Last ned guide

Lær mer om cybersikkerhet

Introduksjon

Den store globale trenden, som på ulik måte påvirker oss mennesker hvor enn vi måtte befinne oss i verden, er digitalisering. I dag aksesserer vi brukere stadig flere tjenester fra ulike enheter, når som helst og fra hvor som helst. Økende antall funksjoner og enheter digitaliseres og kobles på nett. Og vi kan alle bli utsatt for cyberkriminalitet, både små og store bedrifter, offentlige og private, teknologiske og ikke teknologiske og selvfølgelig også privatpersoner.

Det er viktig å forstå dagens trender i trusselbildet, ha interesse for temaet, kunne identifisere svakheter og skjønne hvordan du kan beskytte dataene dine mot disse truslene. Sårbarhetsflaten til våre verdier og interesser øker i takt med digitaliseringen og vi må ta det økende antall angrep på alvor. Sannheten er jo at dataangrep også kan sette samfunnskritiske aktører ut av spill, og det kan være en trussel mot samfunnet slik vi kjenner det.

Synes du det blir litt mange fremmedord innenfor cybersikkerhet? Vår ordliste gir deg forklaring på en mengde nøkkelord innen cybersikkerhet, og kan være nyttig å ha når du leser denne guiden.

Last ned ordlisten nå!

Cybersikkerhet er i alles interesse

Det er viktig for bedrifter, organisasjoner og personer å ha et hverdagsfokus på sikkerhet som forhindrer majoriteten av angrep. Vi har alle et ansvar for cybersikkerheten. For å oppnå en nasjonal motstandsdyktighet har vi stort behov for en cybersikkerhetskultur hvor hver og en av oss tar mer ansvar for sikkerheten i miljøet vi er en del av, både privat og på jobb. Men god sikkerhetskultur må komme i tillegg til, ikke istedenfor, tekniske sikkerhetsmekanismer. Og det starter med oss selv! 

Kvinne går og tekster på mobilen

Cybersikkerhet er et problem som kan påvirke alle nivåer i en bedrift, i en organisasjon og i samfunnet. Fra direktøren til alle de ansatte, kunder, medlemmer og individer. Det er bare én uheldig person som skal til, for å smitte et helt selskap eller et miljø, hvor alle dessverre blir skadelidende. Hvis cybersikkerhetpolicyen i en virksomhet ikke støttes av ledelse, drift, produksjon, økonomi, salg, marked og IT, vil bedriften kunne bli utsatt for sikkerhetsbrudd. Da kan både fortjeneste og omdømme bli svekket. En konsekvens av dette kan være en stor økonomisk utfordring for virksomheten. Cybersikkerhet er et felles ansvar og er i alles interesse. 

Alt for mange ser fremdeles på cybersikkerhet som et område underlagt IT-avdelingen og med svak integrasjon til resten av virksomheten. Heldigvis er dette i ferd med å endre seg,nå forankrer flere og flere bedrifter forankrer nå cybersikkerhet hos ledelsen og i styrerommet. Det er dog bekymringsfullt, tatt i betraktning det økte antallet og omfanget av angrep på mindre norske virksomheter, med det lave antallet bedrifter som har strategier for nettopp cybersikkerhet. En cybersikkerhetsstrategi bør og skal være helhetlig og ikke bare ha fokus kun på virus, software og hardware, men også kompetanse, kriseledelse og handlingsplaner. En bedrifts strategi kommer som kjent ovenfra, fra ledelsen og styret. Derfor må faktisk cybersikkerheten starte og forankres hos nettopp dem.

Tar vi cybersikkerhet på alvor?

Den digitale grunnmuren har de siste årene blitt ristet som ved ett jordskjelv i hele verden, og truer cybersikkerheten til et stort antall bedrifter. Grunnmuren slår sprekker og bedriftseiere føler seg utrygge og nettsikkerheten er i høyfokus. Cybertrusler er i ferd med å bli en alvorlig trussel mot den enkeltes privatliv og bedriftenes kjernevirksomhet. PST og Etterretningstjenesten mener digitale angrep er den mest sannsynlige trusselen mot landet vårt. 

Forebyggende arbeid er utrolig viktig. Det å foreta en sårbarhetsanalyse og påfølgende risikovurdering er den beste måten å beskytte vital informasjon på. Outsourcing av IKT-tjenester og cybersikkerhet kan være nødvendig simpelthen fordi man trenger kompetansen. Å velge en partner som kan rådgi og ruste deg for en stadig mer kompleks IT-infrastruktur i et trusselbilde som er i konstant endring, vil være et viktig og riktig valg.

Det er viktig å ikke glemme at sikkerhetsarbeidet er en balansegang som krever regelmessig oppfølging og justering. Vi må simpelthen ta det på alvor.

Hva må du vite om cybersikkerhet

Omfanget av digitale trusler øker i takt med digitaliseringen. Det å kjenne til noen teknikker som blir brukt av cyberkriminelle for å lure deg vil være et godt sted å starte for å sikre dine verdier. Det er blitt utrolig mye glimrende teknologi implementert i bedrifter og private hjem, men cyberkriminelle går oftere målrettet inn for å angripe det svakeste ledd, nemlig oss brukere.

Last ned vår hurtigguide om dagens cybertrusler, og få enda mer innsikt i ulike metoder cyberkriminelle benytter for å trenge forbi teknologien.

Så hvorfor angriper de brukerne? Enkelt forklart, en bruker kan lett overstyre sikkerheten ved å frivillig gi fra seg informasjon og ved å kjøre en software-oppdatering eller ondsinnet kode fra en “sikker” del av IT-nettverket. I hovedsak ber de cyberkriminelle deg om å åpne døra og slippe dem rett inn. Det beste forsvaret er å være årvåkne overfor disse forsøkene, på samme måte som du ville vært hvis en fremmed prøver å ta seg inn på kontoret eller hjemme hos deg. Vær oppmerksom og ikke inviter kjeltringene rett inn!

Woman working on computer

Det stiller krav til deg som leder, IT-ansvarlig og privatperson med tanke på sikring av nettverket, enhetene og IoT produktene dine. Dagens sikkerhetsløsninger kan komme fra en rekke ulike leverandører. Sammen med en god samarbeidspartner vil du kunne etablere en god sikkerhetspolicy og et godt sikkerhetsvern.

DU og JEG er den største trusselen og helt klart den største utfordringen også når det gjelder cybertrusler, er som på de fleste andre områder der individer er involvert: den menneskelige faktor. Man kan sørge for fysiske sikkerhetssystemer og gode IKT-systemer, men det er alltid vanskelig å gardere seg mot menneskelig svikt. De fleste angripere er klar over at det svakeste punktet som oftest er den menneskelige faktoren.

Sikkerheten blir ikke høyt nok prioritert. Til tross for at digitalisering i de aller fleste bedrifter står høyt på prioriteringslisten, blir ikke sikkerheten alltid vektlagt i like stor grad. Dette gjør at man blir langt mer sårbar for uvelkomne inntrengere i sine nettverk som kan tilegne seg sensitiv informasjon.

Nye trender og trusler

Trusselbildet er i konstant endring og utfordrer oss brukere. Vi er nødt til å lære og bli mer oppmerksomme på digitale trusler. Med bedre kunnskap vil man kunne unngå å være en sårbarhet og sikkerhetshull for bedriftens infrastruktur. Men hvilke nye trender og trusler må vi være klar over og beskytte oss mot?

man working behind a computer

Løsepengevirus (Ransomware)

En av de vanligste truslene mot små og mellomstore bedrifter i Europa og Norge er løsepengevirus. Det er også den trusselen som øker mest. Kjennetegnet for denne typen virus er at det krypterer filene på offerets datamaskin og krever løsepenger for å frigi dem igjen. Dette er helt klart en stor trussel mot bedrifter som har mange virksomhetskritiske filer lagret i datasystemene sine, og som kan miste tilgang til disse. Viruset spres som oftest via vedlegg og linker i e-poster, filer eller via infiserte nettsider.

ID-tyveri

I Norge har mer enn 150 000 personer blitt utsatt for ID-tyveri de to siste årene, viser en rapport fra NorSIS. Svindelen rammer både virksomheter og privatpersoner. Veldig ofte er svindlerens mål penger, varer eller tjenester – og hvem som helst kan bli rammet. Det handler om at noen oppretter kontoer i andres navn ved hjelp av stjålen identifikasjon og får levert varer og tjenester. I andre tilfeller prøver man å oppnå en større økonomisk gevinst, som å inngå kredittkortavtale eller ta opp lån. Fremgangsmåten er at personlige opplysninger som påloggingsinformasjon eller finansielle opplysninger og organisasjonsnummeret uhederlig blir sanket inn. Dette kan bli gjort ved hjelp av f.eks. ondsinnet e-post hvor du blir lurt til å oppgi informasjon (phishing) eller via SMS (smishing). Målrettede kampanjer mot utvalgte virksomheter eller personer (spear fishing)  forekommer også langt oftere. Datalekkasjer hos tjenesteleverandører kan også være en informasjonskilde, men også datainnbrudd (hacking) benyttes.

Phishing

Ifølge Europols årlige rapport om cybersikkerhet er phishing en av de største truslene mot bedrifter og privatpersoner. Ved hjelp av spissede phishing-angrep lurer kriminelle deg til å oppgi sensitiv informasjon om deg selv eller din virksomhet. Dataene de innhenter brukes ofte til ID-tyveri, utpressing og svindel, eller videreselges til andre kriminelle som misbruker informasjonen.Ved denne typen hackerangrep kontaktes som regel offeret via e-post, og avsenderen fremstår som en reell virksomhet, for eksempel banken din. De kan også benytte seg av «hackede» profiler og kontakte profileiers venner via meldinger eller SMS (såkalt smishing). På den måten lures man til å klikke seg inn på en falsk nettside for å «logge seg inn» eller oppgi sensitiv informasjon som fødselsnummer eller organisasjonsnummer. Svindlerne spiller gjerne på fristelse, frykt eller tillit for å oppnå den handlingen de ønsker. Svindlerne kan også ringe fra falske telefonnummer, utgi seg for å være noen helt andre og be om personopplysninger (såkalt spoofing).

Top 10 cybersikkerhetstrusler i 2020

I dagens digitale arbeidsmiljø kan det ikke ene og alene være IT-avdelingens ansvar å sørge for hele selskapets cybersikkerhet. Dette bør faktisk være det viktigste budskapet ditt på tvers av det digitale landskapet: Uansett hvor stor eller liten bedriften er, det er viktig å snakke og handle som én når det gjelder å beskytte digitale eiendeler og bedriftseiendom. Ledelse og ansatte hånd i hånd. Sammen vil dere stille sterke i kampen mot de cyberkriminelle.

Top 10 cybersikkerhetstrusler virksomheter står overfor i 2020

·       Inkonsekvent eller ingen cybersikkerhetstrening

·       Dårlig passordpolicy

·       Tar ikke oppdateringer på alvor

·       Usikrede personlige enheter

·       Malware og Ransomware på mobil

·       Cookies kan være en risiko

·       Endepunktsikkerhet hos fjernarbeidere

·       Cloud Jacking – kapring av filer i skya

·       Deepfakes

·       Innsiderisiko

Lær hvordan du finner ut om du er hacket: Slik oppdager du om du har blitt hacket

Hvor skal du starte for å forsvare deg?

Cybersikkerhet krever at man har god innsikt i mulige trusler, sikkerhetshull, tekniske behov og utfordringer bedriften din står ovenfor. For å ta vare på informasjonssikkerheten trenger man å danne seg et totalbilde av IT-sikkerheten i virksomheten, og i hvilken grad bedriften er eksponert for begivenheter som kan ramme eller påvirke den daglige driften.

Oppgitt jente foran PC

Ved å kartlegge sannsynligheter og konsekvenser av uønskede hendelser, som for eksempel muligheten for phishing-angrep, DDoS-angrep, sikkerhetshull og andre trusler, kan man prioritere risikoområder og planlegge tiltak for å forhindre dem eller redusere konsekvensen av dem dersom de skulle oppstå. En kostnadseffektiv inngangsbillett til tryggere infrastruktur vil være å foreta en innsiktsrapport.

Du kan ikke starte et bedre sted hvis du ønsker en status på nettverk, hardware og software, samt sikkerhet før en utbedring eller oppgradering.Innsikt Sikkerhethjelper deg å oppdage eventuelle sikkerhetshull og gir deg full oversikt over sikkerhetstilstanden i din virksomhet. Samt sørger rapporten for å gi deg innsikten du trenger for å sikre bedriftens digitale verdier.

Hackernes motiver og metoder

Hva driver hackerne til å gjøre det de gjør og hvilke metoder tar de i bruk?

Mann sitter foran PC skjermer i mørket

Motiver

Når vi ser hvilke summer denne typen kriminalitet innbringer skjønner vi jo at økonomi er et motiv. Det finnes også andre ulike motiver for at hackerne gjør det de gjør.  Et par store globale studier på cybersikkerhet viser disse motivene bak ulike angrep:

 

·       Løsepenger (41%)

·       Insider-trussel (27%)

·       Politiske grunner (26%)

·       Konkurranse (26%)

·       Cyberwar (24%)

·       Sinte brukere (20%)

·       Ukjent motiv (11%)

 

Metoder

Det florerer av dataangrep og svindelforsøk på nettet. Måten de arbeider på avhenger ofte av hvilket ferdighetsnivå de har. Den store utfordringen er hvordan du kan beskytte deg mot alle disse truslene. Det er helt nødvendig å finne nye måter å identifisere truslene på og du må opparbeide deg en forståelse for hvordan de cyberkriminelle jobber. Vi kan ikke lenger forbli naive og tro at dette ikke gjelder oss alle. Alle er et mål hos de cyberkriminelle og det er viktig at vi forstår hvordan og hvorfor. Vi må øke kompetansen for å endre adferd og holdninger i henhold til informasjonssikkerhet.

Security Ambassador i Telenor, Jan Petter Torgersrud, mener de billige og effektive metodene for å infiltrere nettverk er en ny type krigføring, som kan medføre enorme konsekvenser.

« Skadelig programvare blir installert via en ansatt-PC som er koblet opp på virksomhetens servere. Herfra kan angriperne kjøre utpressingsvirus på alle firmaets maskin­er og servere samtidig,» forklarer Torgersrud.

Metodene er mange og vi ser at det ofte er slik hackerne angriper

iMac med tastatur og mus
  • Sosial manipulering er sannsynligvis den mest brukte metoden de cyberkriminelle bruker i dag. Det finnes flere former for sosial manipulering og de vanligste i dag er phishing, baiting, elicitation, pretexting, tailgating, malvertaising og e-post fra "en venn".

  • Direktørsvindel er en økende svindeltrend, også kalt CxO-svindel. De kriminelle forsøker å lure til seg penger ved å angripe ledere og andre nøkkelpersoner.

  • DDoS-angrep, også kjent som tjenestenektangrep, brukes for å lamme en virksomhet. Vi vil garantert se flere DDoS-angrep etter som tingenes internett øker i omfang. Tjenestenektangrep går ut på å lamme tilgangen til en nettside eller tjeneste slik at en organisasjon blir satt ut av spill for en kortere eller lengre periode.

  • Honningfeller (Honey Traps) er betegnelsen man benytter på det å bruke fristelser til å lokke en person inn i en form for felle. Vi ser det ofte brukt i forbindelse med nettkriminalitet, men også i forbindelse med spionasje utført av fremmede makter.

  • Credential stuffing - Det sies at kjært barn har mange navn, selv om vi ikke akkurat snakker om noe kjært når vi snakker om cyberangrep, så har denne angrepsformen mange navn. Den er kjent som både credential validation attack og identity attack, samt passord-spraying og passordtesting. For å gjennomføre et credential stuffing angrep må angriperne først få tak i lekkede brukernavn og passord fra et datainnbrudd. Når de kriminelle har denne informasjonen tester de den på et bredt spekter av nettsteder og mobilapplikasjoner. Slik kan de tilegne seg urettmessig tilgang til brukerkontoer.

Du er ikke nødvendigvis målet

Det egentlige målet for angrepet kan være noen helt andre enn dine ansatte, eller motivert av at sårbarheter finnes og kan utnyttes. Dette har for eksempel vært tilfelle med en del løsepengevirus-kampanjer vi har sett de siste par årene. 

De fleste angrep som lykkes skjer fortsatt på denne måten, og det er her din virksomhet bør prioritere innsatsen. Det betyr å sikre at viktige IKT-systemer skjermes mot direkte tilkoblinger fra eksempelvis ansattes PC-er. Et annet effektivt tiltak er å innføre sikkerhet i flere lag.

De mest kjente hackertypene

Det ligger ulike hensikter bak alle hackerangrep. Noen hackere jobber med å utfordre datasikkerheten til bedrifter, og forsøker å finne hull i sikkerhetsnettet. Andre hackere er kriminelle, og bruker sikkerhetshull og feil, til egen eller andres vinning. Det finnes flere ulike hackertyper og alle har forskjellige hensikter med det de gjør. 

Dette er de mest typiske hackertypene du burde kjenne til:

·       White Hat Hackers

·       Black Hat Hackers

·       Grey Hat Hackers

·       Script Kiddies

·       Hacktivists

·       State Sponsored Hackers

·       Spy Hackers

·       Cyber Terrorists

IoT øker faren for sikkerhetsbrudd

Nye rutiner og fokus på sikring av PC-er, mobiltelefoner og nettbrett sørger for at datakriminelle må bruke andre metoder for å komme seg inn i virksomhetens nettverk.

Med et økende antall av WiFi-tilkoblede produkter som kaffemaskiner, trådløse høyttalere, konferanseutstyr, sensorer, printere, biler, lyspærer, adgangskontroller og andre IoT-enheter, ligger alt til rette for at nye bakdører står vidåpne inn i systemene dine. Hvorfor er det sånn?

Produsenter og gründere som er utrolig gode på produktinnovasjon og digitalisering av produkter er ikke nødvendigvis spesielt opptatt av, eller veldig kunnskapsrike på digital sikkerhet.For slike typer produkter er sikkerheten ofte svært lav eller ikke-eksisterende, slik at de cyberkriminelle lett får tilgang til bedriftens nett via IoT-enhetene. En av farene ligger i at produktene sjelden lar seg oppdatere hvis sikkerhetsbrudd blir påvist.

IoT

Mange IoT-produkter blir også laget for rask pengeinntjening, ofte av gründervirksomheter, disse tenker gjerne profitt og ikke cybersikkerhet. Dessverre er det nok slik at enheter som ikke kan oppdateres, heller ikke kan holdes sikre over tid. Dette problemet vil også vedvare så lenge disse enhetene er i live, og slik bygges en hær av usikre endepunkter klare til å bli misbrukt.

Trendprodukter på nett øker faren for sikkerhetsbrudd.

Plutselig er det veldig interessant hvis for eksempel banken har flere IoT-produkter knyttet til sitt nettverk. I tillegg er det mange av disse enhetene som ikke kan konfigureres, slik at man blir nødt til å bruke dem med fabrikkinnstillingene.

Syv ting å tenke på når det gjelder IoT sikkerhet

Kostnaden av et hackerangrep

Visste du at nettkriminaliteten er spådd å koste verdenssamfunnet den nette sum av 600 milliarder dollar per år innen 2021 i følge Cybercrime Magazine, og at denne summen er spådd å øke? 29 % av mellomstore selskaper sier sikkerhetsbrudd koster dem mindre enn $ 100K. 20 % sier det koster $ 1.000,000- $ 2.499,999 kan vi lese i Ciscos Cybersecurity Special Report. Her er det altså snakk om eventyrlige summer, og de fleste ønsker bare å lukke øynene for problemene. Smart? Nei, ikke så veldig.

I rapporten henvises det også til resultater fra Ciscos Security Capabilities Benchmark Studie som konkluderer med at mer enn 54 % av alle cyberangrep gir økonomiske konsekvenser på mer enn $ 500K inkludert, men ikke begrenset til, tapte inntekter, kunder, muligheter og andre kostnader. Dette beløpet er nok til å sette en uforberedt liten eller middels stor organisasjon ut av drift på permanent basis.

Èn enkelt e-post kan koste bedriften din millioner – slik kan du stoppe den

Bedriften din er ikke sikrere enn det svakeste ledd. Når selv store konsern rammes, hvor sikker er da din bedrift?

51% av norske ansatte vurderer sjelden eller aldri om en e-post kommer fra en mistenkelig avsender, om vedlegg eller lenker kan være skadelige, eller utgjør en stor sikkerhetsrisiko.

Dette viser tall hentet fra innsiktsrapporter Telenor har gjennomført for å kartlegge IT-sikkerheten i norske bedrifter. Her kommer det fram at ledelsen i mange norske selskaper gjerne overlater til IT-avdelingen å «styre med sikkerheten», uten å tenke nok over at styret selv har ansvar for å bygge opp en bedriftskultur som tar sikkerhet på alvor.

Lurer du på om e-postadressen din har kommet i feil hender?

Her får du svaret! – Sjekk om din adresse har blitt hacket

Credential stuffing koster selskaper over 5 milliarder dollar i året

Credential stuffing angrep står også for 80-90 % av detaljhandelens innloggingstrafikk. En merkeforhandler av luksusvarer opplevde i 2017 at hele 99 % av trafikken til deres innloggingsside var angrepstrafikk. Denne typen angrep er estimert til å koste amerikanske selskaper totalt rundt 5 milliarder dollar i året.

Enkelt forklart er Credential stuffing den automatiserte utfyllingen og testingen av lekkede brukernavn og passord for å urettmessig få tilgang til brukerkontoer. Det sies at kjært barn har mange navn, selv om vi ikke akkurat snakker om noe kjært når vi snakker om cyberangrep, så har denne angrepsformen mange navn. Passord-spraying, passordtesting, credential stuffing, credential validation attack og identity attacks er noen.

Få med deg bloggposten Så lett kan passordet ditt havne i feil hender! Så får du våre råd om hvordan du kan sikre deg mot denne typen cyberkriminalitet.

Slik kan du sikre virksomheten din mot cyberkriminalitet

Gode forebyggende aktiviteter og tiltak bidrar til redusert sårbarhet og reduserte konsekvenser. Presset fra cyberkriminelle bidrar til at det må tenkes nytt om hvordan vi sikrer våre digitale verdier og cybersikkerhet må få større fokus. Samfunnets evne til å beskytte seg selv er avhengig av at både offentlige og private virksomheter har tilstrekkelig digital sikkerhetskompetanse.

Sikre PC-en din
  • Opplæring i sikkerhetsrutiner
    Sørg for at ansatte får nødvendig opplæring i bedriftens sikkerhetsrutiner med et spesielt fokus på å sikre verdier mot sosial manipulasjon og svindel.

  • Styrk sikkerhetskunnskapen
    Et godt tiltak er å styrke medarbeideres sikkerhetskunnskap. Gjerne ved bruk av intern trening, enkel og målrettet opplæring, video, eller ta i bruk 

  • Kartlegging og innsikt
    Ved å kartlegge virksomhetens digitale sikkerhetskultur vil du avdekke behovet for å iverksette tiltak for å tette sikkerhetshull. For å ta vare på informasjonssikkerheten trenger man å danne seg et totalbilde av IT-sikkerheten i virksomheten, og i hvilken grad bedriften er eksponert for begivenheter som kan ramme eller påvirke den daglige driften. En kostnadseffektiv inngangsbillett av kartlegging er å gjennomføre en innsiktsøvelse som fører til en innsiktsrapport.

  • Spesiell opplæring for økonomimedarbeidere
    For å forhindre og gjøre det vanskeligere å gjennomføre direktørsvindler bør det innføres rutiner og gis opplæring rettet mot dette temaet til økonomimedarbeidere.

  • Kontroll på IT-infrastrukturen
    For at ansatte skal kunne jobbe effektivt og ha tillit til arbeidsverktøyene må de kunne stole på IT-systemene. Dette gjøres ved å etablere robuste systemer og tjenester, konfigurere og tilpasse maskin- og programvare og verifisere at konfigurasjonen er riktig. Infrastrukturen vil være utsatt for både indre og ytre påvirkninger hele tiden. Sørg for å ha kontroll på all data, tjenester og tilganger, rutiner for GDPR og sikring av nettsider og e-post.

  • Oversikt over dine digitale verdier og eksponering
    Ikke undervurder viktigheten av å kjenne selskapets digitale verdier og vit hvor du eksponerer dem for å ta bevisste valg om sikring og beskyttelse. Sørg for å ha en strategi for digital informasjonssikring, og ved å ha en god IT-driftsavtale kan du redde deg fra katastrofe.

  • Tilgang til kvalifisert hjelp
    Det er viktig å ha en kriseløsning klar før et eventuelt dataangrep. Da kan skadene og kostnadene ved disse bli langt lavere. En leverandør og rådgiver tilbyr tjenester og råd for håndtering av datakriminalitet og vil kunne bistå deg hvis uhellet er ute.

  • Plan for hendelseshåndtering
    Sørg for å ha på plass en plan for hvordan dere skal håndtere en cyberangrepshendelse. Planen skal inneholde tydelige rutiner for varsling av toppledelse, styre og eventuelt offentlige myndigheter ved et sikkerhetsbrudd. Den skal også inneha en klar policy for håndtering av løsepengevirus og betaling knyttet til dette.

  • Følg myndighetenes råd om IT-sikring

    NSMs grunnprinsipper for IKT-sikkerhet er et sett med anbefalinger for hvordan virksomheter kan sikre sine informasjonssystemer. Hvilke anbefalinger som er relevante vil variere fra virksomhet til virksomhet. For store virksomheter vil de fleste tiltakene være relevante, mens mindre virksomheter i større grad må prioritere. Grunnprinsippene kan danne en basis for bransjenormer og kan utdype IKTanbefalinger i sektorregelverk. De kan benyttes i egen virksomhet og være til hjelp ved kjøp av IKTtjenester.

    1. Identifisere og kartlegge

    2. Beskytte og opprettholde

    3. Oppdage

    4. Håndtere og gjenopprette

  • AI kan forbedre cybersikkerheten
    Etterspørselen etter cybersikkerhetskompetanse øker, men det finnes ikke nok kvalifiserte eksperter. Kognitiv teknologi kan løse mangelen på fagfolk innen cybersikkerhet ved å automatisere rutineoppgaver, øke responsen og la cyberekspertene fokusere på arbeid som krever menneskelig ekspertise. Kognitiv teknologi egner seg godt for dataanalyse, automatiske oppdateringer og repetitive oppgaver. I følge en undersøkelse Deloitte har gjennomført er arbeidsledigheten innen cybersikkerhet på null prosent og med et stort økende behov for nye stillinger globalt og nasjonalt. I mellomtiden øker antall og omfang av cybertrusler. Resultatet er et skrikende behov for sikkerhetskompetanse som kan lettes ved hjelp av kognitiv teknologi, men ikke løses.

Sikkerhet i flere lag – gir raskere deteksjon og lagvis beskyttelse

For styrket sikkerhet bør du fokusere på primære sårbarhetsområder – e-post, endepunkter og internett. Sikkerhet i flere lag sikrer alle endepunkter, styrker tilgangssikkerheten, sørger for sikker nettsurfing og overvåker e-poster døgnet rundt, året rundt. Skulle det oppstå en kritisk hendelse blir det satt i gang mottiltak. Du vil bli varslet, og vi jobber sammen både for å rydde opp og sørge for at situasjonen ikke oppstår på nytt. For å sikre at trusler fanges opp et sted i løsningen og blir en del av forsvaret i de andre lagene, støtter vi oss på maskinlæring og kunstig intelligens.

Tjenestene i lagvis sikkerhet er tilpasset dagens trusselbilde og sørger for at trusler blir stoppet på en effektiv måte. Dersom en trussel har kommet gjennom det første laget blir den fanget opp og stoppet i det neste sikkerhetslaget.

1 - Sikre endepunkter: Beskytter enheter både online og offline, uansett hvor du eller dine ansatte befinner dere, og erstatter vanlige antivirus programmer.

2 - Sikker nettsurfing: Dette sikkerhetslaget fungerer som et førstelinjeforsvar og sikrer at du og dine ansatte surfer sikkert på nettet og ikke blir ofre for phishing.

3 - Sikker e-post: Beskytter mot skadevare, spam og virus i innkommende e-poster, og kontrollerer utgående e-poster.

4 - Multifaktorautentisering: Styrker tilgangssikkerheten med to metoder for å identifisere seg.

Les gjerne: Et enkelt tiltak gir deg mye bedre sikkerhet

5 - En unik del av den lagvise sikkerhetener er 24/7 overvåkning. Det betyr at alt blir monitorert døgnet rundt, hele året.

6 gode råd for sikkerhet på hjemmekontoret

Verden settes på prøve, utfordringer står i kø og vi må tenke nytt og innordne oss en midlertidig ny hverdag. Et økende antall ansatte over hele landet må nå jobbe fra hjemmekontor. I samme øyeblikk som de ansatte tar med jobbens PC ut av kontoret og jobber mot virksomhetens løsninger hjemmefra, oppstår det flere sikkerhetsutfordringer. Dessverre har ikke alle virksomheter de nødvendige reglene, eller har gitt sine ansatte god nok opplæring for denne typen bruk. Dette vet kriminelle hvordan de skal utnytte.

Mann sitter og jobber ved pult på hjemmekontor

1 – Vær varsom med alle e-poster som forsøker å gi info om Koronaviruset. Det er mange falske budskap i omløp for tiden. Stopp-tenk-klikk metoden kan forhindre at du blir utsatt for phishing-svindel.

2 – Sørg for at maskiner til enhver tid er oppdatert med siste versjon av Windows. Husk at oppdateringer kun må lastes ned og installeres fra sikre/kjente kilder.

3 – Vi oppfordrer også til at man bør benytte arbeidsgivers PC til jobbting og ikke benytte private enheter til jobbrelaterte oppgaver, da disse ofte er dårligere beskyttet. Ikke la andre (f.eks. barn) benytte jobb PC-en.

4 – Sørg for å ha multifaktorautentisering på ulike tjenester og enheter.

5 - Dersom man fortsatt må nå tjenester som er sentralt plassert (ikke sky), bør man benytte tunell-all VPN. På den måten sluses all trafikk gjennom jobbens sikkerhetssystemer.

6 – Pass på at virksomheten har varslingsrutiner og planer for hendelseshåndtering og at alle som jobber på hjemmekontor kjenne til disse. Har man ikke slike rutiner på plass bør alle informeres om å kontakte nærmeste leder ved hendelser.

Kriminelle utnytter digitaliseringen av samfunnet til egen fordel, også i en pandemi-situasjon slik den vi er i nå. Koronakrisen skaper usikkerhet i samfunnet og vi befinner oss alle i en sårbar situasjon hvor vi lettere kan la oss påvirke. Det kan svindlerne utnytte til sin fordel, sier Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor Norge.

Ikke gå glipp av sakene 6 gode råd for sikkerhet på hjemmekontoret og Slik bedrer du datasikkerheten på hjemmekontoret så får du gode råd til en tryggere hverdag på hjemmekontoret.

Du er ikke alene om å synes cybersikkerhet er vanskelig!

Hvordan står det egentlig til med cybersikkerheten i din bedrift? Har du forretningskritiske systemer du ønsker sikret, men usikker på hvordan du skal gå frem? Dette er spørsmål mange ledere og mellomledere stiller seg, du er slett ikke alene om å synes cybersikkerhet er vanskelig. Det er veldig forståelig at dette kan føles overveldende. Med stadig flere enheter, prosesser og tjenester som kobles sammen er det vanskelige å beholde oversikten. Men husk at det ikke er sikkert at du trenger å beskytte alt – du må beskytte det som er viktig. Start med å finne ut hvilken informasjon som er viktigst og som må sikres.

Forsikring mot cyberangrep

På bakgrunn av de skyhøye kostnadene ved et sikkerhetsbrudd vil det nok være en god investering å ha en cyberforsikring. En slik forsikring sikrer din bedrift mot angrep og utpressing, og beskytter data som er lagret i skyen. Likevel har de færreste bedrifter forsikringer som dekker dette. Det er flere aktører i markedet som tilbyr slik forsikring. Innholdet i de ulike forsikringene varierer noe fra leverandør til leverandør, så det kan anbefales å sette seg nøye inn i hva som tilbys kontra krav man har. Sjekk listen over leverandører vi har kikket nærmere på:

God diskusjon på kontoret

-          NHO Forsikring

-          IF

-          Tryg

-          CODAN Forsikring

-          Gjensidige

-          VIRKE

-          NIP

Nyttige medier og kilder innen cybersikkerhet

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

NorSIS: er en del av regjeringens helhetlige satsing på informasjonssikkerhet i Norge. Målgruppen for NorSIS’ aktivitet er norske virksomheter i privat og offentlig sektor. NorSIS skal så langt som mulig også imøtekomme innbyggernes behov, og alle samfunnsgrupper skal kunne dra nytte av NorSIS tjenester. NorSIS skal opptre som en nøytral informasjonssikkerhetsinstans, og skal samarbeide med virksomheter for gjennomføring av informasjonssikkerhetstiltak.

CCIS: Senter for cyber- og informasjonssikkerhet (NTNU CCIS) er et nasjonalt senter for forskning, utdanning og kompetanseutvikling innen cyber- og informasjonssikkerhet.

NSR: Næringslivets sikkerhetsråd er en medlemsorganisasjon som har som formål å forebygge kriminalitet mot næringslivet. Arbeidet gjøres gjennom formaliserte og aktive nettverk bestående av offentlige sikkerhetsmyndigheter og medlemmer fra næringslivet, samt rådgivning, kurs og seminarer.

Mann sitter foran PC og tenker

Telenor: Vi tar din digitale sikkerhet på alvor og sørger for å holde deg oppdatert og rådgir deg om sikring av dine verdier. Hos oss finner du informasjon, løsninger og tjenester som gjør deg tryggere på nett.

Slik beskytter vi Norge: Finn ut hvordan vi jobber for å ta vare på din og Norges sikkerhet.

Trygg bedriften: Slik kan du sikre din bedrifts verdier mot dataangrep.

Din trygghet: Dette er farene som truer på nett og slik blir du tryggere.

Trygg barna: Slik gir du barna dine en tryggere netthverdag.

Trygg hjemmet: Finn ut hvordan du kan sikre smarthjemmet og nettet ditt mot inntrengere.

Alle sikkerhetsprodukter: Se alle våre sikkerhetsprodukter, programmer, apper og tjenester.

Smart Sikkerhet fra ende-til-ende

Trusselbildet er i konstant utvikling, og det er vi også. Vi ser at dagens sikkerhetsmarked består av mange aktører, produkter og fagfelt. Dette resulterer i fragmenterte løsninger basert på siloer av informasjon. Høyt tempo og avanserte trusler i konstant endring utfordrer sikkerhetsmarkedet og gjør det uoversiktlig for deg. 

Smart sikkerhet - Telenor

Vårt konsept Smart Sikkerhet (fra ende-til-ende) er basert på et fåtall markedsledende produsenter. Dette vil sikre god og sikker flyt av informasjon mellom funksjonalitetsområder i sikkerhetsarkitekturen og dynamisk håndtering av nye trusler. Konseptet innehar fire egenskaper i et arkitektonisk perspektiv: integrasjon, automasjon, intelligens og innsikt. Dette sørger for beskyttelse, deteksjon, analyser og grunnlag for respons. Helheten av disse fire egenskapene bidrar til proaktivitet. Hvis du som selskap har kontroll på disse fire elementene, enten selv eller via partnere, så har du et godt grunnlag for å ivareta sikkerheten.