17 oktober 2023
Oktober er nasjonal og europeisk sikkerhetsmåned og IT-sikkerhet er viktigere enn noen gang. Ifølge NSM har vi fra 2019 til 2021 sett en tredobling i alvorlige cyberoperasjoner mot norske myndigheter og virksomheter. Her er 5 IT-trusler alle virksomheter må forholde seg til nå.
– Mange har nok blitt mer bevisste på risikoen for hacking og datatyveri, men det betyr ikke at risikoen har blitt mindre. Tvert imot er det viktigere enn noen gang at alle virksomheter er oppmerksomme på hvilke digitale trusler de står ovenfor og hva som kan skape en krise om de ikke er forberedt, sier Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry.
Hun anbefaler at disse fem truslene bør være en del av din virksomhets beredskapsplan for IT-sikkerhet.
Løsepengevirus rammer ikke bare privatpersoner, men også bedrifter og virksomheter.
– Løsepengevirus fortsetter å være en lukrativ melkeku for kriminelle. Det kan ramme både store og små virksomheter, både i offentlig og privat sektor. Selv om de store virksomhetene generelt sett har blitt flinkere til å kontrollere, overvåke og sikre backup av virksomhetsdata, er det viktig å ha en beredskapsplan som man øver på for å være forberedt dersom et angrep skulle skje, sier Hansen Bock.
Verdikjedeangrep
En risiko mange undervurderer er verdikjedeangrep, altså dataangrep som skjer via underleverandører eller partnere.
– Mindre leverandører bruker mindre penger på IT-sikkerhet og har mindre beskyttelse, mens store virksomheter har sterkere forsvarsmekanismer. Men de fleste virksomheter har mindre leverandører som de er avhengig av. Da er det viktig å huske at dere også er avhengige av sikkerhetsnivået hos underleverandørene dere har integrasjon med. Ofte ser vi at en liten programvareleverandør drar med seg noe på veien inn, sier Hansen Bock.
Hun peker på at IT-sikkerhet også bør være en del av avtaler og retningslinjer.
– Mange virksomheter har etiske retningslinjer som de også pålegger underleverandører, og flere bør inkludere IT-sikkerhet i partneres forpliktelser. Her er det et stort potensial for forbedring og husk også at det er viktig å teste hele verdikjeden, inkludert samarbeidspartnere, sier Hansen Bock.
Phishing
Årets tema for nasjonal sikkerhetsmåned er sosial manipulasjon, og med kunstig intelligens har phishing-truslene blitt mer avanserte.
– Her handler det om hvor gode alle medarbeidere i virksomheten er på å ikke gå i fella når en e-post lokker med en link eller et vedlegg. Phishing-truslene kommer fortsatt på e-post, men nye teknikker basert på kunstig intelligens har økt risikoen for at flere blir lokket til å gå inn på sider eller trykker på linker de ikke skal, eller åpner vedlegg som er infisert.
Der man før lokket med en rabatt eller et tilbud om man trykket på en link før en tidsfrist, har de kriminelle gått videre til å utgi seg for å være sjefen eller en kollega, som trenger hjelp med å godkjenne noe rett før helgen eller ferien.
– Det siste nå er manipulasjon av bilder eller film, som gjør at du tror enda mer på at den de kriminelle utgir seg for å være, faktisk er noen du kjenner. Her gjelder det å være bevisst på hvem avsenderen faktisk er, sier Hansen Bock.
Informasjonstyverier
Cyberkriminelle har også tatt i bruk kunstig intelligens for å utgi seg for personer i et helt annet spekter enn tidligere.
– ID-tyveri, der kriminelle stjeler din informasjon og gir seg ut for å være deg øker også. Det gjør at de kan vise en video med en falsk person hvor det er enkelt å lure andre til å tro det er deg.
Spionasje
– På statlig nivå ser vi et økt globalt risikobilde med krigen i Europa. Vi blir veldig sårbare rundt samfunnsfunksjonene som er digitalt styrt, med alt fra sykehus, til vann og avløp, strøm og nettforsyning. Men i tillegg til den geopolitiske situasjonen, ser vi også mer spionasje. Ikke for nedstenging og ødeleggelse, men for tyveri, altså industrispionasje for å hente ut patenter som er utviklet i Norge, sier Hansen Bock.
IT-eksperten peker på at det er tid for å sette av budsjetter for å beskytte seg.
– IT-trusler er ikke noe nytt og bevisstheten har absolutt økt – men husk at dette ikke er noe som har «gått over». Tvert imot, det å beskytte seg mot dataangrep er veldig viktig. Jeg vil derfor oppfordre alle virksomheter til å fortsette det gode arbeidet med datasikkerhet – og spesielt nå som budsjettet for neste år skal legges. Husk å ta med investeringen for IT-sikkerhet, slik at dere sikrer verdier og er forberedt på det verste, sier Hansen Bock.
Tietoevry deler truslene og råd i en ny e-bok som kommer ut i starten av november.
