Er det ondsinnede, fremmede statsmakter, organiserte kriminelle eller aktivister du bekymrer deg mest for? Da kan det være verdt å vende blikket innover. De aller fleste registrerte sikkerhetsbrudd er utilsiktede hendelser som følge av svake interne rutiner. Organisasjonen din er det svakeste leddet i kjeden.

De senere årene har konsekvensene av cybertrusler blitt en stadig større bekymring for fabrikksjefer og ledere av produksjonsbedrifter. Ingen bedrifter, uavhengig av størrelse, lokasjon eller bransje er immune, og etter hvert som truslene blir mer omfattende og sofistikerte, blir problemet mer komplekst. Spesielt om den digitale sikkerhetskulturen internt i bedriften er svak.

Et økende antall digitale sikkerhetstrusler

Ettersom oppgaver og prosesser som tidligere var manuelle nå blir digitalisert, og digitale tjenester blir stadig mer sammenknyttet i komplekse strukturer, ser vi en økning i digitale sikkerhetstrusler. Ifølge IndustryWeek så vi i 2018 en 350 prosent økning i løsepengevirus, 250 prosent økning i såkalt CEO-svindel, eller Business Email Compromise (BEC), og 70 prosent økning i phishingangrep på bedrifter.

Og det er mange eksempler å ta av fra de siste årene. Like før julaften i 2015, for eksempel, ble store deler av det vestlige Ukraina rammet av et strømbrudd som en følge av et cyberangrep. Hackere hadde over lengre tid forberedt seg ved å utforske, saumfare og sanke inn innloggingsinformasjon fra sentrale medarbeidere i kraftselskapene som ble rammet. Med stjålet VPN-tilgang fikk hackerne kontroll over nettverket, koblet ut høyspentbrytere og kritiske IT-komponenter og oversvømte kundeservicesenteret med falske telefonoppringninger.

Året etter, i 2016, ble leketøysprodusenten Mattel offer for en CEO-svindel, da bedriftens CEO ble hacket for identitetstyveriformål. Bedriften tapte 3 millioner dollar da en medarbeider mottok en falsk epost, tilsynelatende fra sin daglige leder, om å overføre pengesummen til en samarbeidspartner. Medarbeideren overførte pengene, som endte opp på hackerens konto. I 2017 ble flere europeiske bedrifter rammet av hackerangrepet NotPetya. Ett av ofrene for angrepet var det danske shippingfirmaet Maersk Line, et angrep som kan ha kostet bedriften opptil 2 milliarder kroner.

Les også: Slik hindrer du hackere i å komme inn på produksjonsnettet ditt

Phishing: Den ansatte som inngang

Som flere av de ovennevnte eksemplene viser, spiller interne medarbeidere ofte en sentral rolle i  slike cyberhendelser. I PwCs «Cyber Crime Survey 2018», som gir et overblikk over cybertrusselen i norsk næringsliv, forteller 70 prosent av respondentene at de har vært utsatt for et målrettet sikkerhetsangrep og 61 prosent at ansattes ubevisste handlinger utgjør en av de største cybertruslene mot bedriften.

Phishing utgjør den største trusselen. Under slike angrep forsøker uvedkommende å stjele identitetsakkreditivene til medarbeidere, via skadelige lenker eller vedlegg i eposter. Ofte ledes man til en falsk hjemmeside når man trykker på lenken, en hjemmeside der man blir bedt om å fylle inn personopplysninger som siden kan misbrukes av angriperen. I andre tilfeller plantes en ondartet kode i mottakerens system når lenken eller vedlegget åpnes. 87 prosent av respondentene i PwC-undersøkelsen rapporterte at de har vært utsatt for phishing-forsøk i 2018.

Spesielt bedriftsledere viser seg å være enkle mål for angripere. Sikkerhetsselskapet NTT Security sier at 70 prosent av norske ledere er enkle mål for motiverte hackere. Ifølge selskapet tar det som regel under 10 minutter å skaffe seg tilgang til virksomhetens mest kritiske data med phishing-metoden.

Viktigheten av holdningsskapende endring i organisasjonen

Forståelsen for den digitale sårbarheten og viljen til å innføre tiltak for å beskytte seg mot trusler er relatert til bedriftens øvrige kultur. Står digital sikkerhet høyt på agendaen i bedriften, er sjansen stor for at sikkerheten ivaretas på en god måte – og vice versa.

Vi vet at det har vært et manglende fokus på sikkerhetskultur hos mange norske bedrifter, gjerne som en konsekvens av en utilstrekkelig oversikt over trusler, manglende kontroll på systemrettigheter, generelt svak IT-kultur og begrensede muligheter til å identifisere internt misbruk av IT-ressurser. Heldigvis ser dette ut til å endre seg. Den ovennevnte rapporten fra PwC forteller at bevisstgjøring av ansatte er høyt prioritert hos mange norske virksomheter. Hele 65 prosent av respondentene nevnte nettopp bevisstgjøring av ansatte som en av sine høyeste prioriterte investeringer, 26 prosentpoeng mer enn året før. 

Les også: Cyber security som en KPI for bedriften

Konkrete tips og råd for økt digital sikkerhet i virksomheten

Det første steget til å rigge organisasjonen din for sikkerhet, er å forstå arbeidskulturen som skaper sårbarheter og å bygge en kultur for cyber security. Å bygge en slik kultur handler ikke bare om teknologi, det krever også en strategi som adresserer mennesker og prosesser. Truslene menneskelig svikt utgjør for bedriftens cyber security, har i dag blitt så store at IT-avdelingen alene ikke kan håndtere de på egen hånd. Det er ikke nok at kun de som arbeider med sikkerhet til daglig er bevisste på truslene og sårbarhetene i bedriften, alle medarbeidere må bevisstgjøres og bidra til å tette igjen sikkerhetshull og dra sin del av lasset.

På et overordnet nivå handler dette mye om å bevisstgjøre de ansatte. I den sammenheng er det flere konkrete tiltak du kan gjennomføre for å forbedre den digitale sikkerhetskulturen i bedriften din. Her nevner vi noen lavt hengende frukter som raskt og effektivt skaper den nødvendige bevisstgjøringen på tvers av organisasjonen.

• Kurs de ansatte: Ifølge Norsk senter for informasjonssikring (NorSis) innser norske virksomheter at de ansattes digitale sikkerhetskultur har betydning for bedriftens risikobilde. Flere virksomheter gir derfor opplæring til sine ansatte. Ofte skal det ikke mer til enn et enkelt nettkurs som Nettvetts «Informasjonssikkerhet i hverdagen», som gir en grunnleggende innføring i god netthygiene, hva man kan gjøre for å beskytte ens egen og andres informasjon og hvordan man kan sikre både mobil og datamaskin. Et annet alternativ kan være å delta på Nasjonal Sikkerhetsmåned, en nasjonal dugnad med mål om en tryggere digital hverdag. Uansett hvilken kursing som gjennomføres i din bedrift, lønner det seg å kartlegge effekten av opplæringstiltakene. Om det ønskelige resultatet glimrer med sitt fravær, kan det være nyttig å tenke nytt.

• Test sikkerheten i bedriften din: Det finnes flere aktører som tilbyr tester av sikkerheten til bedrifter. Det tilbysenkle phishing-tester for å avdekke hvilket bevissthets- og kunnskapsnivå de ansatte har. I disse testene distribueres eposter med vedlegg eller lenker til alle eller en gruppe ansatte for å kartlegge hvor mange som åpner filen eller lenken, hvor mange som melder fra at de er infisert, hvor mange som klikker på filen og hvor mange som melder fra om et mulig angrep. Ifølge NTT Security opplever bedrifter som gjennomfører slike tester at opptil 90 prosent av de ansatte klikker på vedlegget eller lenken. De fleste bedrifter har med andre ord godt av å bruke slike tester til å gi seg selv en vekker. 

Teknologi og digitale løsninger vil gi norsk industri utrolige muligheter i tiden som kommer, men med seg bringer de også en rekke utfordringer og sikkerhetstrusler det er viktig å være seg bevisst. Heldigvis kan teknologi bidra til å redusere risikoen, men fullt utbytte får man først når hele organisasjonen rigges for digital sikkerhet. Teknologien trenger organisasjonen og organisasjonen trenger teknologien for å være helt trygg mot både eksterne og interne sikkerhetstrusler.

Ta gjerne en kikk på vår e-bok om nettverks- og OT-sikkerhet for mer informasjon om cyber security. Der får du flere gode råd og tips til hvordan du kan minimere sårbarheten til bedriften samtidig som du maksimerer produksjonen med en solid nettverksstrategi.