Det globala näringslivet står inför en omfattande utmaning — hur ska man gå tillväga för att bemöta det växande hotet av cyberbrottslighet? Tyvärr finns det inte ett enkelt svar. Varje företag har unika utmaningar — inte minst när det kommer till IT-säkerhet. Alla företag måste utveckla en specialanpassad cybersäkerhetsstrategi bestående av en smart sammanställning av modern teknik och välgenomtänkta metoder som passar resterande delar av organisationen.
I följande artikel ska vi titta närmare på några av dessa metoder och strategier samt undersöka potentiella tillvägagångssätt för att hantera och motverka cyberattacker. Robusta säkerhetsåtgärder finns det lyckligtvis gott om, men låt oss inleda med att illustrera hotbilden.
Cyberbrottslingar har en uppsjö av metoder och strategier för att lura sig till pengar eller på annat sätt stjäla resurser. När det kommer till individer som utsätts för cyberbrott handlar det vanligtvis om nätfiske och försök till att stjäla känslig information som bankkontouppgifter, men företag och organisationer utsätts för mer subtila och svårlösta problem. Näringslivet påverkas främst av dataintrång och ransomware-attacker.
Den sistnämnda typen av attack har på senare år blivit allt vanligare. Ransomware innebär att angriparen krypterar företagets data, vilket gör dem otillgängliga. Angriparen eller angriparna begär sedan en lösensumma för att avkryptera den ofta verksamhetskritiska datan. Denna typ av attack har potential att lamslå hela industrier och är någonting varje företag bör tänka på när de implementerar en säkerhetsstrategi.
Trots att det främst är individer som utsätts för nätfiske (Phising på engelska), är det inte ett hot som företag bör ignorera. Nätfiske innebär att kontakt upprättas under falsk förevändning i syfte att få en individuell anställd att trycka på skadliga länkar, ladda ned skadliga filer eller dela känslig information.
Det är också vanligt att cyberbrottslingar använder ett mer direkt tillvägagångssätt när det vill komma åt känslig information. Vanliga dataintrång där konfidentiell data som kundregister, finansiella uppgifter och övriga affärshemligheter (t.ex hemliga R&D-projekt) stjäls förekommer också. I bästa fall leder ett framgångsrikt dataintrångsförsök till att kunder förlorar förtroende för företaget. I värsta fall kan det innebära stämningar, böter och rättsliga påföljder som är omöjliga att återhämta sig från.
Alla vet att det är viktigt att ha starka lösenord, men som företag är det också viktigt att säkerställa att anställda följer en välgenomtänkt lösenordspolicy och verifikationsprocess — det är inte tillräckligt att enbart uppmuntra anställda att ha starka lösenord och att använda Flerfaktorsautentisering, utan det är någonting som måste krävas. Dessa lösenord bör helst genereras och delas ut automatiskt samt kompletteras med sekundära verifikationsmetoder som koder som skickas till speciella enheter, biometri eller speciella ID-kort. Ju fler verifikationsmetoder som används samtidigt, desto mer robust blir systemet.
Verifikationsarbetet försvåras också på grund av saker som distansarbete — någonting som på senare år blivit vanligare. Det är svårare att övervaka och kontrollera vad anställda gör när de inte befinner sig plats, vilket har potentiellt negativa konsekvenser för företagssäkerheten om korrekta anpassningar inte görs. Först och främst bör kritiska system kräva att anställda befinner sig på plats — allting ska inte gå att göra på distans. Därefter kan man börja diskutera potentiella knep för att förbättra säkerheten på distans — till exempel genom att använda VPN-tjänster.
Användning av offentligt wi-fi kan ha potentiellt förödande konsekvenser eftersom avlyssning av dessa nätverk är mycket enkelt. Om trafiken inte krypteras (till exempel genom användning av ett VPN) finns det ingenting som står emellan den potentiellt känsliga informationen och cyberbrottslingen.
Som företag bör man kräva att anställda använder ett VPN eller motsvarande interna säkerhetsapplikationer när de arbetar på distans. Ett VPN till Chrome, Firefox och Safari (det spelar ingen roll vilken webbläsare du använder) är mycket enkelt att installera och konfigurera. Du kan läsa mer om NordLayer genom att följa länken.
Det finns mycket man kan göra för att motverka cyberattacker. Ytterligare exempel på relevanta åtgärder är automatiserad övervakning av samtliga företagssystem, larmsystem, Zero-trust policy, regelbundna uppdateringar och revisioner, sårbarhetsanalyser och planer för hur en säkerhetsöverträdelser ska hanteras. Se också till att säkerhetskopiera data för att undvika skada vid en eventuell Ransomware-attack.
Enskilda anställda utan utbildning inom säkerhet ansvarar självklart inte för IT-säkerhet, men det är enbart genom samarbete som en sammanhängande och effektiv säkerhetslösning kan implementeras. Minsta lilla fraktur i den digitala försvarsmuren kan vara tillräckligt för att röja hela företaget. Det är således avgörande att utbilda sina medarbetare för att motverka cyberattacker. Det innebär inte att alla måste bli cybersäkerhetsexperter, utan att alla vet hur de utför just sitt arbete på ett säkert sätt. Att identifiera och reagera korrekt i bemötandet av hot är avgörande.
Utbildning bör med fördel utföras genom regelbundna och fokuserade lärotillfällen där grundläggande principer förklaras och upprepas. Saker som att känna igen suspekt kommunikation, vikten av att kunna verifiera medarbetares identitet och att överlag vara alert när det kommer till hot, är alla saker som bör tas upp. Se också till att genomföra övningar där medarbetares svarsförmåga och säkerhetstänk sätts på prov (i utbildningssyfte).
En av de viktigaste sakerna man kan göra som företag är att bygga upp en kultur där säkerhet prioriteras. Någonting som många ofta glömmer är att cybersäkerhet och säkerhet överlag är en och samma sak. Det digitala är inte en separat värld. Att en obehörig individ med syfte att stjäla information får fysisk tillgång till till exempel ett serverrum kan ha förödande konsekvenser. Verifikationsprocessen måste vara vattentät både digitalt och fysiskt. De är också viktigt att tänka på att det är betydligt mer effektivt att manipulera människor i verkligheten än över indirekta former av kontakt som telefon och e-post.
info@bolagsplatsen.se 
070 - 282 16 66
