En stadig større andel av virksomheten vår foregår i digitale rom, og dette er noe som gjør bedrifter sårbare for cyberangrep. De siste årene har vi sett flere eksempler på hvordan angrep rettet mot digital infrastruktur kan stikke kjepper i hjulene for selv de største selskapene. Et godt eksempel på dette var dataangrepet mot shippingselskapet Mærsk tilbake i 2017.
En utfordring ved den stadig voksende digitaliseringen er risikovurdering av slike angrep. Det er vanskelig for selskaper å identifisere hvor de er mest sårbare og hvilke svakheter som må adresseres. I tillegg kommer gjerne en menneskelig faktor inn i bildet, noe som kan gjøre slik planlegging enda mer kompleks. Derfor har vi undersøkt noen av de vanligste årsakene til at selskaper blir ofre for cyberangrep.
Manglende investeringer
Den vanligste grunnen til at selskaper rammes av cyberangrep er mangelfulle mottiltak. I de fleste tilfeller finnes det en klar sammenheng mellom utilstrekkelig investering i digital sikkerhet og svakhetene som hackere utnytter. Særlig mindre bedrifter med mindre budsjetter havner i denne kategorien. Årsaken er gjerne at ledelsen prioriterer investeringer som kan gi avkastning for aksjonærene sine.
Et eksempel på dette er den amerikanske kjeden Target, som i 2013 ble utsatt for et omfattende datainnbrudd. Selskapet hadde lagret informasjon om millioner av kunder, men hadde ikke investert i deteksjonsprogramvare som kan oppdage mistenkelig aktivitet. Resultatet ble et hackerangrep der kortinformasjon fra over 40 millioner kunder kom på avveie.
Manglende informasjonsdeling
I generasjoner har man blitt opplært til at selskapsintern informasjon alltid skal beskyttes som hemmeligheter. Dette har ført til at mange rammede bedrifter ikke deler informasjon om dataangrep. Dermed vil ikke andre selskaper ha nok informasjon til å kunne forebygge lignende angrep, og hackerne kan utnytte de samme svakhetene i flere systemer.
Det er viktig at bedrifter, og særlig ledelsen, i langt større grad deler nødvendig informasjon med relevante instanser. Ved at data om innbrudd spres, kan man forhindre at andre selskaper utsettes for det samme. Her kan interesseorganisasjoner for de ulike bransjene etablere nøytrale fora der slik informasjon kan deles.
Manglende opplæring av ansatte
En annen viktig årsak til at selskaper blir utsatt for dataangrep er menneskelig feil. Forventninger om at nyansatte allerede besitter nødvendige kunnskaper om datasikkerhet skaper ofte unødvendig risiko. Derfor er det viktig at alle ansatte gjennomgår opplæring for å sikre bedriftens digitale verdier, særlig når man i økende grad benytter seg av fildeling og åpne, interne nettverk.
Selv om slike verktøy gir ansatte bedre tilgang til informasjon og enklere arbeidsflyt, vil disse også gjøre hackernes jobb lettere. Ansatte bør derfor læres opp i å unngå phishing-angrep, etablere gode varslingsrutiner og ha høyt fokus på intern datasikkerhet.
Hva kan bedrifter gjøre?
Selv om det kan virke som en umulig oppgave å beskytte bedriften mot cyberangrep, finnes det heldigvis flere grep man kan ta for å beskytte både de ansatte og selskapet. Under følger noen tiltak, men først er det viktig å merke seg at bedrifter bør ha kontinuerlige risikovurderinger av digital eksponering.
● Det bør investeres i sikring av selskapets digitale verdier, selv om dette ikke nødvendigvis gir direkte avkastning eller økte inntekter. God digital infrastruktur bør anses som en investering i bedriftens levedyktighet, da fravær av slike investeringer ofte koster langt mer.
● Et annet kostnadseffektivt tiltak er å bruke VPN (virtuelt privat nettverk). Hva er en VPN og hvordan fungerer den? Ved at ansatte kobler seg til via VPN, vil all informasjon,
inkludert IP-adresse, mellom enhetene og serveren krypteres, noe som gjør den vanskeligere å spore.
● Videre bør selskaper inngå tettere teknologisk samarbeid med hverandre. Da vil informasjonsflyten om nye angrep bli langt mer effektiv, og gi andre mulighet til å forebygge lignende angrep. Her kan bransjeorganisasjonenes fora være gode utgangspunkt.
Oppsummering
Selskaper utsettes kontinuerlig for cyberangrep, men det er fortsatt mange selskaper som ikke iverksetter de nødvendige tiltakene for å unngå dette og minimere skadene et slikt angrep kan gjøre. Vi har derfor undersøkt noen årsaker, og foreslått enkle tiltak som kan øke datasikkerheten for bedriften din. Det er også viktig å huske at landskapet for cybertrusler er i konstant endring, og nye farer kan raskt oppstå.