Gå til innhold

Slik kan du unngå å bli hacket

Nettfiske, datatyveri og CEO svindel er tre alvorlige sikkerhetstrusler med stor negativ konsekvens, som du må sikre deg imot. Norges fremste sikkerhetseksperter forteller deg hvordan du kan gjøre dette.

Sikkerhetsfoto.JPG

Én av de største hackertruslene du kan bli utsatt for, enten som privatperson eller ansatt i en organisasjon, er såkalt nettfiske eller phising. Forrige uke skrev mediene om en slik svindelsak hvor 200 personer har blitt tappet for 17 millioner. Personene har blitt henvist til en falsk nettside, men som fremstår som bankens nettside. Logger du deg inn på den falske siden, sitter hackerne klare til å stjele dine påloggingsdata, og deretter tappe kontoen din.

- Ved hjelp av BankID, tar svindlerne seg inn i den virkelige banken til fornærmede og tømmer kontoen. Alt går ganske fort, sier politibetjent Julie Eikeland i Vest politidistrikt til nettstedet E24.

Sikkerhetsdirektør hos oss, Kaare Bjørn Martinussen, forteller at dette er en vanlig metode som hackerne bruker.

- Tidligere var de kriminelle på jakt etter kontanter. I takt med at nordmenn bruker mindre kontanter, finner de kriminelle andre måter stjele penger, sier Martinussen.

Passord og epostadresse er også en kilde til sensitiv informasjon, som igjen kan utnyttes i kriminell virksomhet.

Lær mer om nye måter å tenke sikkerhet: se webinaret Breaching the wall

- Du kan for eksempel få opp et falskt påloggingsbilde til en netthandel hvor de ber om epost og passord. I en hektisk hverdag kan det være lett å klikke på et slikt bilde, sier Martinussen og forklarer hva man skal gjøre for å unngå problemet:

Dette kan avsløres ved å ta et kritisk blikk på den konkrete nettadressen. Da vil du kunne se at den ikke peker til riktig internettdomene, navnet er forvrengt eller at nettadressen mangler eller har feil i sikkerhetssertifikatet. Sistnevnte kan sees som en hengelås ved siden av nettadressen.

Han anbefaler også at virksomhetene bruker tofaktor-pålogging. I tillegg er det viktig med god sikkerhetskultur i organisasjonen og en sunn skepsis hos brukerne.

Monicas interesse for sikkerhet og teknologi startet på innsiden av en cockpit

Datatyveri også stor utfordring

Sikkerhetsnettverket HackCon har, sammen med EVRY, sett på trusselbildet. Det er altså tre områder som peker seg ut. I tillegg til nettfiske er datatyveri den andre store trusselen.

- Mange virksomheter tar altfor lett på sikringen av kundedata. Tap av sensitive data har stor økonomisk effekt. Selskapets tillitt og omdømme kommer også i spill, sier Suhail Mushtaq som er koordinator for HackCon.

En tredje trussel er ifølge Mushtaq såkalt CEO-svindel eller «Business e-mail compromise» (BEC). E-postene er gjennomførte, og dersom selskapet bruker Skype vil brukeren få opp statusikon og bilde til den personen hackeren utgir seg for å være. Dette gjør at henvendelsen ser legitim ut. For å unngå slike svindelforsøk er det viktig å etterleve bedriftens prosesser og rutiner, oppfordrer han.

Styringssystemer gir dramatisk bedre deteksjonsevne

4 av 10 virksomheter har ikke et styringssystem eller rammeverk for informasjonssikkerhet, viser Mørketallsundersøkelsen utført av Næringslivets Sikkerhetsråd (NSR). Hos virksomheter med over 100 ansatte gjelder dette 2 av 10. Av de som har rammeverk eller styringssystem, opplever hele 9 av 10 at dette etterleves i virksomheten.

- Den virkelig gode nyheten er at Mørketallsundersøkelsen bekrefter at de som har implementert rammeverk og styringssystemer, og dermed evner å drive et systematisk og forebyggende sikkerhetsarbeid, i mye større grad klarer å identifisere og detektere sårbarheter, trusler og hendelser. Dermed kan de raskere iverksette forebyggende og konsekvensreduserende tiltak, sier Jack Fischer Eriksen, direktør i NSR.

Du kan lese hele rapporten her.

Be om en usminket vurdering

Så hvordan bør virksomhetene jobbe for å finne ut hvilke trusler som er mest relevante, og hvor er sårbarheten størst?

- Det er til syvende og sist øverste leder som vil stå ansvarlig for hendelser som skyldes manglende fokus på sikkerhetsarbeidet, og det er viktig å være seg sitt ansvar bevisst», sier Martinussen.

- Forlang en konkret trusselvurdering for din virksomhet og en usminket, ærlig vurdering av status på ditt IKT-system», er hans klare oppfordring.

Han lister opp fem konkrete anbefalinger:

  • Tydelig instruks til alle ansatte: PC-en og mobil må være oppdatert med riktig programvare, ikke minst antivirus, og ansatte skal ikke laste ned eller bruke uautorisert programvare.
  • Virksomheten må unngå lokale administratorer for det representerer en stor risiko.
  • Såkalt «hvitlisting» er også et godt tips. Det vil si å aktivt fortelle Windows hvilke applikasjoner man har lov til å kjøre, i stedet for å jobbe med å stenge ned systemer. Bedrifter bør iverksette en slik rutine når man gjør oppgradering av Windows.
  • Penetrasjonstesting: det er betegnelsen på inntrengingsforsøk en etisk hacker gjør på oppdrag for en kunde som eier et datasystem, nettverk og applikasjoner. Formålet er å avdekke feil og sørge for at dette korrigeres før noen med uærlige hensikter gjør dette.
  • Det er helt avgjørende at man har gode sikkerhetsrutiner. Dette omfatter blant annet ajourhold av alle typer endepunktsikkerhetsløsninger og patching. Det er også viktig å ha gode rutiner for back-up av sine data, og dette må separeres fra den løpende driften av IT-systemene.
  • Lag ditt eget e-læringsprogram som alle ansatte må gå igjennom. Det trenger ikke å være dyrt eller omfattende. For at både ledelsen og de ansatte skal se nytten er det også viktig å måle effekten av et e-læringsprogram. I EVRY har vi sett tydelig at det hjelper, oppfordrer Martinussen. Vil du lære mer, les her.

Sammen kan vi ta kontroll over sikkerheten!

Vil du vite mer om hvordan du kommer i gang? Fyll ut skjemaet så kontakter vi deg!