Fire sikkerhedsråd til SMV'erne
Dette er et debatindlæg. Du er også velkommen til at deltage i debatten - send dit indlæg til atl@ing.dk.
Aldrig før har danske virksomheder oplevet så stort et antal angreb fra it-kriminelle. Samtidig bliver cyberangrebene mere og mere avancerede og svære at gennemskue.
To af de største eksempler fra 2019 var de omfattende angreb mod Demant og GlobalConnect, og i 2020 senest ransomware angrebet mod ISS i februar. Men tro endelig ikke, at det kun er de store virksomhedsmastodonter med milliarder i omsætning, som bliver ramt.
Som Center for Cybersikkerhed omtaler det, er ransomware-angreb opportunistiske: Der skydes med spredehagl mod alle typer virksomheder, og der hvor det lykkes at inficere centrale dele af it-infrastrukturen, er der bid.
Og hvor der ofte i de større virksomheder kan hentes en større løsesum for at låse filerne op, så er mindre virksomheder oftest mindre beskyttede eller ubevidste om, hvordan man kan beskytte sig – ”for det rammer jo aldrig os.”
Læs også: Boganmeldelse: Nye perspektiver på cybersikkerhed
Det er en farlig mentalitet, og med demokratiseringen af computerkraft og endda ransomware som hyldevare i lyssky online-butikker, hvor alle og enhver kan bestille allerede færdigudviklede ransomware-software til netop deres specifikke formål, er det mere et spørgsmål om hvornår, end hvis, jeres virksomhed oplever et forsøg på ransomware.
I kan heldigvis selv gøre noget for at beskytte virksomheden, og det behøver hverken være besværligt eller dyrt. Tværtimod. Her kommer fire råd til, hvordan I øger it-sikkerhedsniveauet i virksomheden.
Klare policies
Den danske tillid er grundpillen i det danske samfund. Men når vi stoler på, at folk har gode intentioner, når de henvender os til os, udnyttes det af it-kriminelle.
Derfor er det vigtigt, at der er klare, fælles regler for, hvordan data behandles, hvordan filer fra eksterne kilder tilgås – eller netop ikke tilgås – og at der ikke er noget i vejen med at dobbelttjekke en given mail, før filer åbnes, hvis man bare er det mindste i tvivl.
Et eksempel er ved CEO-Fraud, hvor it-kriminelle får afsendermailen til at se ud, som om den kommer fra virksomhedens direktør, og herefter beder bogholderiet om at overføre penge til de kriminelles konto eller åbne en given faktura, som efterfølgende kan inficere virksomhedens servere. Her bør man eksempelvis indføre en given måde altid at kontrollere, at afsenderen altid er korrekt. Det kan gøres ved enten at have et aftalt kodeord, som skal skrives ind i den type mails eller ved ganske enkelt at sms’e eller ringe, for at få bekræftet mailens indhold.
3-2-1 backup
Forhåbentlig får jeres virksomhed aldrig brug for en gendannelse på grund af et cyberangreb, men statistikken taler desværre imod det.
Derfor er det bedste værn mod it-kriminelle en stærk og udførlig backup-løsning.
Backupløsninger findes i mange forskellige former og størrelser, men det mest anbefalelsesværdige er at benytte sig af en løsning, som foretager 3-2-1 backup. 3-2-1 betyder, at du har mindst 3 kopier af din data, at du har dem gemt på mindst 2 forskellige lagringsplaceringer og hvor 1 er offsite (fx i et datacenter).
På den måde sikrer du dig bedst muligt, hvis dine data skulle blive låst af et ransomware-angreb eller blive slettet af en ansat enten bevidst eller ved en fejl, og ved at have dataene placeret fysisk forskellige steder, sikrer du dig, at dine backups ikke bliver inficerede.
Læs også: Politiet modtog næsten 27.000 anmeldelser om it-relateret økonomisk kriminalitet i 2019
Det er en kendsgerning, at flere og flere virksomheder benytter sig af Office 365, Salesforce eller lignende cloud løsninger. Mange tror fejlagtigt, at deres data også er sikrede, når de ligger i skyen hos Microsoft, Google, Amazon eller Salesforce.
Fakta er dog, at de store cloud-udbydere kun lover oppetid, men ikke garanti for datasikkerhed. Slettes der data fra fx Office 365, og bliver de ikke gendannet inden for 30 dage, så er det umuligt at gendanne. Dette oplevede en af vores kunder – en kommune i Jylland – hvor en gymnasielærer ved en fejl slettede flere års pensum og først opdagede det flere måneder efter.
Derfor er det afgørende, at du får lavet en ordentlig back up af al din data, uanset hvor den ligger, og at du søger for, at din back up er sikret flere fysiske steder. På den måde undgår du krydskontaminering fra et eventuelt ransomware-angreb.
Træn dine ansatte regelmæssigt
Træning er kun godt så længe, at det holdes ved lige. Derfor er det vigtigt, at I regelmæssigt træner jeres ansatte i god datasikkerhed-etikette. Det er afgørende, at de ansatte ved, at man ikke bare åbner et link fra en mail, hvor man ikke kender afsenderen, eller at man lige afprøver det USB-stik, man fandt ude på parkeringspladsen, i arbejdscomputeren.
Det sidste lyder som en joke, men det er faktisk en regulær taktik, som særligt er set i forbindelse med industrispionage, hvor konkurrerende virksomheder forsøger at få adgang til fortrolige informationer.
Dine ansatte rammes også
Når/hvis din virksomhed rammes af et angreb, er det vigtigt at huske, at det ikke kun er virksomheden, som rammes. Selv de mest disciplinerede og trænede ansatte, som hver dag passer på ikke at åbne muligt ondsindede links og filer, kan i et svagt øjeblik fejle, og de vil føle sig mindst lige så udsatte for et overgreb, som virksomheden. De vil føle, at det er deres skyld, at virksomheden potentielt mister millioner.
Så tag hånd om dem. Krisehåndtering handler ikke kun om at få genoprettet virksomhedens data, men også om at få genoprettet virksomhedens hverdag – heriblandt at hjælpe den udsatte medarbejder.
Læs også: Accenture: Truslen om cyberkriminalitet kræver bedre samarbejde mellem små og store virksomheder
Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk
