IT-sikkerheten er truet på arbeidsplassen

Borte i hjørnet sitter Line og surfer på sin private Facebook-profil, Espen spiller nettpoker og har utforsket det mørke nettet, Ann-Helen åpnet nettopp en litt mistenkelig epost og Mathias har vært innom en rekke heller tvilsomme og lettkledde nettsider den siste tiden. Alt dette gjør de fra PC-ene de bruker på jobben. Det er liten tvil om at du som sitter med IT-ansvaret i bedriften har en jobb å gjøre.

Når de ansatte i tillegg ukritisk har takket ja til alle slags GDPR-eposter som har ramlet inn på jobbmailen og i den private eposten de siste månedene så er det liten tvil om at dine bedriftshemmeligheter og informasjon du helst skulle sett ikke forsvant ut av huset, kan bli angrepet. Hvordan kan du best beskytte deg mot angrep og sikre de verdiene bedriften vil verne om?

Dataangrepet starter i epostboksen

I en undersøkelse utført av BDO hvor 1500 norske ledere i offentlig og privat sektor ble spurt hva de fryktet mest var svaret: Dataangrep.

Over 90 % av alle dataangrep starter i epostboksen. De færreste epostprogrammer makter å luke ut alle slags trusler og dermed havner de falske epostene hos hver enkelt ansatt. Det er ikke alltid de klarer å skille ut de troverdige fra de farlige.

Det viser seg at de fleste norske bedrifter først tenker på digital sikkerhet etter at de har blitt svindlet eller serveren er angrepet. 25 % av norske bedrifter opplever en eller annen form for cyberangrep i løpet av året, så du er godtroende om du tenker at dette ikke skjer med ditt firma.

NorSIS som er en del av regjeringens satsing på informasjonssikkerhet i Norge, har laget denne artikkelen som peker på fem tegn på at din bedrift er sårbar for cyberagrep. De peker blant annet på:

  • Du har ingen plan for hva som er sensitive opplysninger på bedriftens servere
  • De ansatte er ikke godt nok forberedt på de vanligste digitale risikoene som for eksempel å klikke på farlige linker
  • Det finnes ingen rutiner for sletting av gammelt datautstyr eller mobiltelefoner
  • Både ledelse og ansatte kan for lite om de nye personvernreglene – kjent som GDPR. På denne siden hos Datatilsynet kan du lese om noe av det som er nytt.

Med disse tiltakene blir du tryggere

Hvordan kan du da være føre var og sikre deg mot angrep. Du blir nok aldri helt trygg, men dette er våre tips til hva du kan og bør gjøre om du sitter med ansvaret for datasikkerheten i en norsk bedrift.

  • Informer og lær opp dine ansatte til å bli databevisste. Fortell dem om trusselbildet og hvordan de skal forholde seg til eposter de ikke kjenner avsenderen til. Lag husregler for god datasikkerhet med fokus på epost-trusler. NorSIS har utviklet en opplæringspakke med 8 moduler e-læring i informasjonssikkerhet som er nyttig for alle ansatte.
  • Sperr enkelte nettsteder for surfing fra maskiner tilknyttet bedriftens nettverk. Nylig begynte nettleseren Chrome å flagge nettsteder som ikke støtter https som usikre og du kan lese mer om denne oppdateringen i Chrome 68 på theregister.co.uk.
  • Enkelte nedlastbare applikasjoner bør du også sperre tilgangen til i bedriftens nettverk. Applikasjoner som legger inn programvare på enkeltmaskiner som igjen kan såre andre maskiner i samme nettverk.
  • Til de av dine medarbeidere som reiser mye bør du vurdere å skaffe innsynsbeskyttelse til skjermen. Noen maskiner har en slik funksjon innebygget, men du kan også kjøpe et filter som legges foran skjermen som gjør omtrent samme nytten.
  • Bli bedre på passord! Det kan ikke sies for ofte. Nesten 6 av 10 bruker det samme passordet og brukernavnet på mer enn ti nettsteder. Passordet skal være enkelt å huske, men samtidig vanskelig å knekke. Bruk gjerne spesialtegn og tall og bruk aldri samme passord for ulike tjenester. Det finnes en rekke nettprogrammer som hjelper deg lage og huske dine passord og du kan se denne videoen fra Jimmy Kimmel Live som illustrerer hvordan du IKKE skal gjøre det.
  • Sett opp tydelige skiller mellom arbeidsområder på nettverket og digitale personalarkiv som følger retningslinjene i GDPR. Hva som defineres som personopplysninger finner du i denne artikkelen på nettvett.no.
  • Datamaskinparken må til enhver tid være oppdatert med siste versjon av operativsystem, enten det er Windows for PC eller iOS for Mac. I noen tilfeller vil det være aktuelt med ekstra virusbeskyttelse.
  • Enkelte datamaskiner fremstår som sikrere enn andre og du skal velge en PC fra en produsent som har en høy grad av sikkerhet innebygget. Dette gjelder også for skriverne du har koblet opp på nettverket i kontorlandskapet. I disse tankevekkende videoene fra produsenten HP, med Christian Slater i hovedrollen, viser de hvor enkelt det er å angripe en bedrift via en ubeskyttet printer.

Ønsker du å vite mer om IT-sikkerhet og andre jobb-PC-relaterte forhold så finner du det på vår samleside

Dette er en jobb du ikke kan utsette, for har du ikke kontroll på datasikkerheten vil noen garantert finne det ut og utnytte det. Selv om du kanskje tror at dere ikke har noe av verdi på din arbeidsplass som er interessant for en hacker, så kan du starte med å gjøre en analyse av hvilke sensitive opplysninger dere har lagret. Du vil trolig bli overrasket.

7 huskeregler nar du skal skifte PC