Slik sikrer du virksomheten din mot dataangrep

9. januar 2021 ble Østre Toten kommune hacket, og mistet umiddelbart tilgangen til hele sin digitale infrastruktur. Senere på året, 28. desember ble Amedia utsatt for alvorlig dataangrep. Nasjonal sikkerhetsmyndigheter advarer om at desember og januar er høytider for å bli utsatt for dataangrep. Med noen få grep kan dette mest sannsynlig vært unngått, og her ser du hvordan.

Se for deg at hackere bryter seg inn i virksomheten din. Ikke fysisk, men i alle digitale flater og kanaler. Samtlige systemer blir utilgjengelige umiddelbart. Dette inkluderer all informasjon som ligger lagret på servere og disker; som e-poster, journaler, kalkyler, strategier, rapporter og programvare som alle ansatte trenger tilgang til for å gjøre jobben sin. Virksomheten din blir rett og slett lammet, og penn og papir blir plutselig de eneste arbeidsredskapene du står igjen med.

Det kan kanskje høres ut som fiksjon, men dette er altså marerittet Østre Toten kommune befant seg i, en lørdag tidlig i januar 2021.

Fagbladet.no: Den digitale tidsalderen forsvant over natta i Østre Toten. Dette skjedde etterpå

Nøyaktig hva som var hackernes inngang i kommunens systemer er uklart, men oppryddingen i ettertid av angrepet har avdekket at de mulige veiene inn var mange. Og kanskje verst av alt; sikkerhetskopiene av kommunens data – det som skulle vært redningen i en slik situasjon – lå også åpen for hackerne, og ble gjort utilgjengelige.

Det er vanskelig å se for seg at det er mulig å stå mer på bar bakke, for en moderne virksomhet som baserer seg på en digital infrastruktur. 10 måneder og 32 millioner kroner senere, har Østre Toten kommune fortsatt ikke alle funksjonene 100% på plass.

Aktuellsikkerhet.no: Østre Toten kommune:– Dataangrepet har kostet oss mer enn 32 millioner

Historien er full av både små og store virksomheter som har blitt utsatt for hackere og enten mistet tilgangen til egne data eller på andre måter blitt skadelidende som følge av et dataangrep. Er du en liten aktør, er det viktig å ha i mente at hackerne sjelden eller aldri er ute etter data som viktige for seg selv - de er ute etter dataene som er viktige for deg.

– Den største feilen du kan gjøre er å tenke at du er for stor eller for liten til å være en del av “målgruppa”. Når i tillegg 9 av 10 virksomheter vi i Lindbak IT kontrollerer tror at de er godt nok beskyttet, uten at de faktisk er det, er det all grunn til å tenke at dette også gjelder din virksomhet, fortsetter Slåtsveen.

Statoil (nå Equinor), Hydro og Visma er eksempler på store norske virksomheter som har blitt utsatt for angrep som har gitt til dels store konsekvenser. I tillegg er det tusenvis av eksempler på at mindre virksomheter har mistet tilgangen til lang tids arbeid, uten at historiene har nådd avisene av den grunn. Hackerne er alt fra aktører som jobber på vegne av den kinesiske regjeringen, til mindre miljøer som spesialiserer seg på ulike bransjer og systemer.

Interne avdelinger har ofte mer enn nok med å ha fokus på det daglige arbeidet, med for eksempel brukerstøtte på grunnleggende funksjoner. Dermed blir det også en utfordring å ha kapasitet til å løfte blikket og oppdatere seg på alt som foregår.

– Hos dedikerte IT-aktører som Lindbak IT, er en viktig del av eksistensgrunnlaget nettopp det å være oppdatert. Vi har både en dedikasjon for å være i front, og et press på oss om at vi som fagmiljø må kjenne til de farene som eksisterer, sier han.

Bredden i kompetanse som man trenger nå er mye større enn bare for 5 år siden. Man er nødt til å ha mange folk med ulik kompetanse for å klare å stå imot de eksterne truslene.

– Selv hos en aktør som Lindbak IT benytter vi oss av samarbeidspartnere som har spisskompetanse på ulike områder, fortsetter Slåtsveen.

Selv om hackerne har utallige potensielle veier inn i virksomheten din, er det noen metoder som er mer vanlige enn andre.

1. Ransomware

En av de vanligste typene dataangrepene er såkalt ransomware, hvor hackerne kjører automatiserte prosesser mot en rekke virksomheter. Når programvaren finner en stor nok svakhet til at de kommer seg inn, tar de menneskelige ressursene over, og henter ut eller krypterer dataene de har skaffet seg tilgang til. Krypterte data blir ubrukelige for virksomheten som er rammet, og så blir virksomheten i neste omgang tvunget til å betale “løsepenger” for å få dataene tilbake.

Det var denne typen angrep som rammet Østre Toten kommune, men det var prinsipielt uaktuelt for kommunen å betale løsepenger til hackerne.

Les mer om dataangrepet mot Østre Toten kommune på NRK.no

2. Falske e-poster

En klassiker som mange er obs på, er falske e-poster med infiserte lenker. Det har imidlertid blitt stadig vanskeligere å oppdage disse, ettersom hackerne har blitt dyktigere til å etterligne reelle e-poster. Både det visuelle og lenka ser svært troverdige ut, noe som har fått selv de største skeptikerne til å klikke på lenka.

3. Falske fakturaer

Et annet problem som blir stadig vanligere, er at hackerne endrer kontonummer i fakturaer, slik at pengene i en reell faktura utbetales til feil konto - nemlig hackernes. Det finnes også mange eksempler på at hackere endrer innholdet i reelle e-poster som sendes fra en virksomhet. Dermed vil mottakeren i svært god tro stole på at innholdet er riktig, mens e-posten faktisk inneholder enten feil informasjon, eller også der, feil kontonummer.

4. Åpne nettverk

Åpne nettverk er et annet område hvor folk bør utvise større skepsis. Særlig gjelder dette nettverk som ikke tilhører en definert virksomhet, som på en flyplass. Er nettverket infisert, og en person er pålogget diverse jobbkontoer på telefon eller PC, får hackerne en betydelig enklere vei inn til kontoene, og de dyrebare dataene som gjerne ligger der. Et godt råd her er å alltid bruke 4G/5G, som er betydelig sikrere.

For å sikre at virksomheten er best mulig beskyttet mot angrep fra hackere, er det særlig to områder du som leder bør legge vekt på. Det første handler om økt bevissthet om potensielle hull i sikkerheten, og generelt faren for å bli hacket. Det andre handler om tekniske grep virksomheten bør ta for å sørge for at hullene ikke oppstår.

1. Bevissthet

Mye av sårbarheten kan senkes betraktelig dersom kunnskapen om det totale trusselbildet og de potensielle inngangene, økes hos de ansatte. Gjennom å være bevisst på at IT-angrep kan ramme hvem som helst, når som helst – og at hver enkelt ansatt kan være den som åpner døra for hackerne – blir det også enklere å behandle data på en tryggere måte.

Ikke minst gjelder dette å ta små men viktige grep (se neste punkt) som gjør det mer komplisert for hackere å komme seg inn i systemene.

Bevisstheten handler også om å ha en klar beredskapsplan for hva virksomheten skal foreta seg den dagen angrepet er et faktum. Beredskapsplanen bør omfatte både hvilke aksjoner som skal iverksettes, og en tydelig ansvarsfordeling for arbeidet.

2. Tekniske løsninger

Totrinns innlogging: Dette er et ekstra sikkerhetsnivå for innlogging, som på mange måter fungerer som BankID. Med totrinns innlogging, logger ansatte inn med sitt vanlige passord, og får i tillegg en unik kode tilsendt på sms eller fra en dedikert app. Selv om hackere klarer å få tilgang til passordet, vil dette ekstra steget hindre dem fra å logge inn på kontoen. Dersom samtlige ansatte benytter totrinns innlogging, økes sikkerheten betydelig.

Oppdatert programvare: Det andre og definitivt viktigste rådet, gjelder oppdateringer. Programvare bør alltid oppdateres jevnlig, og særlig gjelder dette oppdateringer fra Microsoft-universet, som gjerne griper inn i en rekke operasjoner for alle ansatte i virksomheten. Sjekk også at OneDrive er synkronisert med serveren, slik at alle ansatte har kontinuerlig backup av alt arbeidet gjøres.

Riktig lisensiering: Ved å være riktig lisensiert, har man tilgang til gode sikkerhetsmekanismer. Det er stor forskjell på hvilke sikkerhetsmekanismer man har tilgang til innen de forskjellige lisensene. Det skjer endringer i lisensmodellene fra tid til annen, så det vil også være tilfeller der man kan spare penger ved å bytte lisenstype, mens man samtidig opprettholder funksjonalitet og sikkerhet.

Sikkerhetsrapport: Med en sikkerhetsrapport fra oss i Lindbak IT, får virksomheten din en status på den totale IT-infrastrukturen. Grunnlaget for rapporten er en gjennomgang av hvilke aktive tiltak bedriften gjør fra før, og vi utfører også simulerte angrep som tester både teknisk sikkerhet og de ansattes rutiner. Vi anbefaler å bestille sikkerhetsrapporter jevnlig, og ideelt sett så ofte som fire til seks ganger per år.

Leverandørene utvikler stadig ny funksjonalitet, også ifm sikkerhet. Dette må man følge med på for å dra nytte av. Det er ikke slik at denne nye funksjonaliteten kommer ferdig påskrudd, rett og slett fordi man som regel må ta noen valg i forbindelse med å ta det i bruk. Dette avdekkes av sikkerhetsrapporten.

Rapporten gir en sikkerhetsscore med direkte mål for endringer. Slik kan du enkelt måle effekten av tiltakene som er foreslått i tidligere rapporter. I rapporten ser du også den direkte, positive effekten av eksisterende tiltak, for eksempel ved at den tallfester antall inngående e-poster som er stoppet av sikkerhetssystemene.

Backup på den riktige måten: Fortsatt er det mange som ikke tar jevnlig backup av dataene sine. Dette er imidlertid den eneste måte å sikre seg dersom uhellet er et faktum, og bør være en obligatorisk del av rutinene i enhver virksomhet. Her er det essensielt at backupen lagres isolert, og gjerne ute av huset. Da unngår man at hackerne også får tilgang til backupen, den dagen et vellykket angrep – sett fra hackernes ståsted – er et faktum.