DEBATT:

Sikkerhet. Nettvett. Ill.: Norsis
SIKRING: It-sikkerhet handler om mye mer enn bare treknologiske tiltak. (Illustrason: Norsis)

Cyberangrep: Sikrer du de ansatte, sikrer du også bedriften

Ansatte står i første linje når norske selskap utsettes for cyberangrep. Hvem har ansvaret for at disse angrepene avsløres og stanses i tide?

I undersøkelsen Azets Barometer med over 700 norske bedrifter, svarer 25 prosent at de har opplevd cybersikkerhetshendelser det siste året. Det er en økning fra 12 prosent for bare seks måneder siden. 

 For selskaper med mer enn 50 ansatte har mer enn fire av ti opplevd et eller flere cyberangrep det siste året. For de aller største selskapene, med over 250 ansatte, er det signifikant flere som melder om hyppige angrep. For små bedrifter er tallet 25 prosent som er en solid økning fra 13 prosent for bare et halvt år siden.

 Vi ser at cyberkriminalitet er stadig mere lukrativt, og koster norske bedrifter milliarder kroner hvert år. De kriminelle er bedre organisert enn tidligere, og ofte tidlig ute med å benytte ny teknologi, slik som kunstig intelligens. Vi må derfor forvente at cyberangrep kommer til å øke i både kvantitet og kvalitet i årene som kommer. 

Målretter angrep mot ansatte 

Majoriteten av cyberangrep kommer fortsatt via phishing e-post, der svindlerne forsøker å lure til seg sensitiv informasjon som brukernavn og passord. Det stiller høye krav til gode rutiner og filtrering for e-post. 

 I en travel hverdag må den enkelte ansatte på kort tid klare å avgjøre om en e-post er legitim eller falsk, og agere deretter. Trenden viser at flere angrep enn før er målrettet, der innholdet i e-posten er skreddersydd for å lure hver enkelt mottaker. Det er også enkelt for de kriminelle å finne verdifulle mål på LinkedIn og bedriftens nettsider, hvor detaljert informasjon om de ansattes stilling og ansvar ofte deles åpent. 

 Hos oss i Azets mottar vi i snitt fem millioner e-poster hver måned. Bare halvparten av disse er seriøse henvendelser, resten filtreres ut som søppelpost og svindel. Men til tross for bransjeledende sikkerhetsverktøy og e-post filtre, vil det alltid være ondsinnede e-poster som slipper igjennom. Opplæring i sikkerhet er derfor stadig viktigere. Cyberangrep favner altså ikke bare om IT-og sikkerhet, men også områder som psykologisk trygghet og tillit internt til rutiner. De ansatte bør ha mulighet til å selv avsløre e-postsvindel, og et støtteapparat de kan benytte for å rapportere og løse hendelser. Det er også svært viktig at man har gode rutiner for å følge opp ansatte som har blitt lurt, så disse ikke blir sittende med skyldfølelsen for å ha påført bedriften tap.

Multifaktor er viktig, men ingen 100-prosent løsning 

Mange cyberangrep går ut på å stjele brukernavn og passord for å få tilgang til informasjon og systemer, med økonomisk vinning som mål. Multifaktor autentisering gjør det vanskeligere for angriperne, men ikke umulig. Avanserte angrep kan stjele tilgangsnøkler og sesjoner fra maskinen, som kan brukes for å få tilgang til systemer den ansatte er logget inn i. 

Angriperne kan også finne på å ringe de ansatte på telefon, utgi seg for å være fra IT-avdelingen og be om at de oppgir to-faktorkoden. Flere store cyberangrep de siste årene har startet med små, målrettede angrep mot enkeltpersoner i bedriften.

Sikkerhet er alles ansvar Selv om de ansatte spiller en svært viktig rolle, kan de ikke ta det fulle ansvaret for å sikre bedriften mot cyberangrep. Dette er selskapets ansvar, og bør løses med en kombinasjon av gode sikkerhetsverktøy, intern kompetanse og god sikkerhetsopplæring av de ansatte. Det er også viktig at sikkerhets-team og IT-team holdes informert om alle angrep og hendelser. 

Det bør være lett for både kunder, ansatte og leverandører å rapportere hendelser og be om bistand. De står oftest i første linje for cyberangrep, og trenger all kunnskap og støtte de kan få. Dine ansatte er din beste sjanse i å unngå å bli lurt. Sikrer du de ansatte, sikrer du også bedriften.

Runar Leite er administrerende direktør i rådgivnings- og regnskapsselskapet Azets i Norge med 1300 ansatte og i underkant av 2 milliarder NOK i omsetning. Azets er et internasjonalt selskap med 8200 ansatte, 100 000 kunder og 505 mill. GBP i omsetning i Norden, Storbritannia og Irland. Runar Leite har lederutdannelse fra Forsvaret og mastergrad i økonomi og ledelse fra Universitetet i Agder.

Anders Fjøsne Løvhøiden er Group Security Architect i Azets, og administrerer til daglig Security Operations og sikkerhetshendelser for Azets-gruppen. Anders jobber med et kontinuerlig fokus på å løfte sikkerhetsnivået i alle deler av organisasjonen. En vaskeekte datanerd som brenner for å sikre hele verdikjeden, fra hjemmekontoret til cyberspace.