Koronakrisen har økt sikkerhetstruslene på nett. Blant sakene som har kommet frem i media den siste tiden er Norsk utenrikspolitisk institutt (NUPI) som slo alarm etter gjentatte hackingforsøk og statseide Norfund som tapte 100 millioner kroner i et digitalt angrep. Dette er bare toppen av isfjellet.
Økt risiko for å bli hacket som følge av koronasituasjonen ble tidlig trukket frem av blant andre Nasjonal Sikkerhetsmyndighet (NSM), Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA), Kripos og Interpol – for å nevne noen.
Og ikke mange ukene senere kunne Nasjonalt cybersikkerhetssenter bekrefte et høyt aktivitetsnivå og mange henvendelser, samtidig som senteret ytret bekymring for svakheter i systemer på grunn av raskt etablerte hjemmekontorløsninger.
Jo mer rustet virksomheten skal være mot dataangrep, dess mer går det på akkord med brukervennligheten. De ansatte må faktisk få gjort den jobben de skal gjøre. Derfor er det verdt å ta litt risiko, men risikoen trenger ikke å være større enn nødvendig.
Som rådgivere er innsikten om at det kan lønne seg å gi opp noe sikkerhet for å bli mer produktiv viktig, men mange virksomheter kan enkelt gjøre helt grunnleggende tiltak. Vår erfaring er at få norske virksomheter både i offentlig og privat sektor har tenkt gjennom dem.
1. Ikke ha passord
Passord er snart utdatert. Fremtidens løsning for pålogging på nettsider og applikasjoner vil skje via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler. Da LinkedIn ble hacket i 2012, fikk hackere tak i millioner av passord – hvorav mange fremdeles misbrukes i dag.
2. Sørg for to-faktor autentisering hvis du likevel skal ha passord
To-faktor autentisering gir bedre beskyttelse enn passord alene. Selv om noen andre skulle få tak i passordet ditt, vil de ikke klare å logge seg inn uten det andre leddet – som i nesten alle tilfeller involverer mobilen din. Kun et fåtall av de virksomhetene vi møter har innført konsekvent bruk av to-faktor autentisering.
3. Sørg for at ingen har mer tilgang enn de trenger
Mange ansatte har brukertilganger de ikke trenger, og flere som ikke jobber i virksomheten har fortsatt tilgang til viktige data på den tidligere arbeidsplassen. Dette gjør virksomheten mer sårbar for angrep. Vi har møtt bedrifter der tidligere ansatte har tilgang som systemadministrator mer enn 15 år etter at de sluttet.
4. Lær opp medarbeidere til å være kritiske
Hvilke holdninger har medarbeiderne? Hvilken opplæring er tilgjengelig? En stor del av digitale angrep skjer som følge av at de kriminelle lurer deg til å gi bort passordet. Hver sjette ansatt i Bergen kommune ga fra seg brukernavn og passord da de ble forsøkt lurt under en gransking av datasikkerheten i kommunen i 2019.
Utviklingen innen cyberkriminalitet vil ikke avta. Virksomheter eksponerer stadig mer data og hackermiljøene blir stadig mer profesjonelle. Manglende cybersikkerhet kan utgjøre en formidabel risiko. Oppmerksomheten omkring dette har blitt forsterket som følge av et økt trusselbilde under koronakrisen. Det er positivt da cybersikkerhet må høyere på agendaen i offentlige og private virksomheter.