Dårlig sikkerhet på dagsorden

Siste ManpowerGroup Forum i 2019 belyste cybertrusler og cybersikkerhet i SMB markedet.

Siste ManpowerGroup Forum i 2019 belyste cybertrusler og cybersikkerhet i SMB markedet.

For å belyse problemstillingene presenterte Vebjørn Søndersrød, partner i advokatfirmaet Ræder, og Bjarte Malmedal, sjefskonsulent i Experis Ciber, ulike tiltak for å sikre seg mot digitale trusler.

– Etter innføringen av GDPR er det min erfaring er at små- og mellomstore bedrifter er kjent med at det foreligger rettslige krav om at personlige opplysninger må behandles på en sikker måte. Det er allikevel store variasjoner i hvor godt de forstår detaljene i regelverket. Cybersikkerhet er mer enn personopplysninger, og det er viktig å forstå at det også stilles krav til datasikkerhet og systemer generelt, sier Vebjørn Søndersrød partner i Advokatfirmaet Ræder.

Søndersrød har jobbet med ulike problemstillinger knyttet til norske regler for personopplysninger siden 2009, og har løpende saker til behandling av Datatilsynet.

Konsekvenser og rettslige krav

Han forteller at de rettslige kravene til cybersikkerhet varierer avhengig av hvilken bransje virksomheten tilhører.

– Om du driver en finansinstitusjon er det eksempelvis krav til oppetid for systemene. Dette handler også om de juridiske konsekvensene av for svak sikkerhet. Om du ikke greier å levere tjenesten risikerer du å ikke få betalt, eller ender opp med erstatningskrav.

Selv om fagfeltet kan være komplisert forteller Søndersrød at de fleste bedrifter er klar over at dårlig sikkerhet kan føre til tap av penger, omdømme og kunder.

– Bevisstheten rundt problemstillingen er økende, med det er variasjoner i kompetanse på de reelle kravene. Dette er både et rettslig og et praktisk spørsmål basert på bransjestandarder og hva man vet om hvilke trusler som finnes. Trusselbildet endrer seg hele tiden, og det å vite hva som er bra nok sikkerhet krever kontinuerlig overvåkenhet, sier han.

Må følge god bransjepraksis

Han peker på at store bedrifter har egne folk som følger med på trusselbildet, men at en liten bedrift ofte mangler slike ressurser internt.

– For å få oversikt over sikkerhetssituasjonen anbefaler jeg å begynne med å kartlegge hvilke data som behandles, hvilke leverandører som leverer skytjenester og epost, og hvem som han ansvaret for sikkerheten. Allerede der er det mange som ikke har full oversikt, sier han.

– Mange bedrifter har driftspartnere som bruker skytjenester og underleverandører til epost, CRM og andre systemer. I slike tilfeller er bedriften ofte ikke klar over at personopplysninger lagres i Irland og drives av Amazon eller Google. Samtidig er det urealistisk å ha 100 prosent oversikt over alle underleverandørene og man må i mange tilfeller stole på at leverandørene er gode nok.

– Et annet eksempel er Office 365, et verktøy veldig mange bedrifter er avhengig av. Om Microsoft ikke er raske nok med sikkerhetsoppdateringer kan et sikkerhetshull ligge åpent og utsette brukere for datainnbrudd. Selv ved bruk av store aktørene er det alltid en risiko og det juridiske spørsmålet blir ofte hvem som har ansvaret, Microsoft eller bedriften. Svaret er helt avhengig av hva som faktisk har skjedd, sier Søndersrød og utdyper:

– Selv om regelverket er viktig, handler det like mye om hva som til enhver tid er god bransjepraksis. Har man sikkerhet i tråd med god bransjepraksis er mye gjort, noe som også er essensen av regelverket.

Endringer i trusselbildet

Bjarte Malmedal, fagansvarlig for cybersikkerhet i Experis Ciber, ser også hvordan trusselbildet stadig er i endring.

– Tidligere var det ressurskrevende å gjennomføre cyberangrep og de kriminelle gikk etter store selskaper med store kontoer. Siden angrepsteknikkene nå er automatisert kan kriminelle angripe mindre selskaper, og i stedet for å angripe 100 store selskaper angriper de 100.000 småbedrifter. Om man får utbetalt litt av flere blir det en stor sum.

– De siste årene har vi sett en økning i antallet forsøk på direktørsvindel og spredning av kryptovirus mot små- og mellomstore bedrifter. Mange av angrepene begynner med innsamling av eposter fra offentlige tilgjengelig epostlister, og vi ser at det står automatiserte prosesser bak, sier han.

Krever oversikt over verdikjeden

Malmedal forteller at for å kunne forsvare seg mot slike angrep må virksomheten ha grunnleggende sikkerhetskompetanse.

– Vi ser at det kan være krevende for små bedrifter å skaffe seg den elementære grunnsikringen. En ting er å vite hva man trenger av sikkerhetstiltak, men man må også vite hvordan tiltakene skal iverksettes i bedriften. Dette er bakgrunnen for lanseringen av Experis Secure, en sikkerhetstjeneste som svarer på utfordringene små- og mellomstore bedrifter står overfor. Vi skal være en partner som kan overta ansvaret for å følge opp prosessene internt, sier han.

– Om bedriften ikke har en intern ressurs på IT-sikkerhet har man heller ingen som kan stille spørsmål om sikkerheten til underleverandørene. Det er viktig å ha noen som kan følge opp underleverandører og ivareta sikkerheten i hele verdikjeden. Tjenesten er derfor sammensatt av tjenester som hjelper små- og mellomstore bedrifter med en sikrere hverdag, sier han.

Oversikt gir trygghet

Malmedal forteller om en tredelt sikkerhetstjeneste som gir virksomheten grunnlaget for kontinuerlig forbedring.

– Tjenesten skal gi bedriften hjelp med å vurdere den nåværende sikkerhetstilstanden, og sammen lager vi en tilstandsrapport. Om man gjør dette over tid kan man kontinuerlig jobbe med forbedringer og måle effekten av sikkerhetstiltakene på ulike områder. Dette vil også gi ledelsen bedre oversikt over den generelle informasjonssikkerheten.

– For det andre skal tjenesten gi støtte til epost-sikkerhet. Etter at de tekniske systemene har stoppet de vanligste formene for angrep, tilbyr vi ansatte hjelp til å vurdere om eposten er trygg eller utrygg. Dette er noe som hele organisasjon vil få tilgang på slik at man kan lære opp alle til å gjenkjenne trusler, sier han.

– I tillegg tilbyr vi grunnopplæring i informasjonssikkerhet og GDPR, samt fortløpende sikkerhetstips og varsler om tekniske sårbarheter. Samlet sett er dette er en tjeneste som hjelper småbedrifter med å kartlegge sikkerheten og gir de grunnlag for forbedringer, avslutter Malmedal.

Experis Secure lanseres i begynnelsen av 2020.

 

About the author

Related Posts