Artikkel

COVID-19: Økt fare for cyberangrep

Hvorfor, og ikke minst hvordan, skal din virksomhet beskytte seg mot digitale trusler?

Er din virksomhet bevisst dagens digitale trusler, og på hvordan man kan beskytte, forhindre og håndtere disse truslene?

Ny teknologi medfører nye trusler

Den stadige utviklingen av ny teknologi åpner opp for mangfoldige og fantastiske muligheter og effektiviseringsprosesser i samfunnet. Innføring av ny teknologi medfører også sårbarhet for nye trusler. Det er ubestridt at slike trusler kan få store konsekvenser for både små, mellomstore og store samfunnskritiske virksomheter. I dag ser vi at risikoen for digitale trusler øker ytterligere som følge av at ansatte har hjemmekontor for å forhindre smittespredning av koronaviruset.

Dagens trusselbilde

De senere årene har det vært et økende fokus på nye digitale trusler som har oppstått i kjølvannet av ny teknologi. Virksomheter har trolig blitt mer bevisste disse truslene. Samtidig blir trusselaktørene stadig mer profesjonelle, noe som gjør at beskyttelse av egen virksomhet blir vanskeligere. I februar publiserte Norsk senter for informasjonssikring (NorSIS) rapporten «Trusler og trender 2019-2020». Rapporten gjennomgår trusselbildet for små og mellomstore bedrifter i perioden 2019-2020, og redegjør for både enkelte cyberhendelser fra 2019 og de 10 største digitale truslene vi står overfor i dag, som løsepengevirus, phishing, datainnbrudd og verdikjedeangrep. Til tross for dette fremgår det av rapporten at hele 1 av 4 virksomheter tror de er nærmest immune mot dataangrep. Hva som er årsaken til dette er uklart, men NorSIS peker på manglende informasjon og kunnskap om hva man skal gjøre som én mulig årsak.

Det er imidlertid ikke bare små og mellomstore bedrifter som utsettes for trusler. Også store samfunnskritiske virksomheter er utsatt for disse truslene. Den siste tiden har løsepengevirus vært i særlig fokus. Februar i år publiserte Norsk sikkerhetsmyndighet (NSM) sammen med Kripos en temaartikkel om løsepengevirus. Artikkelen fremhever at trusselen som løsepengeviruset representerer er vedvarende, og under kontinuerlig utvikling ved at også inaktive virus blir videreutviklet, forbedret og tatt i bruk på ny. I tillegg viser artikkelen at målrettede angrep mot bedrifter og andre virksomheter hvor store løsepengesummer er involvert øker. Særlig er bedrifter med tidskritiske prosesser utsatte mål. Dersom berørte systemer leverer kritiske tjenester, kan dette ha alvorlige omdømme-, økonomi- og sikkerhetsmessige konsekvenser for berørte virksomheter og deres kunder. NSM trekker også frem nettverksoperasjoner og andre digitale trusler i sin rapport «Risiko 2019». De store samfunnskritiske virksomhetene har gjerne en verdikjede bestående av mange små og mellomstore virksomheter og trusselaktørene vet hvordan de skal utnytte manglende fokus på sikkerhet hos disse leverandørene for å oppnå et større mål. Også PST peker i sin nasjonale trusselvurdering for 2020 på sårbarhetene ved et digitalisert samfunn og at stadig mer av trusselaktivitetene også mot grunnleggende nasjonale interesser foregår i det digitale rom. PST peker på at dette kan påføre staten så vel som samfunnet svært stor skade, både av økonomisk, sikkerhetsmessig og politisk karakter

I tillegg skaper dagens kaotiske hverdag med et herjende koronavirus enda større risiko for digitale angrep. I dag har de aller fleste arbeidstakere hjemmekontor for å hindre og forebygge smittespredning. Hjemmekontor kan utgjøre en trussel for alle bedrifter ved at det kan oppstå sikkerhetsutfordringer når man logger seg på bedriftens løsninger hjemmefra. Bakgrunnen for sikkerhetsutfordringene kan blant annet være at de ansatte ikke har fått god nok opplæring for denne bruken eller at bedriften mangler de interne nødvendige reglene og instruksjonene for slik hjemmebruk. De mange trusselaktørene vet hvordan de kan utnytte denne situasjonen. Som NorSIS påpeker, ble det bare i forrige uke observert flere angrepskampanjer via e-post. Trusselaktørene sender ut e-poster som ved første øyekast fremstår som sikre ved at de har avsendere som for eksempel Verdens helseorganisasjon. Problemet med disse e-postene er at de enkelt kan lure deg til å slippe inn skadelig programvare på datamaskinen din. Dersom du åpner et vedlegg kan skaden dessverre allerede ha skjedd.

I dag er det dermed enda større grunn for både virksomheter, ansatte og arbeidsgivere til å være bevisste på potensielle digitale trusler og til å forsøke å forhindre at slike trusler skal bli en realitet ved å iverksette tiltak.

Når må og bør en virksomhet beskytte seg mot digitale trusler?

Dersom en virksomhet behandler personopplysninger følger det av personvernforordningen (GDPR) en plikt til å iverksette styringssystem for informasjonssikkerhet, herunder å ivareta personopplysningenes konfidensialitet, integritet og tilgjengelighet. Andre opplysninger enn personopplysninger må også beskyttes dersom de er belagt med taushetsplikt. Uavhengig av dette vil det være i virksomhetenes interesse å ha tilstrekkelig beskyttelse av både informasjon, herunder forretningshemmeligheter, og systemer som er av vital betydning for kjernevirksomheten. Det er derfor essensielt at enhver virksomhet har oversikt over egne verdier og egne sårbarheter for digitale angrep.

NIS-direktivet ble vedtatt i EU 6. juli 2016. Direktivet pålegger medlemsstatene å sørge for et visst nivå for landets IKT-sikkerhet, og stiller krav til sikkerheten ved levering av tjenester, herunder enkelte digitale tjenester, som er av essensiell betydning for det indre markeds funksjon som tjenester innenfor sektorer som energi, transport, helse, bank/finans, vann, digital infrastruktur mv. Det arbeides nå med ny nasjonal NIS-lov. Desember 2018 sendte Justis- og beredskapsdepartementet på høring et utkast til en ny lov om nettverk- og informasjonssystemsikkerhet som skal kunne gjennomføre EUs NIS-direktiv i norsk rett.

Enkelte virksomheter vil også være underlagt sikkerhetsloven. Loven har fokus på forebyggende sikkerhet og oppstiller en rekke plikter for virksomheter som er omfattet av loven, herunder hovedsakelig virksomheter som har avgjørende betydning for grunnleggende nasjonale funksjoner. Dette tilsvarer tjenester som er av en slik karakter at et helt eller delvis bortfall vil få konsekvenser for ivaretakelsen av nasjonale sikkerhetsinteresser. Eksempler på tjenester kan være matforsyning, betalingstjenester og strøm- og energitjenester. Loven er lagt opp slik at et departement innenfor sitt ansvarsområde skal fatte vedtak om at loven skal gjelde innenfor sitt ansvarsområde.

Hvordan sikre egen virksomhet?

Som vist ovenfor er alle virksomheter utsatt for digitale trusler, og risikoen for trusler har økt den siste tiden som følge av kaoset og usikkerheten som koronaviruset skaper. Videre stiller en rekke regelverk krav til sikring av informasjon og virksomhet. Spørsmålet er hvordan man mest effektivt sikrer og beskytter egen virksomhet?

For å beskytte verdiene i selskapet er det viktig å ta en helhetlig og strukturert tilnærming til sikkerhetsarbeidet. Arbeidet krever kontinuerlig forbedring, og må inngå som en integrert del av øvrig virksomhetsstyring.

Videre innebærer dette at virksomheter tar en risiko- og trusselbasert tilnærming for å vurdere hvilke tiltak som skal iverksettes. Dette innebærer å forstå hvilke verdier som forvaltes i virksomheten, og hvordan disse i dag er sikret mot relevante tilsiktede og utilsiktede hendelser. Virksomheter må derfor gjennomføre risikovurderinger regelmessig. Med regelmessig menes at vurderingene må oppdateres slik at det tas høyde for endringer i sårbarheter, trusler og/eller egne informasjonsverdier. Disse risikovurderingene danner grunnlaget for videre iverksettelse av nødvendige forebyggende sikkerhetstiltak, samt prioriteringen av slike ulike tiltak. Risikovurderingen skal i tillegg gjennomgås, og om nødvendig revideres, jevnlig. En forutsetning for at virksomheter kan gjennomføre regelmessige risikovurderinger er at virksomhetene har tilstrekkelig kunnskap om både det til enhver tid rådende trusselbildet, og om selve gjennomføringen av slike risikovurderinger.

For å beskytte seg mot de vanligste sikkerhetstruslene er det en del grunnleggende sikkerhetstiltak som bør være på plass. Dette inkluderer å sørge for at programvare er oppdatert, og at sikkerhetsfunksjonene er aktivert. Videre vil god tilgangs- og rettighetsstyring bidra til å redusere sannsynligheten for uønskede hendelser. Testede sikkerhetskopieringsløsninger, der sikkerhetskopier av data ikke er tilgjengelig for maskiner utsatt for løsepengevirus, reduserer skadeomfanget ved et eventuelt løsepengevirusangrep. Gjennom en risiko- og trusselbasert tilnærming vil ytterligere tiltak avdekkes slik at virksomhetens verdier blir hensiktsmessig sikret.

I sin temarapport om løsepengevirus beskriver også NSM og Kripos enkelte tiltak for hvordan virksomheter kan forebygge slike løsepengevirus, men også andre dataangrep. Blant annet nevnes viktigheten av å finne ut hvilken programvare virksomheten har behov for slik at man kan sperre av all annen unødvendig programvare. Videre legges det vekt på bruk av brannmurer med logging for å kontrollere trafikk mellom ulike sikkerhetssoner og mot internett.

I relasjon til de ondsinnede e-postene som sendes ut av trusselaktører for å utnytte den krisesituasjonen vi nå står overfor beskriver NorSIS en rekke enkle tiltak som kan iverksettes for å skape et hjemmekontor fritt for trusler. Tiltakene deles inn i to kategorier; tiltak som arbeidsgiver bør iverksette og tiltak som de ansatte bør iverksette.

Når det gjelder tiltak som arbeidsgiver bør iverksette fremheves blant annet at arbeidsgiver bør sikre at den ansatte har tilstrekkelige ressurser til å jobbe hjemmefra, det bør være klare og tilgjengelige rutiner for hvordan den ansatte kan koble seg på virksomhetens ressurser hjemmefra. Ved pålogging bør en totrinnsautorisasjon være på plass. Avslutningsvis nevnes også viktigheten av at virksomheten har på plass gode rutiner for varsling og planer for hendelseshåndtering.

For den ansatte som har hjemmekontor kan det være lurt å unngå sammenblanding av det private utstyret og utstyret fra jobb slik at ikke jobbrelaterte dokumenter blandes sammen med private. Dette for å hindre at familiemedlemmer får tilgang til de jobbrelaterte dokumentene, og at viktig informasjon ikke lagres på enheter som har et lavere beskyttelsesnivå. Videre bør den ansatte unngå å laste ned spill på utstyret fra jobb fordi spillene kan inneholde skadelig programvare. I tillegg er det gunstig å logge ut eller låse enheten når den ikke brukes.

Spørsmål?

De digitale truslene vil ikke forsvinne med det første, og det er grunn til å tro at flere ondsinnede e-poster vil dukke opp i innboksen den nærmeste tiden. Ta kontakt dersom du spørsmål om rettsreglene som behandler sikring av egen virksomhet, eller hvordan du best kan sikre egen virksomhet.

 

Les mer om tiltakene til NSM og Kripos her: https://www.nsm.stat.no/aktuelt/nsm-og-kripos-gir-ut-temarapport-om-losepengevirus/

og her: https://www.nsm.stat.no/virksomhetssikkerhet/fire-enkle-tiltak-stopper-90-prosent-av-dataangrep/

Nærmere informasjon om tiltakene for hjemmekontor kan du finne her: https://norsis.no/norsis-og-nsr-lanserer-nettside-for-tryggere-hjemmekontor/


 

Temaside: Koronavirus

På denne samlesiden om koronaviruset vil Deloitte Norge legge ut relevant informasjon fra ulike forretningsområder.

Les mer her
Var denne siden nyttig?