Den siste tiden har det florert av dataangrep mot både enkeltpersoner og bedrifter, der både Stortinget og flere kommuner har vært rammet. Nå må norske bedrifter ta IT-sikkerhet på alvor. I verste fall kan bedrifter gå over ende, bare fordi man ikke tok relativt enkel sikkerhetsgrep!
Fagdata er i front med fokus på IT-sikkerhet for norske SMB-bedrifter. I etterkant av dataangrepet mot Stortinget var Fagdata invitert i studio hos NRK Alltid Nyheter for å snakke om e-postsikkerhet. Vi vil nå gi deg noen konkrete råd for hva du kan gjøre for å unngå å bli offer for hackere.
Hvordan kan du sikre deg mot svindlere?
«Det finnes sikkerhetsystemer, både som sperrer for e-post på vei inn, men også dataene du har, type antivirusløsninger. Det er viktig å holde disse systemene oppdatert med siste software og versjoner. Så er opplæring av brukere er viktig, og også pålogging til ulike tjenester. For eksempel to-faktor er noe som man burde ha på alle systemene sine i dag».
– Sikkerhetsrådgiver i Fagdata, Tommy Nordheim Helstad i NRK Alltid Nyheter 02.09.2020
Noen viktige råd og anbefalinger til alle brukere:
Vi ser at hackerne ofte vil lure deg til å tro at de har opplysninger om deg. I e-poster kan de si at de har sensitive opplysninger, og viser til et passord du har, eller har brukt tidligere. Dette passordet stammer da som oftest fra tidligere datainnbrudd hos større aktører, hvor hackere har stjålet databaser med påloggingsinformasjon. At de faktisk har mer opplysninger om deg er lite trolig, men bytt dette passordet overalt likevel.
Det er også en del smarte måter de prøver å lure oss på, såkalt «Social Engineering». Da snakker vi om direkteangrep, hvor hackerne tilfeldigvis har gjort forundersøkelser om deg eller ditt firma. Tommy Nordheim Helstad snakker om dette i innslaget i NRK Alltid Nyheter, og bruker følgende eksempel;
En bedrift har firmafest, og bedriften eller de ansatte legger ut informasjon/bilder om denne festen på sosiale medier. Dette snappes opp av hackere, som utnytter situasjonen. De sender så en kamuflert e-post hvor de later som de er en kollega, hvor de sier «hei, her kan du finne bilder til firmafesten forrige helg» med da en falsk lenke til bildene. Trykker du da, er angrepet i gang.
Når bør alarmen gå?
Når det gjelder e-post. Tenk alltid på forholdet mellom innhold og avsender. Samsvarer det? Se nøye på selve avsenderadressen, ikke bare navnet som vises. Denne adressen kan være noe helt annet enn hva den utgir seg for. Vær skeptisk om noen i selskapet ber om det skal overføres penger til et ukjent kontonummer. Ta en telefon eller gå over gangen for å få en bekreftelse. Såkalt «Direktørsvindel» er vanligere enn man tror.
Råd og anbefalinger til IT-ansvarlig og bedriftens ledelse
Ingen bedrifter har råd til å bli hacket. Systemer kan bli satt ut av spill i en lengre periode, og data kan bli tapt eller delt. I beste fall kan det gjenskapes data fra backupen, Om man i det hele tatt får rekonstruert alle data. Det vi vet for sikkert er at det tar dyrbar tid. Å garantere seg mot hacking er umulig. Selv de største organisasjoner har lidd tap. Det er likevel enkelte små grep som vil kunne hjelpe mye på sikkerheten.
4 rimelige grep for styrke IT-sikkerheten
Dette gjelder først og fremst sikring av alle endepunkter, altså sikring av brukerne. Det er brukerne og deres maskiner som er det svakt ledd, og det er en umulig oppgave å la hver enkelt brukerne være sine egen sikkerhetsekspert i bedriften!
- Sikring av e-post
Det må settes opp en e-postsikkerhetstjeneste som sjekker alle inngående e-poster. Alle vedlegg og lenker må være kontrollert og sikkerhetsklarert FØR de kommer i brukernes postkasse. Her anbefaler vi Sodvins E-postkontroll. Den koster ca. en krone pr dag, og det er den verdt!
- En god anti-virus
Det er mange antivirusløsninger på markedet, men få som er tilpasset dagens trusselbilde. Moderne antivirusløsninger, som Sodvins morderne antivirus, overvåker hele maskinadferden. Den reagerer umiddelbart om noe mistenkelig skjer på maskinen, bryter nettforbindelsen og ruller maskinen tilbake til den stand den var før det mistenkelige inntraff. Til ca 2 kroner pr dag er dette en «must have».
- PC-administrasjon
Det er viktig for sikkerheten at brukernes maskiner er oppdatert. Utfordringen i dag er at mange overlater dette ansvaret til den ansatte. Bedriften har ingen helhetlig kontroll på firmaets maskiner. Igjen skal brukeren være sikkerhetsansvarlig. I en ordentlig PC-administrasjonsløsning, som Sodvins PC-Kontroll, sørger vi for å ha oversikten over maskinparken. Vi sørger for at alle programmer og antivirus er oppdatert. Da virker maskinen bedre, og sikkerhetshull i programvaren blir tettet. Ca 3 kroner pr dag er ingenting for å ha en maskin som er sikker.
- Sett på To-faktorautentisering!
To-faktorautentisering bør være obligatorisk. Har man ikke satt opp dette på sine sentrale tjenester, er det bare å sette i gang nå. Uansett hvor godt man sikrer huset, hjelper det ikke om noen har funnet nøkkelen til døren!
Så også si alle programvareleverandører tilbyr to-faktorautentisering på sine tjenester, og flere har det som obligatorisk. Se bare på økning av bruk av BankID for å logge på tjenester.
- Det første dere bør gjøre er å sette opp to-faktorautentisering på Microsoft-tjenestene i 365.
- Sett opp to-faktorautentisering på alle mailtjenester dere bruker, både privat og på jobb.
- Benytter dere eksterne driftstjenester som for eksempel FRONTDESK Private Cloud, er det essensielt å bruke to- eller flerfaktorautentisering. Dette er jo, for en hacker, en pålogging rett inn i skattekisten!
For et par kroner pr dag har dere også fått på plass en sikkerhetsnøkkel på døren.
Grunnleggende sikkerhet til prisen av en halv kopp kaffe!
Legger man sammen disse relativt enkle sikkerhetsløsningene har man en løsning som kan anses som tilstrekkelig, i dag. Samlet vil det koste ca. 8 kroner dagen per bruker. Det er ikke en daglig kopp kaffe engang!