IT-säkerhet med Advania
Det dyker ofta upp frågor om just säkerhet inom företag. Något som visar sig vara av yttersta vikt är IT-säkerhet - det måste tas på allvar. Vi ger dig i den här artikeln en genomgång i datasäkerhet.
Vad är datasäkerhet?
Datasäkerhet benämns ofta som informationssäkerhet. Meningen med datasäkerhet är att skydda affärsdokument, personuppgifter eller immateriella rättigheter. Det innefattar information som kan lagras på flera olika sätt, både i dokument, på bärbara eller mobila enheter (antingen personliga eller företagets), flyttbara diskar, servrar eller liknande. Då vi samlar in mer data än någonsin förut, är det av yttersta vikt att dataskydd och IT-säkerhet ökar i samma takt. För att uppnå en säker och effektiv IT-säkerhet bör företag följa tre huvudpunkter:
Konfidentialitet
Att företagets information är konfidentiell i alla led av värdekedja, lagring, kryptering och utbyte.
Integritet
Det är viktigt att företagets information inte ändras av obehöriga personer, i linje med värdekedjan i ovanstående punkt, samt att företaget säkrar säkerhetskopiering med kontrollsumma och liknande.
Tillgänglighet
Trots data- och IT-säkerhet ska information vara lättillgänglig, där rutinerna och processer för tillgång ska göras så enkla som möjligt för användaren.
I dag, när många jobbar hemifrån och i vissa fall kan vara mer sårbara än via arbetets nätverk, är det dessutom extra viktigt att tänka på säkerheten.
Vad är Cyber Security?
När det gäller begreppet data, och allt vad det innefattar, kan det snabbt uppstå missförstånd. Det är kanske inte så konstigt i och med att den digitala världen ständigt utvecklas – och där nya ord och uttryck konstant dyker upp. Cyber security förväxlas till exempel ofta med informationssäkerhet. Men - är inte det samma sak? Då informationssäkerhet, även kallat IT-säkerhet, handlar om att skydda information i både fysisk och digital form, går cyber security ut på att skydda IT-system (data, mjukvara och hårdvara) och den digitala infrastrukturen mot angrepp.
Risken för att bli utsatt för datorangrepp ökar ständigt, vilket gör att säkerhet av webbsidor, servrar, användarkonton, program och datacenter är viktigare än någonsin. Med en konstant förändring i sättet vi arbetar på, exempelvis den ökade användningen av molntjänster, har cyber security blivit en viktig del av data- och IT-säkerheten. Cyberkriminella har i många fall kunskapen att kunna utnyttja säkerhetshål i nätverket och det är här som just Cyber Security används. Genom att täta hål i interna och externa nätverk eller system, bidrar Cyber Security i alla led av infrastrukturen där obehörig trafik kan tränga in. Det här behöver alla företag behöver veta om IT-säkerhet och datorangrepp.
Tre grundpelare inom datasäkerhet
För att din data ska vara säker bör tre grundpelare finnas på plats. Dessa är: människor, processer/rutiner och teknologi. Faller en av dessa pelare faller de andra också snabbt.
Man uppskattar att cirka 90 % av alla datorangrepp är förorsakade av mänskliga fel eller beteenden. Det är därför viktigt att alla i företaget har grundläggande kunskaper om cyberkriminalitet, datasäkerhet och IT-säkerhet. Det gäller varje enskild anställd, inte bara de som jobbar med IT i företaget. Däremot så måste de som har IT som ansvarsområde i företaget alltid vara uppdaterade gällande hotbilder, en av grunderna inom cybersäkerhet.
Grundläggande kunskaper
- Dela inte med dig av ditt lösenord, öppna inga misstänka mail, säg alltid till om du misstänker någon typ av angrepp.
- Säkerställer att dina anställda har grundläggande information och kunskaper inom IT-säkerhet. Du bör fokusera på upplärning, mail med information om eventuella hotbilder, men även kartlägga kunskapsnivån hos anställd för att se vilken typ av upplärning som du bör prioritera.
Processer/rutiner
Det är viktigt för företag att vara förberedda på allt som kan vara av risk för IT-säkerheten. Vilka rutiner eller processer finns ifall företaget skulle bli utsatta för ett datorangrepp? Och kanske ännu viktigare, hur förhindrar företaget att ett angrepp ska ske? När hade ni på företaget en genomgång av rutinerna senast? Cyberkriminella arbetar på allt mer sofistikerade och listiga sätt, vilket gör era egna rutiner ytterst viktiga, där ni bör följa den utvecklingen.
Grundläggande rutiner
- Lösenord är alltid personliga. De delas inte med någon annan på jobbet (eventuellt med undantag av IT-ansvariga).
- Så fort någon anar att det gjorts ett försök till datorangrepp ska detta anmälas. Här gäller inte ordspråket “att ropa varg”, utan det är bättre med flera gånger för mycket än en för få.
- Alla ska kunna/känna till rutinerna ni har. Dessa måste kommuniceras klart och tydligt till alla i företaget.
Teknologi
För att minimera risken för datorangrepp är teknologi den sista pelaren. Det finns flera olika teknologier som kan hjälpa ditt företags datasäkerhet. Internet och Things säkerställer också att det dessutom fortfarande är många enheter som behöver cybersäkerhet och IT-skydd. Du som läser detta tänker kanske att det räcker med att skydda datorerna på jobbet, men hur kan du veta att din data och information är säker när du kollar din jobbmail på mobilen? Framförallt när du är utanför jobbet på ett osäkert nätverk?
- Viktigt att skydda: Datorer (stationära och laptops), mobila enheter, routrar och molntjänster.
- Teknologin som hjälper dig: Brandvägg, DNS-filtrering, skydd mot malware, antivirusprogram och säkerhetslösningar kring e-post.
Hur kan du bli angripen?
Risken för datorangrepp blir allt större och attackerna blir samtidigt mer avancerade. Det är därför viktigt att din IT-säkerhet alltid är uppdaterad. Vi har skrivit en lista som förklarar de vanligaste angripsformerna och vad du bör titta efter för att minimera risken att bli drabbad.
Phishing
Det här är en angreppsform som har varit med rätt länge – och inte helt utan anledning. Angreppet försöker att lura dig att ge ut känslig och hemlig information. Exempel på detta kan vara att du får ett mail som verkar vara från din bank som ber dig om att logga in för att uppdatera programvaran. Du följer en länk och sidan du hamnar på ser precis ut som din banks hemsida. När du däremot loggar in så händer ingenting förutom att du har gett ut din information.
Undgå detta: kolla alltid vad det är för avsändare till inkommande mail när du får en uppmaning om att logga in någonstans. Är avsändaren till exempel Nordae och inte Nordea är du med största sannolikhet utsatt för ett försök till angrepp.
DDoS-angrepp (distributed denial-of-service)
Det här är en attack som kan skada ditt företag allvarligt, utan nämnvärd ansträngning från angriparen själv. Ett DDos-angrepp går ut på att angriparen skickar stora mängder trafik till din hemsida och därmed överbelastar servrarna. Det kan ha betydande konsekvenser då nertiden för din hemsida kan vara över en längre period. För större företag beräknas ett DDos-angrepp ha en genomsnittlig kostnad på två miljoner dollar.
För att använda ett skräckexempel: I december 2014 blev Playstation Networks servrar utsatta för ett DDos-angrepp, något som ledde till att onlinefunktionen för Playstationspelarna sattes ur drift. Sony hävdade senare att prislappen för angreppet var på hela 35 miljoner dollar.
Virus
Ett datorvirus är en skadlig kod som gärna kommer in i datorer på ett sätt som inte upptäcks. På samma sätt som ett helt vanlig virus i vår kropp så kommer dataviruset att duplicera sig och spridas till fler datorer på nätverket. Detta sker ofta genom att viruset fäster sig på filer som delas.
Orm
Ormar kan likna virus men är ofta märkbart mer sofistikerade. De behöver till exempel inte fästa sig till en fil för att sprida sig vidare till andra datorer eller enheter på nätverket.
Trojansk häst
Trojanerna har fått sitt namn från den grekiska mytologin. De kamouflerar sig ofta som programvara som utför skadliga aktiviteter när de öppnas.
Malware
Den allmänna termen för filer eller program som är avsedda att skada. Trojanska hästar, virus, maskar och spionprogram omfattas av malware.
Ransomware (utpressningsprogram)
Ett av de datorangrepp som har vuxit snabbast de senaste åren. Det fungerar genom att låsa alla filerna på datorerna och “ta dem som gisslan” med en uppmaning om att betala en “lösensumma” för att krypteringen på filerna ska avlägsnas. Du har kanske hört talas om utpressningsprogrammet WannaCry som härjade 2017? Man tror att WannaCry förorsakade så mycket skada som 1,5-4 miljarder dollar världen över.
Spyware
De här installerar sig själva på datorn och övervakar aktiviteten och samlar in personlig information som sedan skickas tillbaka till “avsändaren”.
Konsekvenserna av datorangrepp
Man estimerar att cyberkriminalitet kostar 600 miljarder dollar årligen världen över. Med andra ord, de som står bakom angreppen ligger inte på latsidan. Du måste därför ha IT-säkerhet inom företaget som tillhandahåller just datasäkerhet. I en undersökning gjord av PWC där 76 norska och 170 danska företagsledare, IT-ansvariga och säkerhetsspecialister deltog, kom det fram att 68% har upplevt en säkerhetshändelse som var riktad mot deras företag. Även om den svindlande summan på 600 miljarder dollar är världsomspännande så visar undersökningen att detta är lika aktuellt i Norge. Tidigare i år lade regeringen fram att de vill lägga 1.6 miljarder på datasäkerhet.
Vad kan konsekvenserna bli om du inte tar datasäkerhet på allvar?
Dataöverträdelse och GDPR. Ditt företag sitter med största sannolikhet inne på någon typ av känslig information. Vid en dataöverträdelse har du enligt Datatilsynets riktlinjer 72 timmar på dig att anmäla detta till myndigheterna. Detta kan leda till stora böter. Men det många kanske inte tänker på, då böterna är det som kan låta mest skrämmande, är att det i tillägg kan leda till ett minskat kundförtroende. Det kan i värsta fall leda till kundtapp och en förlorad position på marknaden. Har ditt företag råd med detta?
Den dagliga driften kan hindras och bli satt delvis eller helt ur spel. Det här kommer att ha stora konsekvenser för de flesta företag. Detta kan i sin tur leda till utpressning från angriparna vilket kommer att leda till ekonomiska skador för företaget. Om deras kärnsystem drabbas kan det betyda mycket för deras position på marknaden och i värsta fall stoppa delar av potentiella kundflöden och verksamheter.
Alla dessa faktorer kan potentiellt var och en förstöra ditt företag. Har du råd att chansa när det gäller ditt företags IT-säkerhet?
Hur tillhandahåller ditt företag datasäkerhet?
Se till att de tre ovannämnda pelarna alltid är uppdaterade, och att de på så sätt alltid är stadiga. Det här kommer att bidra till en tryggare IT-säkerhet. Detta kommer att vara en ständig utmaning, eftersom att de som ligger bakom attackerna ständigt utvecklas vilket leder till en konstant ökande hotbild.
Konkreta råd för datasäkerhet
- Lär dina anställda om de principer som ligger till grund för datasäkerhet.
- Upprätta bra rutiner kring er digitala infrastruktur och informationssäkerhet.
- Se till att teknologin för datasäkerhet alltid är uppdaterad – programvara, webbläsare, datorer och mobiltelefoner. Detta hjälper till att minska risken för datorangrepp.
- Analysera och värdera riskerna. Ta reda på vilken typ av data som är viktigast att skydda och kartlägg potentiella konsekvenser om dessa kommer på villovägar.
- Se till att informationssäkerheten är en del av er IT-infrastruktur.
- Jobbar ni med molntjänster? Använd en trygg och säker lösning som garanterar informationssäkerhet.
- Ha en trygg och säker brandvägg som säkrar er nätverkssäkerhet.
- Ha rutiner för att byta lösenord med jämna mellanrum (exempelvis var tredje månad). Det bör också finnas restriktioner mot enkla lösenord, samt krav på minst en stor bokstav och en siffra eller ett tecken i lösenordet.
- Backup av viktig data och information. Det är viktigt att ha säkerhetskopior av er data som annars kan gå förlorad om ni utsätts för en attack.
- Rutiner kring vem som har tillgång till data och information och behörighet att installera applikationer.
- Genomför sårbarhetstester och penetrationstester för att komma fram till hur sårbara ni är för angrepp.
- ISO 27001. ISO 27001 är en standard inom informationssäkerhet. Certifiering görs av ett oberoende certifieringsorgan som visar att nödvändiga åtgärder har vidtagits för att skydda känslig information från obehörig åtkomst och förändringar.
Vanliga frågor
Vad är datasäkerhet?
Datasäkerhet handlar om att skydda viktig och känslig information om företaget, de anställda, kunder och samarbetspartners. Det handlar också om att skydda verksamhetsdokument, personuppgifter och materiella tillgångar.
Varför datasäkerhet?
Dataintrång och IT-angrepp kan leda till stora utgifter och intäktsförluster för företag. Det här kan även leda till att kunder och parners tappar tillit för företag och verksamheter. Det kan även innebära att företag bryter mot GDPR-lagen.
Hur garanterar jag datasäkerhet i mitt företag?
Grunden för att kunna garantera bra datasäkerhet är kompetent personal, arbetsrutiner och tekniska lösningar.
Vilka IT-angrepp kan mitt företag råka ut för?
Det beror på företagets behov. Innan du väljer vilken tjänstemodell som passar ditt företag är det viktigt att kartlägga vilka behov verksamheten har av molntjänsten, så att du kan välja rätt alternativ.
Hur vet jag att företagets datasäkerhet är tillräckligt bra?
Nyckeln till att säkerställa bra datasäkerhet är att man ständigt genomgår rutiner och processer kopplat till säkerhet. Företagets IT-utrustning bör alltid vara uppdaterad och gå i linje med den tekniska utvecklingen.