Cyberkriminalitet rammer alle virksomheder

Hackerangreb og it-kriminalitet rammer både store og små virksomheder, så det gælder om at tage truslen alvorligt og sikre sig bedst muligt både teknisk og menneskeligt, for der skal ikke mere end ét forkert klik til. Standarder er et effektivt redskab til at højne informationssikkerheden i organisationen.

Artiklens øverste billede
Denne artikel er sponsoreret af

Der var engang, hvor tyve, industrispioner og andre kriminelle tiltvang sig adgang til en virksomhed eller organisation gennem en ulåst dør eller et åbent vindue. I dag findes det åbne vindue og den ulåste dør i cyberspace, og der bliver flere og flere ondsindede mennesker, der forsøger at komme ind af dem.

”Cyberangreb er i dag en af de helt store trusler for virksomheder, og det sker hyppigere og hyppigere ikke mindst på grund af den aktuelle internationale situation. Hackerne finder hele tiden nye måder at angribe på og nye forretningsmodeller. I dag lukker de ikke bare et firma eller afpresser det, men sælger virksomhedens informationer på den sorte børs,” siger Sarah Louise Aalborg.

Hun er it-sikkerhedschef i Tivoli og medstifter af bloggen ’Sikkerhed og Popcorn’, der beskæftiger sig med informationssikkerhed.

”Et it-angreb kan få en kæmpe indvirkning på en organisation. Vi arbejder mere og mere digitalt og deler mere og mere data. Det giver en større angrebsflade og gør påvirkningen ved et hackerangreb større,” siger hun.

Danmark er et af de mest digitaliserede samfund i verden. Der findes ikke den virksomhed eller organisation, der ikke udveksler eller gemmer data digitalt, og derfor er alle virksomheder potentielt i risiko for at blive udsat for cyberkriminalitet.

”I løbet af de sidste 25-30 år har måden, vi behandler vores data på ændret sig. I dag gemmer, deler og flytter vi flere data digitalt. Det skaber en større kompleksitet og kræver, at man er bevidst om de sikkerhedsrisici, man løber, og handler derefter,” siger ekspert og underviser i informationssikkerhed hos Dansk Standard, Anders Linde.

Informationssikkerhed skal på radaren

De kriminelle på internettet har forskellige agendaer – fra klassisk industrispionage til låsning af data og kræve løsesum for at frigive dem eller ødelægge vigtig infrastruktur som elnettet. Center for Cybersikkerhed har opjusteret risikovurderingen for cyberangreb.

Hvis hackerne vil ind, kommer de ind. I dag behøver man ikke længere være it-ekspert for at kunne hacke en organisation, for man kan finde programmer på nettet, der kan lægge en virksomhed ned, og vi kommer til at se endnu flere angreb i fremtiden

Anders Linde, ekspert og underviser i informationssikkerhed hos Dansk Standard

Derfor er man som virksomhed nødt til at forholde sig til informationssikkerhed, og her er standarden ISO/IEC 27001 fra Dansk Standard et godt værktøj. Standarden er obligatorisk i offentlige organisationer og instanser, men også målrettet store og små virksomheder, der ønsker at højne informationssikkerheden og beskytte værdifulde data herunder persondata.

”Mange virksomheder har fortsat ikke informationssikkerhed på radaren, fordi de ikke ser forbindelsen til deres forretning. ISO/IEC 27001 er et godt værktøj, fordi den har en risikobaseret tilgang til sikkerhed, så virksomheden selv kan vurdere, hvor deres risiko er størst og så sætte ind dér, hvor det er relevant for dem. Standarden kommer også med forslag til foranstaltninger, og her er det vigtigt, at man ikke bare tager den fra en ende af, men kun vælger dem, der er relevante,” siger Sarah Louise Aalborg.

Udover risikovurderingen giver standarden forslag til, hvordan man implementerer de tiltag, der højner sikkerheden, som backup af data, begrænse antallet af medarbejdere, der har udvidet adgang til systemet, opdeling af netværk, så ikke hele organisation bliver infiltreret, hvis et netværk rammes af hackerangreb. Endelig er der den menneskelige faktor, for selv ikke det mest sikre it-system kan modstå en menneskelig fejl.

”Risici handler om adfærd, medarbejdere, der har gjort noget, de ikke skulle have gjort, eller medarbejdere, der har undladt at gøre noget, som de skulle have gjort. 91 procent af alle hackerangreb begynder med phishing, hvor en medarbejder kommer til at trykke på et link, som der ikke skulle have været trykket på. Selv om alle ved, at man ikke skal trykke på tvivlsomme links, kan alle komme til det, fordi vi har travlt og glemmer at tænke os om,” siger Sara Louise Aalborg.

Medarbejderne skal uddannes i informationssikkerhed

En stor del af en organisations sikkerhed handler om medarbejderadfærd, og derfor er det vigtigt at uddanne medarbejderne i gode vaner som at låse computeren i frokostpausen, skifte kodeordet regelmæssigt og indrapportere uregelmæssigheder.

”At øge medarbejdernes opmærksomhed er en relativ billig måde at øge informationssikkerheden på. Det er vigtigt, at ledelsen går forrest og gør det til en positiv proces, så medarbejderne føler, at de bidrager med noget værdifuldt. Her kan man bruge positive erfaringer fra andre gange, hvor man har haft succes med at ændre medarbejderadfærden,” siger Anders Linde fra Dansk Standard.

ISO/IEC 27001 giver inspiration til række foranstaltninger, der fokuserer på at sikre den rette adfærd hos medarbejderne. Standarden giver også råd til, hvordan organisationen arbejder med beredskab, hvis uheldet er ude.

”Så skal man handle hurtigt og på forhånd have en klar plan for, hvad man gør, så man kan mindske skaderne mest muligt,” siger han.

Endelig tager standarden også højde for sikkerheden udenfor cyberspace, såsom at gøre medarbejderne opmærksomme på ikke at udlevere fortrolige oplysninger gennem telefonen, passe på print, ikke lade vigtige papirer flyde på skrivebordet efter arbejdstid og spørge til ærindet, hvis man møder et ukendt ansigt på gangen.

”Det handler om at gøre medarbejderne opmærksomme i dagligdagen. Man skal ikke bare udlevere sit password, hvis der ringer en person og udgiver sig for at være fra it-afdelingen eller en ny kollega. Medarbejderadfærd er meget vigtig for sikkerheden,” understreger Anders Linde.


5 gode råd til det menneskelige aspekt af it-sikkerhed fra Sara Louise Aalborg

  1. Risikovurdering – gennemgå din organisation, find de svage punkter og sæt ind dér. Lav ikke flere tiltag, end det er nødvendigt, ellers mister medarbejderne motivationen.
  2. Inddel dine medarbejdere i målgrupper, så er det nemmere at få et overblik over, hvem der har/skal have adgang til hvilke data eller adgange til systemet. Gennemgå med mellemrum disse grupper, så det kun er relevante medarbejdere, der har udvidede adgang.
  3. Kommunikation – hvordan kommunikerer du informationssikkerhed ud til medarbejderne? Er det opslag på intranettet, opslag ved kaffemaskinen eller små videoer, hvor du selv forklarer, hvorfor det er vigtigt, at de husker at ændre password.
  4. Tal i et sprog, som medarbejderne forstår. Brug en lixtalsmåler, hvis du har skrevet en manual om it-sikkerhed, så alle kan forstå den. Skriv positivt og i et sprog, der matcher medarbejderne.
  5. Lad medarbejderne forstå, at deres indsats er værdifuld for at højne informationssikkerheden.

Få flere gode it-råd fra Sarah Louise Aalborg her.

Bliv inspireret til, hvordan du kommer hackere i forkøbet og får styr på informationssikkerheden på DS Cyberdag 29. september. Læs mere og tilmeld dig her: www.ds.dk/ds-cyberdag

Du kan også læse mere om informationssikkerhed her.

Denne artikel er sponsoreret af Dansk Standard

Dansk Standard er Danmarks standardiseringsorganisation, der tilbyder kunder at få indflydelse på udviklingen af europæiske og internationale standarder. Dansk Standard rådgiver og underviser også med udgangspunkt i standarder og best practices. Læs mere om Dansk Standard her

Mere som dette

Andre læser

Mest læste

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver Digital+

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læselisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.