Slik hindrer du hackere i å ta over bedriften

10 tips som hjelper deg å redusere risikoen

Hackere og datakriminelle leter natt og dag etter sikkerhetshull i dine datasystemer og mobiltelefoner. Her får du 10 tips om hva du kan gjøre for å redusere risikoen for å bli angrepet.
Hvert år anmelder mer enn fem prosent av norske bedrifter hacking av sine datamaskiner og nettverk, ofte med store økonomiske konsekvenser. De reelle mørketallene er langt høyere, viser Mørketallsundersøkelsen som foretas av Næringslivets Sikkerhetsråd (NSR).

Heldigvis er det flere tiltak bedrifter i alle størrelser kan gjøre for å redusere faren for å bli hacket, og minske skadene dersom ugjerningen har skjedd. Veien mot en sikrere bedrift for begynner med å ta sikkerhetstrusselen på alvor. Altfor mange bedrifter legger lista for intern IT-sikkerhet altfor lavt.

Ansatte er ikke forberedt

– Når vurderingen i forhold til eget risikonivå legges så lavt, blir det heller ikke iverksatt tiltak eller gjennomført intern opplæring som kan gjøre de ansatte bedre forberedt på å håndtere en eventuell hendelse. Hverken interne eller eksterne sikkerhetstrusler får den nødvendige oppmerksomheten, sier sikkerhetsekspert Tommy Bårdevik i IBM.

For bedrifter som ønsker å ta de nye farene alvorlig, er det relativt enkelt å iverksette tiltak som får øyeblikkelig effekt. Her er tips til 10 ting du kan gjøre for å redusere risikoen for å bli angrepet:

  1. Start med det grunnleggende
    Mange bekymrer seg over de store farene, men tar lett på de små tiltakene. Sørg for at maskiner og mobiler på arbeidsplassen kjører gode sikkerhetsprogrammer som antivirus, og enda viktigere, at disse oppdateres fortløpende. Husk også at sikkerhetskopier er ofte den raskeste, og noen ganger den eneste, måten å komme seg ut av en ellers katastrofal situasjon. Oppdaterte sikkerhetskopier, som lagres kryptert på et annet sted enn der bedriften holder til, bør være et minimumskrav.
  2. Fortsett med de ansatte
    Det svakeste leddet er ofte mennesket. Utspekulerte hackere kan ta kontakt med ansatte og komme med svært overbevisende historier som får selv harde skeptikere til å gå på limpinnen. Det gjelder å lære ansatte god sikkerhetskultur. En god start kan være å aldri oppgi passord til noen som spør (inkludert IT-personell), aldri oppgi informasjon uoppfordret, låse datamaskiner og mobiltelefoner når de ikke er i bruk, lage gode og fornuftige passord som er lette å huske men vanskelige å gjette.
    - Ansatte i alle bedrifter uansett størrelse burde ha jevnlig IT-sikkerhetsopplæring, sier Bårdevik. - Dette er nyttig både som ansatt og som privatperson. Mange bruker samme utstyr på jobb og privat, og ofte blir også utstyret delt mellom kollegaer og i familien. Det er nok ikke mange bedrifter som prioriterer dette høyt nok.
    Sørg for å informere dine ansatte, om IT-sikkerhet, på en måte som føles fornuftig for dem. Om det føles fornuftig, er det lettere å følge. Lange og kompliserte passord som må byttes hver måned er et eksempel på misforstått IT-sikkerhet som fører til murring hos ansatte.
  3. Lag en sikkerhetspolicy 
    En sikkerhetspolicy er mer enn å kreve nye kompliserte passord hver måned. Lag enkle retningslinjer for IT-sikkerhet og sørg for at alle i bedriften er kjent med dem. Ofte er det bare bevisste medarbeidere som kan forhindre et angrep.
  4. Hold oversikt
    Når det er rot i eierskapet for bedriftens datautstyr og mobiler, blir sikkerhetsjobben vanskeligere. Et ryddig regnskap over maskiner og mobiler, og gode rutiner gir bedriften bedre oversikt. Sikkerhetsansvarlige kan bruke tiden til mer konstruktivt arbeid enn å hele tiden kartlegge hvilken ansatt som disponerer hvilket utstyr og hvor utstyret faktisk befinner seg.
  5. Gjør en bakgrunnssjekk
    Mange bedrifter sjekker sine ansattes bakgrunn for å begrense risiko ved tyveri. Dersom de ansatte skal håndtere verdifulle data, kan en bakgrunnssjekk være fornuftig. Dette kan inngå som en del av ansettelsesrutinen, på samme måte som undersøkelse av referanser og tidligere jobber hos en jobbkandidat.
  6. Samle ansvaret 
    I mindre bedrifter har gjerne én person mange forskjellige oppgaver. Kanskje drifter daglig leder også datasystemene; se til at den som får ansvaret ikke tar seg vann over hodet slik at jobben blir utført på en sikker måte. Noen ganger kan det være greit å sette ut driften og sikkerheten til eksperter som gir råd og veiledning.
  7. Sørg for åpenhet
    Det bør være en god kultur for åpenhet i bedriften, også for datasikkerhet. Om noen mistenker at e-posten har blitt hacket, må det være rom for å si i fra uten å frykte for jobb og rykte. Gjennom åpenhet og ved å dele erfaringer kan tiltak iverksettes slik at samme type datainnbrudd ikke kan gjentas – til fordel for bedriften selv og eventuelle samarbeidspartnere.
  8. Begrens tilgangen
    All informasjon på datasystemene behøver ikke å være tilgjengelig for alle. Adgang til e-post, og andre kontoer på nettverket kan begrenses til kun de som trenger tilgangen. Dermed blir det vanskeligere å stjele informasjon. Husk også at få datainnbrudd er så effektive som å snike en harddisk eller USB-pinne med verdifull informasjon ut fra bedriften.
  9. Lag rutiner
    Sørg for at ansatte har gode sikkerhetsrutiner og vet hva de skal gjøre for å hindre datakriminelle i å lykkes. De må være kritiske til ukjente som kontakter dem, oppdatere systemene, holde kontroll på mobiler og bærbare datamaskiner, og låse maskinene når de forlates.
  10. Kjøp forsikring
    I USA har mer enn 31 prosent av små og mellomstore bedrifter kjøpt en forsikring som dekker datakriminalitet. Nå er det også mulig å kjøpe denne typen forsikring i Norge, og dermed få hjelp ved mistanke om datainnbrudd, få dekket driftstap og få hjelp til å gjenopprette systemene og rekonstruere data dersom man blir rammet av innbrudd.