Hvordan skal din virksomhed forholde sig til cybertruslen

Hvem har ikke efterhånden læst eller hørt om en virksomhed, der har været udsat for et ransomware-angreb? For nylig var det en række ejendomsmæglerkæder, før jul var det Vestas, og hvem husker ikke Mærsk, ISS, Demant for bare at nævne nogle få?

Ransomware rammer store som små og det er efterhånden ikke længere et spørgsmål om, hvorvidt det sker, men mere et spørgsmål om, hvornår det sker.

Inden du læser videre, kan du stille dig selv følgende spørgsmål:

• Har du som virksomhed råd til, at alle dine it-systemer bliver lagt ned, og alle dine filer bliver krypteret?
• Har du råd til ikke at have adgang til it?
• Har du råd til, at dine kunder går til din nærmeste konkurrent, når din hjemmeside eller dit vigtige system er lagt ned?
• Har du råd til, at mulige kunder går et andet sted hen, fordi de er nervøse for deres data?
• Har du råd til ikke at gøre, hvad der står i din magt for at mindske risikoen for, at det er din virksomhed, der bliver lagt ned af et cyberangreb?
• I øjeblikket ændrer trusselsbilledet sig hele tiden, og det ændrer sig hurtigt.

CFCS vurderer i deres seneste trusselsvurdering at:

• Truslen fra cyberkriminalitet er 'meget høj'
• Truslen fra cyberspionage er 'meget høj' 

Ingen tvivl om, at trusselsbilledet er alvorligt, men det er ikke det samme, som at vi ikke kan gøre noget og selvfølgelig skal gøre alt, hvad der står i vores magt.

Mange vil sikkert indvende »jamen, min virksomhed er jo ikke interessant, så hvorfor er det lige os, der bliver ramt?«

Det kan dog kortes ned til, at hvis der er noget, der er interessant eller værdifuldt for din virksomhed, er det også interessant eller værdifuldt for andre.

Ydermere er det i dag de færreste virksomheder, der ikke i en eller anden grad er afhængig af it og af at kunne tilgå forskellige tjenester via internettet.

Alle virksomheder i dag har e-mail, måske har de en hjemmeside eller nogle systemer på internettet, som enten kunder, samarbejdspartnere eller virksomhedens egne medarbejdere har brug for at kunne tilgå.

Med afhængighed af it følger også en større sårbarhed, og jo flere tjenester, der er tilgængelige via internettet, des flere angrebsflader er der også. Det svarer til at bo i et hus med mange døre og vinduer. Jo flere døre og vinduer, der er i et hus, des flere muligheder er der for at komme ind.

I bund og grund er der ikke mange virksomheder, der kan forhindre et cyberangreb, men det er muligt at minimere risikoen for, at et angreb lægger virksomheden ned ved at benytte sig af forsvar i dybden og en god og velafprøvet beredskabsplan – eller rettere: det er muligt at reducere konsekvensen ved at blive ramt.

Der er en lang række ting, den enkelte virksomhed kan gøre for at reducere risikoen for at blive lagt ned at et cyberangreb:

• Backup af data og systemer sikrer, at det er muligt at komme op igen efter et cyberangreb.
  • Backuppen skal opbevares på en måde, så den ikke kan overskrives i tilfælde af et ransomware-angreb, dvs. der skal opbevares en backup offsite. og dermed opbevaret adskilt fra virksomhedens it-systemer.
  • Backuppen skal indeholde alle data og systemer, der er væsentlige for virksomheden
  • Det skal testes minimum en gang om året, at det er muligt at foretage reetablering af alle systemer og data fra backupppen.
• Opdatering af operativsystemer og applikationer
  • Virksomheden skal sikre, at alle systemer og applikationer bliver opdateret med nyeste opdateringer hurtigst muligt, efter de er frigivet.
  • Det gælder for tredjepartsapplikationer som browsere osv, men også internetvendte services og hardware som f.eks. netværksenheder og maskiner.
• Adgangsstyring
  • Gennemgå adgange og rettigheder med jævne mellemrum og få lukket en adgang eller fjernet en rettighed, hvis en bruger ikke længere har behov.
  • Sørg for at tildele adgange ud fra et arbejdsmæssigt behov, dvs. at dine medarbejdere selvfølgelig skal have adgang til at kunne løse deres arbejdsopgaver, men medarbejderne bør ikke have adgange, de ikke har behov for.
  • Når en bruger stopper, så sørg for, at brugerens konto lukkes ned hurtigst muligt, og at vedkommendes adgange fjernes.
  • Administrative rettigheder skal kun tildeles, hvis der er et arbejdsmæssigt behov og kun i begrænset tidsrum.
  • Vær særlig opmærksom på privilegerede konti.
  • Som virksomhed er det vigtigt at have styr på alle konti med privilegerede rettigheder og få lukket dem ned, når de ikke længere bruges. Ligeledes er det vigtigt at sikre, at de ikke bruges til andet end det formål, de er beregnet til.
  • Anvend multifaktor autentifikation (MFA) hvor det er muligt.
• Segmentering af netværk
  • Ved at segmentere (opdele) virksomhedens netværk - f.eks. adskille produktion fra salg - er det muligt at reducere konsekvensen ved et cyberangreb, da der er en mulighed for, at et cyberangreb påvirker mindre dele af netværket i stedet for hele virksomheden.  
• Detektering – Det er vigtigt, at en virksomhed er i stand til at detektere, hvis de er under angreb. Et ransomware-angreb støjer meget af natur og bliver oftest detekteret hurtigt, men andre typer cyberangreb kan være langt sværere at opdage
  • Logning og monitorering af systemer og netværk samt gennemgang af logs kan hjælpe virksomheden med at finde ud af, hvad der er sket.
  • Overvej, om der er særlige hændelser, der skal udløse øjeblikkelige alarmer, der kan reageres på, eller om virksomheden har behov for et SIEM system?
• Awareness og træning af medarbejderne
  • Særligt vigtigt er det, at brugerne er klædt på til trusselsbillede og ved, hvordan en sikkerhedshændelse ser ud, og hvad der skal gøres, hvis der er mistanke om en sikkerhedshændelse.
  • 92 pct. af security incidents starter med en phishing-mail. Træn brugerne i at genkende og rapportere disse.
• Leverandørstyring
  • Sørg for, at det nødvendige sikkerhedsniveau er defineret i aftalerne med leverandørerne.
  • Kontroller, at der er de nødvendige aftaler på plads med leverandører, hvordan de skal rapportere sikkerhedshændelser eller mistanke om sikkerhedshændelser.
  • Sørg for jævnlig opfølgning med leverandørerne. Især de leverandører, der er udpegede som kritiske, eller som behandler kritiske systemer eller data, og hvor virksomheden er afhængig af, at leverandøren opretholder et givent sikkerhedsniveau.

Udover alt det nævnte, som kan være med til at reducere risikoen for et cyberangreb eller konsekvensen ved et angreb, er det essentielt, at virksomheden har en god og velafprøvet beredskabsplan.

Sponseret indhold

Uden de 4 år på skolebænken havde jeg aldrig turdet

Ledelse

En beredskabsplan er en plan for, hvad I gør, når I er ramt, og hvordan I gør det.

Som alle ved, gør øvelse mester, og derfor skal en beredskabsplan med tilhørende nødplaner jævnligt gennemgås og testes for at sikre:

1. At planerne er opdaterede.
2. At alle informationer i planen er korrekte, herunder kontaktlister og -oplysninger.
3. At alle relevante personer kender til beredskabsplanen, herunder hvad deres rolle og ansvar er i en beredskabssituation.
4. At beredskabsplanen og tilhørende nødplaner er tilgængelige offline.
5. At planen fungerer, når det er alvor.

En del af beredskabet handler om business continuity - altså en plan for, hvordan virksomheden kan fortsætte forretningen uden it og ikke mindst, hvor længe virksomheden kan fortsætte forretningen uden it. 

Disse skal selvfølgelig indarbejdes som en del af en beredskabsplan, så du ved, hvad du gør, hvis du pludselig står uden it, og hvor længe du kan fortsætte.