Artikkelen er produsert av Cloud Media i samarbeid med If Skadeforsikring.

– De færreste tenker på at de selv kan være et mål – og en vei inn til bedriften, sier sikkerhetsekspert Tommy Bårdevik i IBM Norge.
De tekniske løsningene kan være være så gode de bare vil, det kommer til kort dersom menneskene svikter. Det viser seg raskt at mennesket ofte er det svakeste leddet. Løsningen er opplæring, ikke som et engangskurs, men som en kontinuerlig prosess som treffer alle ansatte i bedriften.

– Bevisstgjøring og opplæring er til nytte og svært viktig i arbeidet med å få fram gode holdninger, spre kunnskap og øke robustheten i en virksomhet. Dette er en kontinuerlig jobb der budskapet hele tiden må tilpasses egne erfaringer og endringene i trusselbildet. Ledelsens engasjement, gode sikkerhetspolicyer, et godt sikkerhetsprogram, og en kultur på å dele erfaringer og hendelser kombinert med tekniske hjelpemidler reduserer angrepsflaten, sier Bårdevik.

For små til mellomstore bedrifter er det spesielt innen fem områder Bårdevik mener man bør ha ekstra sikkerhetsfokus:

1. Antivirusprogram

De fleste kjenner til datavirus og de skadene som kan oppstå dersom de får herje fritt på maskinen. Datakriminelle kan ta over maskinen din og ødelegge informasjonen, eller bruke maskinen din som en del av et datanettverk for andre kriminelle. Antivirus er det første programmet du bør installere på datamaskinen, og det må oppdateres regelmessig. Oppdatering skjer automatisk, men sjekk innimellom at automatikken fungerer slik den skal.

2. Brannmur

Som all annen programvare gjelder det å sørge for at brannmuren er slått på, at den er riktig satt opp for bedriftens behov, er oppdatert og fungerer slik den skal, ellers vil den være verdiløs.

3. Brukertilganger

Mangelfull identitetsstyring og -håndtering er et ofte oversett tema på IT-avdelingen. Hvem skal ha tilgang til hvilke systemer, hva skjer når samarbeidet med eksterne parter som har fått tildelt en brukerkonto er over, og hva skjer når den ansatte forlater bedriften? Det er lett å legge til brukere i systemer, men vanskelig å sette gode grenser for hvor mye tilgang brukerne skal ha. De fleste brukere vil aller helst ha tilgang til så mye som mulig, så fort som mulig. IT-ansvarlige bør ha en klar policy på hvem som skal ha tilgang til hva, hvor lenge og helst hvorfor.

4. Tjenester som ikke er i bruk

Kutt ut tjenester og programmer som ikke benyttes aktivt. Mange bedrifter kjører tjenester som ikke er nødvendige for driften. Unødvendige tjenester bør slås av.

5. Menneskelige ressurser

Det viktigste punktet spiller tilbake på bedriftens håndtering av menneskelige ressurser. Mangelfull policy og opplæring om informasjonssikkerhet er den største trusselen for datasystemene. Det hjelper lite å ha oppdaterte programmer og de strengeste brannmurer dersom ansatte gir fra seg passord når de blir spurt om dem, eller ikke låser mobilen med kode.

 <p>Tommy Bårdevik er sikkerhetsekspert i IBM Norge.</p>
Tommy Bårdevik er sikkerhetsekspert i IBM Norge.

– Vi bruker enkle passord, og vi bruker de samme passordene på ulike nettsteder, og vi er lite kritiske til egen bruk av mobile medier, forklarer Bårdevik.

To av de enkleste måtene å manipulere mennesker på er å be dem om informasjon på e-post, eller å få dem til å installere et skadeprogram.

– I en slik e-post kan man bli bedt om å oppgi personlige data, eller aktivt trykke på en link for å verifisere at informasjonen er korrekt. En seriøs virksomhet vil aldri sende ut denne type bekreftelse til brukere eller kunder. Allikevel åpner noen slike meldinger, og trykker på linker som i praksis innebærer en nedlasting av skadevare som gir hackeren et fotfeste inn i bedriften.

Forsikring mot datakriminalitet

Konsekvensene av et datainnbrudd kan reduseres betraktelig, med en ny kategori forsikringer som har kommet på det norske markedet.

– Det kan være litt vanskelig for en bedrift å vite hva man skal gjøre om man blir rammet av datainnbrudd. Med en forsikring mot datainnbrudd, vil IBM ta seg av det praktiske og forsikringen tar seg av økonomiske konsekvenser, sier kommunikasjonsrådgiver Sigmund Clementz i If.

I tillegg til å dekke økonomiske tap og konsekvensene fra et innbrudd, gir forsikringen øyeblikkelig eksperthjelp, stiller en diagnose og utreder hva man kan gjøre videre når et datainnbrudd mistenkes.

Ønsker du å vite mer om hvordan du kan forsikre deg mot datakriminalitet? Les mer her.