Har dere god nok datasikkerhet?

I dag har mange mulighet til å jobbe hvor som helst og når som helst. Det er både praktisk og effektivt. Men hva skjer med sikkerheten når du tar med deg virksomhetens data og e-post ut av kontoret?

 

Tidligere gikk man på jobben, skrudde på maskinen ved dagens begynnelse og skrudde den av når man gikk hjem. Kontoret var et fysisk rom, og virksomhetens dokumenter befant seg innenfor kontorets vegger.

I dag er de fleste av oss mobile arbeidstakere. Vi åpner dokumenter på toget, via åpne nettverk på café, på ulike enheter og til alle døgnets tider. Samtidig er det digitale trusselbildet i endring, og cyberangrep kommer i stadig nye kreative varianter.

I oktober er det Nasjonal sikkerhetsmåned for å øke kunnskapen om digital sikkerhet i alle norske virksomheter og i befolkningen. Ragni Stjerna Lindrup er sikkerhetsansvarlig i Digiflow. Hun er alltid involvert når en virksomhet blir kunde hos Digiflow, og det aller første hun gjør er å kartlegge hvilke behov virksomheten har i dag og kan få i fremtiden.

–  I Digiflow jobber vi først og fremst med teknisk sikkerhet, men samtidig oppfordrer vi virksomheten til å tenke mer helhetlig på det. Derfor er vi en rådgiver inn i organisasjonen for å sørge for at alle former for sikkerhetsarbeid forankres i ledelsen og kommer ovenfra og ned. Det er først da dette arbeidet kan få ønsket effekt.

 

Det er svært viktig å få de ansatte med på laget, så de ikke tenker på sikkerhet som bare noe irriterende som ledelsen har tredd ned over hodet på dem.

 

Den første kartleggingen innebærer også å ivareta bransjespesifikke lovkrav som blant annet virksomheter innen helse- og finanssektoren må tilfredsstille. Enkelte virksomheter har i tillegg særskilte behov for å sikre sensitive personopplysninger. Digiflow er blant annet partner til Norsk Helsenett, og jobber også med flere humanitære organisasjoner som har slike behov.

– Tenk deg en humanitær organisasjon som sitter på opplysninger og identiteten til mennesker som er forfulgt i hjemlandet sitt. I ytterste konsekvens kan datalekkasje få fatale konsekvenser. For disse kundene får sikkerhetsarbeidet en helt annen dimensjon.

 

Risikostyring, ATP og AIP

Digiflow og Microsoft samarbeider om å tilby nødvendige sikkerhetstiltak. I dag får alle kunder hos Digiflow mulighet til å benytte seg av en policy for informasjonssikkerhet som beskriver interne krav som alle bør ha til rutiner, risikostyring og kriseplanlegging. De får også en sikkerhetsinstruks for bruk av IKT med regler for blant annet innlogging og datalagring.

 

– Det å øke bevisstheten til brukerne rundt sikkerhet er i bransjen regnet for å være et av de aller viktigste tiltakene man kan innføre. At ansatte bevisst eller ubevisst unnlater å følge sikkerhetsrutiner er en av de største truslene vi har i dag. Litt av poenget med sikkerhetsinstruksen er å bevisstgjøre og gjøre brukerne ansvarlige for egne handlinger ved å be de lese gjennom og signere dokumentet.

 

Hos Microsoft sitter det kontinuerlig to team – et rødt som er angriperen og et blått team som forsvarer seg.

 

På den måten kan de oppdage nye sikkerhetshull og oppdatere løsningene i henhold til de truslene som kan komme. Microsoft ligger helt i front når det kommer til informasjonssikkerhet, blant annet med Azure Information Protection, AIP og Advanced Threat Protection, ATP.

 

–  Ett eksempel på AIP kan være å klassifisere dokumenter med tilgangsstyring slik at brukeren må være medlem av organisasjonen for å kunne åpne filen. Hvis dokumentet kommer på avveie, vil det være umulig for andre å åpne det. Det betyr også at når en ansatt slutter og brukeren blir sperret, vil de ikke lenger kunne åpne dokumentet om de tar det med seg.

Hvordan unngå lekkasje, phishing og kryptovirus?

På servicedesken til Digiflow kommer det stadig inn henvendelser fra brukere som er redde for at de har åpnet et vedlegg eller trykket på en lenke de ikke skulle trykket på. For selv med all sikkerhet i verden, kan ingen unngå at brukerfeil skjer. Men nettopp da er det viktig at man har gode sikkerhetssystemer på plass. Et godt antivirusprogram vil for eksempel kunne hindre at et virus blir installert. Hvis viruset likevel blir installert, vil programmet kunne oppdage og stoppe det, og sende et varsel om den infiserte maskinen. Deretter vil Digiflow gå gjennom eventuelle ødeleggelser og gjøre de tiltakene som må til for å rette opp skaden som er skjedd.

Kryptovirus kommer som oftest forkledd i en e-post som et vedlegg eller som en lenke til noe de ber deg om å laste ned på maskinen. Et annet ganske vanlig angrep er phishing – da ønsker mottaker at du gir fra deg brukernavn og passord ved å be deg logge inn på en webside, som for eksempel Office sin webportal. Dette er spesielt skummelt dersom du gir fra deg brukeridentiteten til dokumentskyen eller til e-post.

 

Er du i tvil om du skal trykke på en lenke eller et vedlegg, ta kontakt med avsender og forsikre deg om at dette er trygt.

Direktørsvindel stadig mer vanlig

–  Vi har hatt et par tilfeller hvor kunder har latt seg lure og overført store beløp til en utenlandsk bank før de oppdaget at det var svindel, forteller Stjerna Lindrup.

 

Såkalt direktørsvindel kommer i form av en e-post, tilsynelatende fra sjefen som ber deg om å overføre et beløp til en konto hos en bank i utlandet. De påstår gjerne også at det haster. Dette sier de for å unngå at mottakeren får tenkt seg om ordentlig. Hittil har Digiflow vært raske på ballen og klart å stanse overføringen hos banken. Et godt tips fra Digiflow her:

– Ring sjefen og spør om det som står i e-posten stemmer!

Dersom virksomheten er spesielt utsatt for svindelforsøk, setter Digiflow opp ekstraordinære sikkerhetstiltak slik at e-poster fra svindlere stanses på veien.

Hver enkelt må ta ansvar

Selv med gode sikkerhetstiltak på plass, må hver enkelt bruker ta ansvar. Målet med Nasjonal sikkerhetsmåned er at alle norske virksomheter gjennomfører opplæring av de ansatte i oktober. Stjerna Lindrup har en klar oppfordring:

– Ikke bruk samme passord flere steder! Dersom man for eksempel bruker samme brukernavn og passord på jobbmail og LinkedIn, er man sårbar. Har LinkedIn en lekkasje, så bytter man kanskje passordet der, men man glemmer eller tenker ikke over å endre passordet til e-postkontoen.

En måte å beskytte virksomheten mot lekkasjer og phishing er å ta i bruk flerfaktorautentisering. Dette vil si at man må oppgi en ekstra «faktor» i tillegg til passordet for å få logget inn. Microsoft har en slik løsning for sine systemer, hvor man godkjenner påloggingen med mobilen eller med en fysisk «nøkkel» som man kobler til datamaskinen. Dette forhindrer at uvedkommende kan logge seg inn selv om de har fått tak i både brukernavn og passord, og er et forholdsvis enkelt og nyttig sikkerhetstiltak for de fleste.

 

Dersom du ønsker å vite hvordan din virksomhet ligger an i forhold til sikkerhet, anbefaler vi en kostnadsfri, uforpliktende analyse.

PersonvernDesign: Tenk KommunikasjonUtvikling: Coretrek AS