<img src="" width="1" height="1" alt="">

Dette nettstedet bruker informasjonskapsler (cookies) for å gi deg en best mulig funksjonalitet og brukeropplevelse.
Du kan lese mer om hvordan vi bruker informasjonskapsler i vår personvernerklæring. Ved å fortsette og benytte siden aksepterer du vår bruk av cookies.

×
Datasikkerhet

Datasikkerhet

Datasikkerhet spiller en stadig viktigere rolle, grunnet digitalisering og den økende tilgangen til data. 

sikkerhet

Datasikkerhet spiller en viktigere rolle i dagens samfunn enn noen gang før. Hverdagen styres mer og mer av digitale løsninger, og tilgangen til data har aldri vært større. For mange bedrifter skaper dette omfanget av data store konkurransefortrinn på den ene siden, men gir også store utfordringer med datasikkerhet. Sikring av denne dataen er viktigere enn noen gang. Men hvordan sørger du for å sikre data? Og hvilke trusselbilder må du være obs på? Og hva er egentlig datasikkerhet?

Sikker data med Visolit

Det dukker gjerne opp mange spørsmål rundt sikkerhet, men en ting er sikkert: datasikkerhet må tas på alvor. Vi gir deg et dypdykk i datasikkerhet: 

Hva er datasikkerhet?  

Datasikkerhet omtales ofte som informasjonssikkerhet. Formålet med datasikkerhet er at det skal beskytte forretningsdokumenter, personopplysninger eller immaterielle rettigheter. Dette er informasjon som kan lagres på mange forskjellige måter: i dokumenter, bærbare eller mobile enheter (både personlige eller bedriftens), flyttbare disker, servere og lignende.

Vi samler inn mer data enn noen gang før, og dette gjør at viktigheten av datasikring har økt i samme takt. For en sikker og effektiv IT-sikkerhet følges tre hovedpunkter: 

Konfidensialitet 

Informasjonen din holdes konfidensiell i alle ledd av din verdikjede, lagring, kryptering og utveksling 

Integritet 

Det er viktig at din informasjon ikke blir endret av uvedkommende i samme verdikjede som overnevnte punkt, samt sikring av backup, med sjekksum og lignende. 

Tilgjengelighet 

På tross av sikring skal informasjonen din være lett tilgjengelig, og rutinene og prosedyrer for tilgangen skal gjøres så enkelt som mulig for brukeren. 

Hva er cyber security 

Når det kommer til data, og begreper som går inn under alt som omhandler data, kan det fort oppstå misforståelser. Dette er kanskje ikke så rart i en digital verden som stadig er i utvikling - nye ord og uttrykk dukker opp jevnligCyber security blir for eksempel ofte forvekslet med informasjonssikkerhet. Men er ikke dette det samme? Der informasjonssikkerhet, som også ofte blir kalt for IT-sikkerhet, omhandler beskyttelse av informasjon i både fysisk og digital form, går cyber security ut på å beskytte IT-systemer og komponenter (data, software og hardware), og den digitale infrastrukturen fra angrep.

Risikoen for å bli utsatt for datakriminalitet er stadig økende, noe som gjør at god sikkerhet rundt nettsider, servere, brukerkontoer, programmer og datasentre er viktigere enn noen gang.

Med en stadig endring i måten vi jobber på, eksempelvis økt bruk av skyen, er cyber security blitt en viktig del av datasikringen. Datakriminelle kan (og vet) å utnytte sikkerhetshull i nettverket. Cyber security bidrar til å tette disse hullene gjennom analyser av interne og eksterne nettverk eller systemer, der man ser etter sårbarheter i alle ledd av infrastrukturen, samt ikke-autorisert trafikk og tilganger. 

Få med deg Visolit LiveTalk om sikkerhet:

[SE WEBINAR] VisolitLiveTalk

Datasikkerhet - tre grunnpilarer 

For at din data skal være sikret bør de støttes opp av tre pilarer som må være på plass. Disse er: mennesker, prosesser/rutiner og teknologi. Faller en av pilarene, faller fort de andre også.  

Mennesker  

Det anslås at ca. 90 % av alle dataangrep er forårsaket av menneskelige feil eller oppførsel. Det er derfor viktig at alle i bedriften har grunnleggende kunnskaper rundt datakriminalitet og datasikkerhet. Dette gjelder hver enkelt ansatt, ikke bare de som jobber med IT i bedriften (de sitter mest sannsynlig på innsikt rundt dette). De som sitter med IT som ansvarsområde i bedriften må på den annen side alltid være oppdatert på trusselbildet.

Grunnleggende kunnskaper:  

Ikke del passordet ditt, ikke åpne mistenkelige e-poster, meld alltid fra ved den minste mistanke om angrep.

Hvordan sikrer du at dine ansatte har grunnleggende informasjon/kunnskaper? Du bør fokusere på opplæringer, e-poster med informasjon om eventuelle trusselbilder, og du bør ikke minst kartlegge kunnskapsnivået på hver enkelt ansatt for å finne ut hvilken opplæring du bør prioritere til den enkelte.

Prosesser/rutiner  

Hvilke rutiner eller prosesser har dere dersom dere skulle bli utsatt for et dataangrep? Og kanskje viktigere, for å forhindre at dette skal skje? Og når hadde dere en gjennomgang av disse rutinene sist? Datakriminelle jobber på stadig mer sofistikerte og utspekulerte måter. Deres egne rutiner bør derfor kunne holde tritt med utviklingen. 

Grunnleggende rutiner:  

Passord er personlig, alltid. Disse deles ikke med noen andre på jobben (med, kanskje, unntak av IT-ansvarlig). 

Ved den minste anelse om et forsøk på dataangrep skal dette meldes fra om (her gjelder ikke ordtaket “å rope ulv ulv”, bedre med flere ganger for mye enn en for lite). 

Alle skal kunne/kjenne til rutinene dere har. Disse må kommuniseres klart og tydelig til alle i bedriften.   

Teknologi  

For å minimere risikoen for dataangrep er teknologi den siste pilaren. Det finnes flere forskjellige teknologier som kan hjelpe deg med datasikringen. Internet of Things sørger også for at det er minst like mange enheter som trenger denne beskyttelsen. Du tenker kanskje at det holder vel og lenge med beskyttelse på datamaskinen på jobb? Men hvordan er egentlig data og informasjon sikret når du sjekker jobbmailen på mobilen? Spesielt utenfor jobb på et usikret nettverk? 

Essensielt å beskytte: 

Datamaskiner, stasjonære og laptop, mobile enheter, rutere og skytjenester. 

Teknologien som hjelper deg:  

Brannmur, DNS-filtrering, malware beskyttelse, antivirus software og sikkerhetsløsninger rundt e-post. 
 

Hvordan kan du bli angrepet?  

Risikoen for dataangrep blir stadig større, og angrepene stadig mer avanserte, det er derfor viktig at din IT-sikkerhet er oppdatert til enhver tid. Vi har laget en liste som forklarer de mest vanlige angrepsformene, og hva du bør se etter for å minimere risikioen for å bli rammet.

Phishing  

Denne formen for angrep har vært med i gamet en god stund. Dette er ikke uten grunn. Angrepet forsøker å lure deg til å gi fra deg sensitiv og hemmelig informasjon. Eksempler på dette kan være at du får en e-post som tilsynelatende ser ut som at den er fra banken din som ber deg om å logge inn grunnet oppdateringer i programvaren. Du følger en link der siden du havner på er helt lik som siden til banken din. Når du derimot logger inn skjer det ikke annet enn at du har gitt fra deg informasjonen din. 

For å unngå: Se på avsender av e-posten hver gang du får en oppfordring til å logge inn et sted. Er avsender for eksempel Nordae og ikke Nordea er du mest sannsynlig utsatt for et forsøk på angrep. 

DDoS-angrep (distributed denial-of-service)  

Dette er en angrepsform som vil kunne skade bedriften din hardt, uten nevneverdig innsats fra angriperen sin side. Et DDos-angrep går ut på at angriperen sender store mengder med trafikk til nettsiden din og på den måten overbelaster serverne. Dette kan ha store konsekvenser dersom nedetiden for nettsiden din varer over en lenger periode.

For større bedrifter anslås det at et DDoS-angrep har en gjennomsnittlig kostnad på 2 millioner dollar. For å trekke frem et skrekkeksempel: I desember 2014 ble Playstation Networks serverene utsatt for et DDoS-angrep, noe som sørget for at online funksjonen for Playstation-spillerne ble satt ut av drift. Sony hevdet senere at prislappen for angrepet var på hele 35 millioner dollar.  

Virus 

Et datavirus er en skadelig kode som gjerne kommer seg inn i dataen på en måte som ikke blir oppdaget. På samme måte som et vanlig virus i kroppen vår, vil dataviruset duplisere seg og spre seg til andre datamaskiner på nettverket. Dette gjøres gjerne ved å feste seg til filer som blir delt.  

Orm 

Ormer kan minne om virus, men er gjerne hakket mer sofistikerte. De trenger blant annet ikke å feste seg til en fil for å spre seg videre til andre datamaskiner eller enheter på nettverket. 

Trojansk hest 

Trojanere har sitt navn fra den greske mytologien. De kamuflerer seg gjerne som en programvare som utfører skadelige aktiviteter når det blir åpnet.

Malware 

Fellesbetegnelse for filer eller programmer som har som formål å gjøre skade. Trojanske hester, virus, orm og spyware går under malware. 

Ransomware (løspengevirus) 

Dette er en av de dataangrepene som har vokst raskest de siste årene. Det fungerer på den måten at den låser alle filene på datamaskinene og “tar de som gissel” med en oppfordring om å betale “løsepenger” for å fjerne krypteringen på filene. 

Du har kanskje hørt om løspengeviruset WannaCry som herjet i 2017? Det spekuleres i at WannaCry forårsaket skader for så mye som 1.5 - 4 milliarder dollar, på verdensbasis. 

Spyware 

Disse installerer seg på datamaskinen og overvåker aktiviteten og samler inn personlig informasjon, som blir sendt tilbake til “avsenderen”.   

Konsekvensene av dataangrep 

Det estimeres i at datakriminalitet koster 600 milliarder dollar årlig på verdensbasis. Med andre ord, de som står bak angrepene ligger ikke på latsiden. Du er derfor nødt til å ha IT-sikkerhet som sørger for datasikring. I en undersøkelse gjort av PWC der 76 norske og 170 danske bedriftsledere, IT-ledere og sikkerhetsspesialister deltok, kommer det frem at 68 % har opplevd en sikkerhetshendelse som var målrettet mot deres organisasjon. Selv om den svimlende summen på 600 milliarder er på verdensbasis, viser undersøkelsen at dette er like aktuelt her i Norge. Tidligere i år la regjeringen frem at de vil bruke 1.6 milliarder på datasikkerhet. 

Hvis du ikke tar din datasikkerhet på alvor, hva kan konsekvensene være? 

 Databrudd og GDPR. Din bedrift sitter mest sannsynlig på en del sensitiv informasjon. Ved et databrudd har du, etter Datatilsynets retningslinjer, 72 timer på å melde fra om dette til myndighetene. Dette kan føre til store bøter. Men det mange kanskje ikke tenker på, fordi bøtene er det som høres mest skremmende ut, er at det i tillegg kan føre til tapt tillit hos kundene. Dette kan i verste fall føre til kundefrafall og tapt posisjon i markedet. Har din bedrift råd til dette? 

Den daglige driften kan bli hindret og/eller satt helt ut av spill. Dette vil ha store konsekvenser for de fleste bedrifter. Dette kan igjen føre til utpressing fra angriperne, noe som vil føre til økonomiske skader for bedriften. 

Blir kjernesystemene deres rammet, kan det bety mye for deres posisjon i markedet og i verste fall stoppe opp deler av potensielle kundestrømmer, samt drift. 

Alle disse faktorene kan i seg selv potensielt ødelegge bedriften din. Har du råd til å ta sjanser rundt IT-sikkerheten i din bedrift? 
 

Slik sørger du for datasikring 

Sørg for at de tre tidligere nevnte pilarene stadig holdes oppdatert, og på den måten står stødig, til enhver tid. Dette vil være med på å bidra til en tryggere IT-sikkerhet. Dette vil være en stadig utfordring, da de som står bak angrepene stadig utvikler seg og fører til et stadig økende trusselbilde.  

Våre råd til datasikkerhet: 

  • Tren opp de ansatte i prinsippene som ligger til grunn for datasikkerhet. 

  • Opprett gode rutiner rundt deres digitale infrastruktur og informasjonssikkerhet. 

  • Sørg for at teknologien for datasikring til stadighet er oppdatert - programvare, nettlesere, datamaskiner og mobiltelefoner. Dette vil være med på å redusere risikoen for dataangrep.

  • Risikovurdering. Analyser og vurder risiko. Finn ut hvilken data som er viktig å beskytte og kartlegg potensielle konsekvenser dersom disse kommer på avveie. 

  • Sikkerhetsarkitektur. Sørg for at informasjonssikkerheten er en del av deres IT-infrastruktur. 

  • Jobber dere i skyen? Sørg for en trygg og sikker løsning som sikrer informasjonssikkerheten.
     
  • Ha en trygg og sikker brannmur som sikrer deres nettverkssikkerhet. 

  • Rutiner for bytte av passord. Dette bør gjøres med jevne mellomrom (eksempelvis hver 3. måned).
    Det bør også være restriksjoner mot enkle passord, samt krav til minimum en stor bokstav og et tall eller tegn i passordet.
     
  • Backup av viktig data og informasjon. Det er viktig å ha backup av data som ellers kan gå tapt dersom dere utsettes for angrep.

  • Rutiner rundt hvem som har tilgang til data og informasjon og autoritet til å installere applikasjoner. 

  • Gjennomfør sårbarhetstester og penetrasjonstester for å finne ut hvor utsatt dere kan være for angrep.   

  • ISO 27001. ISO 27001 er en standard innen informasjonssikkerhetSertifisering blir gjort av et uavhengig sertifiseringsorgan som viser at man har iverksatt nødvendige tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer. 

Vi håper at denne artikkelen har vært til stor hjelp og at den i tillegg har gitt deg et tydelig bilde av hva datasikkerhet innebærer, viktigheten av god datasikkerhet og nyttige tips til bedre datasikkerhet i egen bedrift.  

New call-to-action