vi kaller dette en ROS-analyse (Risiko og sårbarhets-analyse), og du kan laste ned en gratis sjekkliste for å hjelpe deg her.

Ved å vite hvilke digitale verdier bedriften din er avhengig av, er det lettere å avdekke hva slags risiko du løper med dagens sikkerhetsnivå.

Hva er konsekvensene av dataangrep mot bedrifter?

Vi kan dele inn konsekvensene av dataangrep mot bedrifter i fire kategorier:

  • Økonomiske konsekvenser – Direkte tyveri av penger, utpressing, eller indirekte tap som følge av nedetid. GDPR-bøter kan også bli et problem om persondata lekker ut.

  • Operasjonelle konsekvenser – Dersom du er avhengig av digitale systemer, vil du få problemer med å gjennomføre arbeidet om du mister tilgang til disse. Det kan fort være snakk om flere dager med nedetid.

  • Data-konsekvenser – Kryptert eller tapt data kan skape store problemer om dere for eksempel mister alle e-postlistene deres, kundedata eller budsjetter og regnskap.

  • Omdømmekonsekvenser – Om persondata lekker ut, eller det kommer for en dag at dere ikke har tatt datasikkerhet på alvor etter et angrep, kan det føre til anstrengte forhold til samarbeidspartnere og tapte kundeforhold.

Ofte er det snakk om alle disse fire på én gang. Om ikke du har noen form for overvåkning eller logging på plass fra før, er det nesten umulig å spore de skyldige. Det betyr at de aller fleste datakriminalitets-saker blir henlagt, og pengene er borte for godt.

New call-to-action

Outsourcing – datasikkerhet som en tjeneste

Når det gjelder de teknologiske utfordringene, kan det være litt verre. Forhåpentligvis har du allerede brannmur og antivirus installert (hvis ikke – kast deg rundt og gjør det nå). Likevel er det ikke nok for å henge med på utviklingen, ettersom angriperne hele tiden leter etter nye sårbarheter å utnytte.

Skal du være trygg mot dataangrep i 2020, må noen faktisk ha det som jobb å oppdatere og monitorere enheter, nettverk og trussel-feed. Samtidig sier det seg selv at dette er en sjelden luksus for andre enn de største selskapene. Derfor er det også mange mindre bedrifter som kaster inn håndkleet, og heller krysser fingrene for at de har hellet på sin side.

Dette er grunnen til at vi lanserte Intellisec. Ved å levere datasikkerhet som en tjeneste til mange bedrifter på én gang, der mye automatiseres, og annet overvåkes av et team profesjonelle, blir det økonomisk overkommelig for alle. Det lar deg outsource datasikkerheten til proffer som har det som kjerneoppgave, slik at du kan fokusere på bedriften din.

Det betyr at du får samme sikkerhet som de største aktørene, uten å betale i dyre dommer for det. Kombinert med en god sikkerhetskultur blant ansatte og ledelse, kan du føle deg trygg på at verdiene dine er ivaretatt, enten de er fysisk på kontoret eller på nett.

Last ned som PDF

Prøv Intellisec

Vi vil gjerne la deg prøve en av sikkerhetstjenestene fra Data Equipment.

Prøv Managed Endpoint Protection, Managed Email Protection eller Managed Vulnerability Scanning

Det krever ingen teknisk kompetanse for å komme i gang med Intellisec.  

Prøv her!

“Størrelsen på bedriften burde ikke avgjøre om du har råd til å beskytte den eller ikke, særlig når små bedrifter er like utsatt som de store. Intellisec gir full dekning for alle bedrifter, enten de har 50 eller 2000 ansatte.”

– Gøran Tømte, CISO, Data Equipment