De største nettsikkerhetstruslene for bedrifter – og hvordan du beskytter deg

De siste årene har skiftet til hjemmekontor forårsaket av Covid-19 kombinert med den digitale omformingen av mange organisasjoner skapt nye muligheter for nettkriminelle. Derfor er det svært viktig for alle bedrifter, enten de er små eller store, å forstå de viktigste nettsikkerhetstruslene og problemene med nettsteders sikkerhet så de kan treffe beskyttende tiltak. Les videre for å finne ut mer.

Nettsikkerhetsrisiko nr. 1 for bedrifter: løsepengevirus

Ifølge rapporter opplevde 80 % av bedriftene verden over en form for løsepengeangrep i 2021. Løsepengevirus ("ransomware") er programvare som sperrer brukernes adgang til deres datamaskiner eller begrenser adgangen til data ved å kryptere informasjonen. Brukeren må taste inn en spesiell kode for å få adgangen tilbake, og hackeren oppgir koden bare hvis løsepengene betales. Det mest skadelige løsepengeviruset sletter alle brukerdata selv om løsepengene betales.

Mange innehavere av små eller middels store bedrifter tror de er temmelig uvesentlige i et hav av storbedrifter som de mener interesserer forbryterne mye mer. De leser om høyprofilerte nettangrep på store organisasjoner og føler seg trygge i sammenligning, men storbedriftene har fått lære seg gjennom smertefulle prosesser hvordan de forsterker beskyttelsen mot nettverksinntrengere og bygger ut forsvarsverkene sine mot fremtidige angrep.

Følgelig kan nettkriminelle finne det lettere å peile seg inn mot små og mellomstore bedrifter, som ofte har svak beskyttelse og mangler kunnskapene om hvordan man hindrer datatyveri fra datamaskinene. Passord kan hentes inn, i likhet med informasjon som bankkontoopplysninger, boligadresser og trygdenumre. Nettyver bruker slik informasjon til å pumpe ut penger, stjele identiteter og starte nettangrep på bedrifter eller til og med offentlige myndigheter.

Hvordan bedriftene kan beskytte seg mot løsepengevirus

Flerlagstiltak: For å redusere risikoen for løsepengevirus må du følge en flerlagsmodell. Dette betyr at man bruker en rekke sikkerhetsverktøy i kombinasjon. For eksempel, bruke et antivirus med høy kvalitet på hver enhet og holde det oppdatert, installere en brannmur og bruke søppelfiltre og forebygging av tap av nettskydata. Ved å bruke en kombinasjon av verktøy trer ett eller flere av dem inn som reserve hvis noe ikke fungerer.

Sikkerhetskopier dataene dine: Sørg for at bedriften har en komplett offline sikkerhetskopi av systemet. Kopien skal være oppdatert og skilt fra hovednettverket. Dermed kan du få tilgang til dataene selv om bedriften er utsatt for utpressing. Test sikkerhetskopien regelmessig for å sjekke at den fungerer når du trenger den.

Gå gjennom reglene for bruk av personlig utstyr: Med skiftet til ekstern jobbing bruker de ansatte ofte sine egne datamaskiner og mobile enheter for å jobbe og gå inn på bedriftens nettverk. Dette medfører risiko siden disse enhetene ikke nødvendigvis har fått installert egnet antivirus eller annen sikkerhetsprogramvare. Hvis de ansatte jobber mens de er på reise, kan det være de bruker offentlige Wi-Fi-nettverk som ikke er trygge. For å motvirke dette kan du begrense nettverksadgangen til enheter som er levert av bedriften og forlange at de ansatte kobler seg på nettverket via et VPN, dvs. virtuelt privat nettverk.

Nettsikkerhetsrisiko nr. 2 for bedrifter: phishing

Phishing er en annen alvorlig nettrussel i næringslivet. Phishing betyr forsøk på å oppnå sensitiv informasjon som brukernavn, passord og kredittkortopplysninger ved hjelp av falske e-postmeldinger som er utformet slik at de ser troverdige ut eller, i enkelte tilfeller, via falske nettsteder. Før kom vanligvis all phishing-søppel med e-post. Men i de siste årene er flere phishing-angrep blitt utført med tekstmeldinger (kalt smishing) og telefonanrop (kalt vishing).

Termen spyd-phishing brukes om phishing-forsøk som er spesielt rettet mot en bestemt person eller bedrift. Nettforbrytere bruker teknikker kalt sosial manipulasjon for å tilpasse meldingene til ofrene de velger ut og få dem til å se ut som om de er normale e-postmeldinger fra kjente kontakter. De bruker forskjellige nettinformasjonskilder, for eksempel sosiale medier eller bedrifters nettsider, for å lage en profil som karakteriserer ofrene. De kan til og med ringe opp et firma og late som om de er en kunde for å oppnå bankkontoopplysninger osv.

Falske e-postmeldinger sendes ofte direkte til bedriftens regnskapssjef med forespørsel om å overføre penger til kundens bankkonto. I e-postmeldingen oppgis kontoopplysninger og annen informasjon som trengs ved overføringen. Godtroende sjefer har sendt beløp fra et par tusen til flere millioner dollar til nettforbryteres bankkontoer.

Hvordan bedriftene kan beskytte seg mot phishing

Tenk på ditt digitale fotavtrykk: Tenk på hvilke opplysninger din bedrift gjør offentlig tilgjengelig – dvs. ditt digitale fotavtrykk – og hvordan de kan eksponere ansatte for denne typen kriminalitet. For eksempel økes risikoen for phishing hvis det er lagt ut lister over nøkkelmedarbeidere med lenker til deres LinkedIn-profil, e-postadresse og telefonnummer. (Du kan lese om LinkedIns retningslinjer for personopplysninger her.)

Bruk e-postfiltre: I seg selv er et e-postfilter ingen garanti mot å motta phishing-meldinger, men det gir økt beskyttelse. E-postleverandører tilbyr en rekke filtre for søppelpost så det er bryet verdt å sjekke tilbudene på markedet før du velger e-postsystem.

Bruk antivirus: Ved å ha en komplett, oppdatert antivirus installert på hver enhet bidrar du til å beskytte bedriften mot phishing-angrep og mot en rekke andre nettrusler. Et antivirusprogram med anti-phishing-funksjoner skanner e-postvedleggene og sjekker om de er farlige.

Vær oppmerksom: Se etter symptomer på phishing. Det er for eksempel lite sannsynlig at en e-postmelding fra banken din med anmodning om å oppdatere personlige opplysninger inneholder stave- og grammatikkfeil. Hvis en e-post søker å gi en følelse av at det haster, for eksempel ved å si at din konto er blitt hacket og må tilbakestilles øyeblikkelig, kan det være et varseltegn. Hvis en melding inneholder en URL-adressen, kan du føre musen over den for å kontrollere at den lenker til riktig side. Det er også viktig å forvisse seg om at URL-adressen har et SSL-sertifikat og begynner med HTTPS. Generelt, hvis du mottar en e-post fra en ukjent avsender, må du la være å åpne eventuelle vedlegg.

Nettsikkerhetsrisiko nr. 3 for bedrifter: svake passord

En annen alvorlig IT-sikkerhetsrisiko for bedrifter er at de ansatte bruker passord som er svake og lette å gjette. Ved å bruke svake eller lett gjettede passord eller samme passord for flere kontoer kan sensitive data eller finansinformasjon utsettes for fare. Småbedrifter kan være særlig utsatt siden deres ansatte kanskje i liten grad er klar over nettfarene. I gjennomsnitt bruker 19 % av de ansatte i næringslivet lett gjettede passord eller samme passord på forskjellige kontoer.

Hackere skriver programmer som anvender ordlister med millioner av passord for å tvinge seg tilgang til enkeltpersoners og bedrifters IT-systemer. Dette kalles brute force-angrep ("angrep med rå kraft"). De er spesielt effektive når det gjelder å bryte seg inn på datamaskiner. Når en hacker finner koden til en programvareapplikasjon, er det svært sannsynlig at vedkommende får tilgang til de andre kontoene som har samme passord.

Hvordan bedriftene kan beskytte seg mot svake passord

Innfør en sterk, teknisk påtvunget passordregel: Et sterkt passord består av minst 15 tegn, inkludert en blanding av store og små bokstaver, tall og spesialtegn. Brukere bør unngå enkle tallrekkefølger som "12345" eller navn på partner, barn eller kjæledyr – hackere kan lett oppnå disse opplysningene fra sosiale medier. Enkelte firmaer krever at de ansatte endrer påloggingspassord minst hver 90. dag.

Bruk en passordbehandling: Dine ansatte bør overveie å bruke en passordbehandling for å generere og vedlikeholde lange, innfløkte passord som kan limes inn i applikasjonenes påloggingssider.

Aktiver flerfaktorautentisering Ved flerfaktorautentisering eller MFA (Multi-factor authentication) må brukerne ha mer enn et passord for å få tilgang til bedriftskontoene. Dette involverer ekstra kontrolltrinn, for eksempel ved at det sendes en kode til en mobil enhet. Dette ekstra sikkerhetslaget bidrar til at angripere hindres i å få tilgang til bedriftens kontoer selv om de klarer å gjette et passord.

Endre standardpassord: Et vanlig feilgrep er å unnlate å endre produsentenes standardpassord på smarttelefoner, datamaskiner eller andre typer IT-utstyr. Endre alle standardpassord før enhetene tildeles dine medarbeidere. Kontroller regelmessig enhetene og programvaren for å detektere uendrede standardpassord.

Nettsikkerhetsrisiko nr. 4 for bedrifter: mobile enheter

Bedriftene gir ofte medarbeiderne smarttelefoner, datamaskiner og nettbrett for å muliggjøre fleksibelt arbeid eksternt. Resultatet er at flere bedriftsdata enn noen gang lagres på nettbrett og smarttelefoner. Disse enhetene er like kraftige som tradisjonelle datamaskiner, og fordi de er mobile og forlater sikkerheten i bedriften eller på hjemmekontoret, trenger de mer beskyttelse enn skrivebordets dataenheter. Men i mange firmaer mangler de fleste mobile endepunkter fortsatt beskyttelse mot trusler som phishing, skadelig programvare og utnyttelser av mobile operativsystemer, og derfor er de en av de største risikoene for nettsikkerheten.

Hvordan bedriftene kan beskytte mobile enheter

Slå på passordbeskyttelse: Bruk kompleks PIN eller passord for å hindre "gjennomsnittsforbryteren" å komme inn på telefonen din. Mange enheter har nå fingeravtrykk eller ansiktsgjenkjenning som middel til å låse opp enheten, noe som gjør dem mindre passordavhengige. Disse funksjonene er ikke alltid aktivert som standard, så sjekk at de er blitt slått på.

Pass på at stjålne enheter kan spores, låses eller slettes: Hvis en medarbeider mister eller blir frastjålet en enhet, må du ikke bare kunne spore den, men også slette eksternt alt den inneholder. Koder kan være en hindring for tyvene en stund, men risikoen elimineres hvis du kan slette all verdifull informasjon fra enheten før de eventuelt får tak i den. Sørg alltid for at denne funksjonen er aktivert på alle mobile enheter som medarbeiderne bruker.

Sikkerhetskopier data: På samme måte som du sikkerhetskopierer dataene på datamaskinen regelmessig, må du også sikkerhetskopiere dataene på bedriftens mobile enheter. Hvis enheten mistes eller stjeles, er det betryggende å vite at dine verdifulle data er trygge og kan gjenopprettes.

Hold enhetene og appene oppdatert: Pass på at du har de siste versjonene av programvare og apper så du kan dra fordel av de siste sikkerhetsoppdateringene.

Sett opp regler for mobil sikkerhet: Før en medarbeider begynner å jobbe fra en mobil enhet må du definere regler for akseptabel bruk, på linje med myndighetenes forskrifter. Veiledning om hva som skal gjøres hvis en enhet blir stjålet eller mistes, betyr at medarbeiderne vet hvordan de skal reagere og forhåpentlig reagerer raskt. Be medarbeiderne om å lese og undertegne en kopi av reglene før de begynner å bruke en mobil enhet i jobben. Det er viktig at de viser at de er klar over farene og vet hvordan de kan beskytte seg og bedriften.

Krypter dataene hele tiden: Det er svært viktig å aktivere kryptering på mobiltelefonene som brukes i bedriften. Kryptering på mobile enheter er å konvertere dataene på enheten, her telefonen, til en uleselig form. Som for passordbeskyttelse for telefoner må brukeren taste inn krypterings-PIN eller passord for å dekryptere dataene. Moderne smarttelefoner leveres vanligvis med et nivå med passordbeskyttelse og kryptering selv om noen av tryggere enn andre. Med Android kan du for eksempel bli bedt om å slå på kryptering (som et alternativ) når du oppretter koden. Aktiver kryptering på alle fysiske enheter, og støtt dette med programvare for datakryptering når det er nødvendig.

Nettsikkerhetsrisiko nr. 5 for bedrifter: menneskelig feil

I henhold til en studie fra 2021 fra IBM, utgjør menneskelige feil 95 % av bruddene på nettsikkerhet. Med andre ord er det ufrivillige handlinger – eller mangel på handling – som legger forholdene til rette for sikkerhetsbrudd. Dette er ofte enkle feil som å klikke på suspekte e-postvedlegg, besøke tvilsomme nettsteder eller bruke svake passord eller samme passord for flere kontoer (og det er derfor en god del overlapping med andre risikoer som er nevnt i denne artikkelen, siden menneskelige feil ofte er fellesnevneren). Nettforbrytere ligger på lur og vil utnytte menneskelige svakheter.

Hvordan bedriftene kan beskytte seg mot menneskelige feil

Gi opplæring: De fleste menneskelige feil bunner i at medarbeiderne ikke var klar over risikoene. Du kan redusere menneskelige feil gjennom effektiv opplæring i nettsikkerhet, blant annet informasjon om risikoene for sosial manipulasjon. Målet er å skape bevissthet om bedriftens nettsikkerhetstrusler så du kan innprente riktig IT-oppførsel. Dette kan skje gjennom medarbeiderkurs, regelmessig nyhetsbrev via e-post eller intranett samt innføring på arbeidsplassen.

Reduser passordbelastningen: Siden det trengs strenge passordregler, er den beste måten å redusere menneskelige feil på at man begynner med å redusere antallet passord. Dette kan gjøres ved å bruke passordbehandlinger – med flerfaktorautentisering aktivert for å øke sikkerheten – og slå på enheter med biometrisk autentisering som fingeravtrykkidentifikasjon.

Småbedrifter kan være spesielt utsatt for nettsikkerhetsfarer

Små og middelstore bedrifter kan være spesielt sårbare for nettsikkerhetstrusler. Det er fordi:

• De ikke tror de vil bli ansett som mål og derfor ikke er forberedt.
• De kan ha utdaterte systemer eller mangle sikkerhetsprotokoller og -opplæring og er dermed lettere å hacke.
• Det er mindre sannsynlig at de har store, dedikerte IT-team som er klar over de siste IT-sikkerhetsfarene og problemene med nettstedssikkerhet.

Evaluer nettsikkerhetsrisikoen for din bedrift

For å evaluere de viktigste truslene mot din bedrift må du begynne med å foreta en evaluering av dine nåværende sikkerhetssystemer. Sett opp en inventarliste som omfatter all program- og maskinvare. Generer en liste som angir hvor data er lagret og hvem som har tilgang. Oppbevar denne informasjonen på en trygg og sikker måte, og begrens hvem som skal se den. Utfør en ny gransking av dine aktuelle sikkerhetssystemer med sikte på å identifisere sikkerhetshull. En evaluering av bedriftsrisikoene vil bidra til å sikre virksomheten.

I tillegg til tipsene som er angitt i denne artikkelen, finnes det to nettsikkerhetsrutiner som du bør følge:

• Ha en beredskapsplan: Vær forberedt på nødssituasjoner. Du ønsker å beskytte din virksomhet, dine medarbeidere og kunder hvis du er angrepet, og må derfor ha en beredskapsplan som angir hva du skal gjøre hvis galt skulle skje.
• Hold deg informert om de siste nettruslene i næringslivet: Ved å identifisere de siste truslene etter hvert som de dukker opp, vil du ha et forsprang på hendelsene og vite hvordan du best beskytter bedriften.

Og til slutt, endepunktsikkerhet er et vesentlig aspekt i styringen av nettsikkerhetstrusler mot bedrifter. Et endepunkt er en enhet som er koblet til nettverket ditt: datamaskiner, bord-PC-er, smarttelefoner, skrivere, servere osv. Endepunktsikkerhet går ut på å beskytte endepunktene som brukes i jobben, mot nettsikkerhetstrusler. Nettskybasert programvare for endepunktsikkerhet er en ideell løsning for små og mellomstore bedrifter siden den krever styring av færre interne ressurser og færre forpliktelser oppstrøms, men gir kontinuerlig overvåking av endepunktene fra et hvilket som helst sted.

Les mer om Kasperskys løsninger for endepunktsikkerhet her.

Kaspersky Endpoint Security mottok i 2021 tre AV-TEST-priser som det produktet innen endepunktsikkerhet for bedrifter som gir best effektivitet, beskyttelse og brukervennlighet. I alle tester oppviste Kaspersky Endpoint Security enestående effektivitet, beskyttelse og brukervennlighet for bedrifter.

Relaterte artikler og koblinger:

• Hva er IoT og IoT-sikkerhet
• Trusseletterretning
• Hva er en avansert vedvarende trussel, tegn på APT
• Hva er endepunktsikkerhet?

Relaterte produkter:

• Kaspersky Endpoint Security for Business Select
• Kaspersky Endpoint Security for Business Advanced
• Kaspersky Enterprise Security