It-krim med mange ansikter

–Alle som har noe av verdi står overfor en risiko for å bli angrepet.Arne Røed Simonsen er seniorrådgiver i Næringslivets Sikkerhetsrådog er selvfølgelig mer enn vanlig opptatt av risiko. Likevel;antakelig kan mange bedrifter tjene på å stille seg spørsmålene;hvorfor tapte vi det anbudet? Hvorfor mistet vi den kunden?Den konkurrenten kom da veldig raskt på markedet meddet produktet etter at vi lanserte det. Kan det være atnoen der ute vet mer om virksomheten deres enndet er behagelig å tenke på?

    • Publisert: 11 februar 2019
    • Tekst: AV KNUT SKOE

Datakriminalitet er for lengst etablert som lukrative alternativer til konvensjonelle røvertokt, og skal vi tro Simonsen kan det ramme langt flere enn de store finansinstitusjonene eller globale konsernene.

Fra krimlitteraturen og -film har vi kanskje blitt vant til å tro at det er de unge nerdene med hettegenser og halvtomme colaflasker som utgjør trusselen. Kanskje har nerdene fortsatt en rolle, men regien ligger nok hos kriminelle nettverk som likner mer på velorganiserte kriminelle organisasjoner.

Arne Røed Simonsen
Arne Røed Simonsen

Risiko – profitt

Årsakene til at datakriminalitet er i vekst er åpenbar; alle bedrifter er avhengige av avanserte datasystemer. Systemene er kompliserte og i mange sammenhenger åpne mot verden. Vi kommuniserer med andre aktører og kan nås fra miljøer utenfor gjennom emails, via websider osv.

Russiske hackere som forstyrrer amerikansk demokrati har blitt del av nyhetsbildet. Veien til hverdagen for norske småbedrifter er ikke lang. Angrep kan ramme hvilken bransje som helst, finans, oljeindustrien, møbelindustrien, shipping. Rapporten «Global cybercriminal revenues hit $1.5 trillion annually», utarbeidet av amerikanske Bromium i California og forskningspartnere, har forsøkt å beregne verdien av datakriminalitet og kommet til tallet i rapportens tittel. Et tall som er så astronomisk at det kjennes uvirkelig, nesten 13 billioner kroner. – Cash is king, forklarer Elisabet Line Haugsbø til magasinet Finansforum. Hun jobber selv som «Etisk Hacker» i DNV GL i Trondheim og søker å finne hull i systemer før andre med mindre aktverdige hensikter gjør det.

– 38% av bedriftene i vår undersøkelse, Mørketallsundersøkelsen, oppgir å ha lidd økonomisk tap, forteller Simonsen. Til sam-men ca. 30 millioner kroner. Dette tilsvarer til sammen 1,3 milliarder om man justerer opp 38% av alle virksomheter i samme kategori som respondentene i undersøkelsen.

Imidlertid er det ingen av bedriftene som oppgir å ha mistet informasjon. Her ligger en logisk glipp som muligens illustrerer mye av feltets problem. Man oppgir å vite at man er svindlet – men tror ikke man har mistet informasjon. Kan det være at man er tappet uten å vite det? – Hacking er business, stadfester ElisabetLine Haugsbø overfor Finansforum. Det finnes hele organisasjoner som ikke gjør noe annet enn å lete etter svakheter som de kan bruke som pressmiddel for å få inn penger eller selge informasjon, kreditt- og personopplysninger.

Mange ansikter

Også for mindre bedrifter har risikoen mange ansikter og kan anta mange former. De vanligste handler om virus og eller malware. Ifølge Mørketallundersøkelsen som Næringslivets Sikkerhetsråd utarbeider har 21 % av bedriftene vært utsatt for slike «angrep». 12% har opplevd snoking og såkalt phishing, forsøk på lure for eks-empel påloggings- eller annen personlig informasjon fra mottakere av e-post. Om disse er de vanligste formene vil mange bedrifter også kunne erfare dataskadeverk, bedragerier, hacking informasjonstyveri av kunderegistre, leverandørregistre osv. Politiet opererer med denne listen over de vanligste hendelsene: Ledelses- og direktørsvindel, uhell og uaktsomhet, ID-tyveri, svindel, utpressing, krenkelser (mobbing), sabotasje, spionasje.

Direktørsvindel er muligens et nytt begrep for de fleste. Ikke desto mindre viktig å være oppmerksom på; Direktøren er på reise. Legger ut på sosiale medier at det er spennende å være i Japan på messe og at businessen går godt. Hackere plukker opp dette og sender en hastemelding til kontoret i direktørens navn der han beordrer en betaling til firma Hack Ltd på et troverdig beløp. – Vi kjenner til et slikt angrep som omfattet 500 millioner forteller Arne Røed Simonsen i NSR. Riktignok kom 400 millioner til rette, men 100 millioner er penger det og! De har aldri kommet til rette. For å sette det i perspektiv er det en høyere sum enn utbyttet av Nokas-ranet. Og, har det vist seg, langt mindre risikabelt for ranerne.

Risiko – hvordan redusere

Bedrifter organiserer it-driften forskjellig. -17% har outsourcet it-driften fullstendig, 31 % har outsourcet delvis mens 48 % oppgir i Mørketallsundersøkelsen at de har organisert den internt. – Det er vanligere for bedrifter under 100 ansatte å outsource it-driften, forteller Simonsen. Uansett størrelse ser vi at bedriftene som har et etablert styringssystem er mindre sårbare og kan res- pondere raskere på angrep.

Alle virksomheter har behov for systematikk i styring og kontroll for å nå mål og resultatkrav, arbeide effektivt, etterleve lover og regler og ha pålitelig rapportering. I undersøkelsen oppgir 61% av bedriftene at de har et slikt rammeverk eller styringssystem for informasjonssikkerhet. 27% at de ikke har dette. Jo større bedriftene er jo mer sannsynlig er det de har rutiner og beskrivelser som dekker. Likevel oppgis det å være vanskelig å følge systemets rutiner i tilstrekkelig grad.

Innarbeidete styringssystemer vil bidra til at hendelser som phising-forsøk, hacking eller annen uautorisert og uønsket tilgang til bedriftens informasjon, fanges opp raskt og meldes inn til systemansvarlig, ledelse og/eller styret for oppfølging

–Sammenlignet med 2016 er detspesielt phishing, datainnbrudd/hacking, DDoS-angrep eller trussel om dette, samt bedrageri som har økt, forteller Simonsen.

Blant de som har opplevd hendelser er det 67 prosent som mener årsaken var tilfeldigheter eller uflaks, mens over halvparten også tilskriver sikkerhetsbruddet menneskelige feil. Dette er en nedgang fra 2016, som kan tyde på at sikkerhetsarbeidet i bedriftene er i bedring. Etter Simonsens oppfatning er det viktig å sørge for god opplæring i bedriftens sikkerhetsrutiner og gi bevissthet om svindel og angrep bedriften kan bli utsatt for. Det finnes en rekke opplæringspakker beregnet på bedrifter og deres ansatte blant annet fra NorSIS – Norsk senter for informasjonssikring. Ved å kartlegge bedriftens sikkerhetskultur avdekker man behov for tiltak og kan finne frem til hvordan sikkerhetsarbeidet kan gjøres og hvilke medarbeidere som kunne ha behov for bedre opplæring og disiplin. For eksempel bør økonomimedarbeidere få opplæring om direktørsvindel – en av de økende svindelformene, som dessuten kan være enkle å oppdage og stoppe.

Næringslivets Sikkerhetsråd er en medlemsorganisasjon som har som formål å forebygge kriminalitet mot næringslivet. Arbeidet gjøres gjennom formaliserte og aktive nettverk bestående av offentlige sikkerhetsmyndigheter og medlemmer fra næringslivet, samt rådgivning, kurs og seminarer.

NSR gir råd og oppdatert informasjon om sikkerhetstiltak mot informasjonsspionasje, sabotasje, narkotika, ran, terrorisme, organisert kriminalitet, bedragerier, utpressing, korrupsjon, datakriminalitet m.v.

NorSIS er en del av regjeringens helhetlige satsing på informasjonssikkerhet i Norge. Målgruppen for NorSIS’ aktivitet er norske virksomheter i privat og offentlig sektor. NorSIS skal så langt som mulig også imøtekomme innbyggernes behov, og alle samfunnsgrupper skal kunne dra nytte av NorSIS tjenester. NorSIS skal opptre som en nøytral informasjonssikkerhetsinstans, og skal samarbeide med virksomheter for gjennomføring av informasjonssikkerhetstiltak.

Møbel & Interiør

Dronningens gate 3
0152 OSLO
T: 21 62 78 00

Hurtigkoblinger

Annonser
Abonner
Kontakt oss

Møbel & Interiør Nyhetsbrev
Les også

Corona viruset koster norske butikker 380 millioner hver dag

Illustrasjon (Xeris)

Informasjonsbanken

POP - fra Vestre for møblering av uterom og offentlige møteplasser.

På parti med det vakre

Minnekonkurranse Ingmar Relling 100 år