IT-JUSS | Cybersikkerhet
Unngå digitalt gisseldrama i jula
Når strevet med å forberede avslutningen på året står på, kontorlysene slukkes og de ansatte drar hjem til julefeiring, er bedriften på sitt mest sårbare.
For kriminelle er juletiden perfekt for å slå til med løsepengevirus og andre svindelforsøk. I forbindelse med høyt tempo i juleforberedelsene skal budsjetter tømmes og regnskapsåret avsluttes. Mengden inngående fakturaer er stor og svindlerne sender ut falske fakturaer som ser ut som de kommer fra kjente forretningspartnere, men hvor kontonummeret er endret. Patentstyret har meldt at flere mottar falske fakturer som utgir seg for å være Patentstyret og ber innehavere av varemerker og patenter være oppmerksom på hvem som krever betaling for fortsatt beskyttelse av immaterielle rettigheter.
Når virksomheten endelig senker skuldrene og tar juleferie, trapper hackerne opp aktiviteten. Fenomenet er velkjent. Bemanningen er lav og responsen tregere. Mange bedrifter er derfor mer sårbare for ransomwareangrep som ofte har årsak i sårbarheter eller en uskyldig e-postlenke.
Dette kan medføre at virksomheten ikke får tilgang på egne data med mindre man betaler løsepenger. Men trusselen er dobbel: de kriminelle nøyer seg ikke med å låse data, de stjeler også og truer med å spre kundelister, ansattdata og forretningshemmeligheter dersom virksomheten ikke betaler. Dette kan være svært skadelig for omdømmet.
Betale løsepenger?
Det kan virke som den eneste utveien er å betale. Både Økokrim og Nasjonal sikkerhetsmyndighet fraråder dette. Særlig tre grunner gjør at virksomheten bør la være. For det første er det ingen garanti for at bedriften får dataene tilbake etter betaling, eller at hackerne sletter informasjonen de har stjålet. Mange opplever å bli krevd for enda mer penger etter første betaling.
For det andre bekrefter bedriften at utpressing virker. Pengene går direkte til å finansiere nye angrep mot andre. For det tredje kan selve betalingen gjøre bedriften til en lovbryter. Hackergrupper kan ha koblinger til stater eller organisasjoner underlagt internasjonale sanksjoner og pengeoverføringer dit vil være ulovlig. I tillegg kan betalingen rammes av hvitvaskingsregelverket.
«Vi hadde ferie» er ingen unnskyldning
Et dataangrep er både et teknisk og forretningsmessig problem, men heller ikke lovpålagte krav tar juleferie. Hvis bedriften blir rammet, og hackerne får tak i eller tilgjengeliggjør personopplysninger utløses 72-timersfristen til å varsle om brudd på personopplysningssikkerheten til Datatilsynet.
Dette gjelder databrudd for data om både ansatte, kunder, leverandørers ansatte og andre. Fristen løper fra virksomheten fikk kjennskap til databruddet og fristen tar ikke ferie selv om det er 1. juledag. I noen tilfeller må bedriften også varsle alle de berørte personene om at deres personopplysninger er på avveie.
Gi virksomheten en tryggere digital hverdag i julegave
Minn de ansatte på retningslinjer for fakturaer og at de må være ekstra kritiske til eposter og SMSer med lenker og vedlegg. I tillegg anbefaler vi å ha klar en plan for hvem som skal kontaktes og gjøre hva dersom alarmen går. Nokså enkle tiltak kan bidra til å forebygge digitale gisseldrama i julen:
Backup: En sikkerhetskopi er ofte virksomhetens beste forsikring. Backupen må imidlertid faktisk fungere og settes opp slik at backupen ikke rammes av angrepet.
Oppdateringer: Sørg for at alle systemer er oppdatert. Gamle hull er hackernes favorittinngang.
MFA: Sørg for multifaktorautentifisering på epost, fagsystemer og fjerntilganger.
