Hvordan oppnå en cybersikker sommer
20 juni 2022 / Artikkel
20 juni 2022 / Artikkel
Vi har snakket med Bjørn Henninen, senior sikkerhetskonsulent i Aztek og Jesper Blomé, Head of Security & Compliance i Iver, om hvilke trusler man står ovenfor i ferietid og hva du bør sørge for å kommunisere til dine ansatte før de tar sommerferie.
«De fleste av oss har kun en mobiltelefon som man benytter både privat og i jobbsammenheng. Før man reiser på ferie bør man sørge for å ta en sikkerhetskopi slik at man unngår å miste bilder og annet uerstattelig innhold dersom enheten blir mistet eller stjålet. De mobile enhetene bør også oppdateres med den nyeste versjonen av operativsystem og apper før man drar på ferie. Ha skjermlåsen aktivert og sett på en «Finn min mobil»-tjeneste, slik at man kan spore den hvis den blir borte. Slike tjenester har ofte også mulighet til å fjernslette innhold på mobilen. Dermed kan man forhindre at sensitiv informasjon havner i feil hender», sier Bjørn Henninen, senior sikkerhetskonsulent i Aztek.
I media har man de siste årene hørt om en del høyrisikoland deriblant Russland, Iran og Kina, og at man rett og slett anbefaler å la smarttelefonen bli hjemme. Hvilke tanker har dere rundt dette?
«Nå er det nok ikke slik at det er så mange nordmenn og svensker som legger ferien til disse reisemålene sommeren 2022, men det er helt riktig at dersom man reiser til høyrisikoland for datakriminalitet bør man være ekstra varsom. Det kan være smart å gå til innkjøp av en enkel telefon til bruk på reisen. Dersom man allikevel ønsker å ha med seg sin smarttelefon vil jeg anbefale at man logger av alle jobbrelaterte apper, som f.eks. outlook og teams. Da unngår man at uvedkommende får tilgang på informasjon og man får samtidig koblet av fra jobb når man er på ferie», sier Jesper Blomé, Head of Security & Compliance i Iver.
Mange kan også bli fristet til å benytte åpne gratis wifi nettverk på reise. Gjør dette noe dersom man skal lese nettaviser i hotellobbyen eller sjekke Facebook på en café?
«Dette er noe jeg vil fraråde alle, ikke bare på ferie, men generelt. De fleste mobilabonnement har samme streamingkostnad i de fleste europeiske land. Jeg vil oppfordre til å benytte dette og heller kjøpe ekstra datapakker dersom det ikke rekker. Det kan også være en god idé fra arbeidsgiver sin side og øke datapakkene til de ansatte før ferier. Husk at du ikke har innsikt i hvem som har konfigurert nettverket, hvem som eventuelt overvåker det og hvordan, og hvem andre som også er tilkoblet. Dersom dette ikke er en mulighet kan man benytte et virtuelt privat nettverk, som oftest kalt VPN. Dette er programvare som man installerer på en laptop eller en mobil enhet som gjør at andre på det trådløse nettverket ikke får tilgang til internett-trafikken din. Enkelte VPNer har innstillinger for å automatisk aktivere VPN når man kobler seg til et usikkert trådløst nettverk», sier Henninen.
«Det samme gjelder offentlige datamaskiner. Unngå å bruke disse dersom man skal logge inn på brukerkontoer eller aksessere sensitiv informasjon. Man har ingen kontroll på hvem som har brukt den datamaskinen tidligere. De kan ha infisert maskinen med skadelig programvare enten ved et uhell eller med viten og vilje, f.eks. kan de ha plantet et virus som registrerer alle tastetrykk. Hold deg til PC-er og mobiler du har kontroll på og stoler på», fortsetter Blomé.
Noen ganger er det jo slik at det skjer noe på arbeidsplassen slik at du må logge deg inn og jobbe mens du er på ferie. Hva tenker dere om dette?
«Først om fremst er jeg tilhenger av at de ansatte har fri når de har ferie, men noen ganger har man en rolle i virksomheten som gjør at det er nødvendig å utføre enkelte arbeidsoppgaver. Sørg derfor for å sjekke din arbeidsplass sin policy for arbeid på reise før du drar. Finn ut hva slags enheter og data du kan ta med og hvordan du kobler deg til jobbens systemer over nett på en sikker måte. Som arbeidsgiver vil jeg også oppfordre til å informere de ansatte om dette med jevne mellomrom slik at de kjenner til hvilke policies som gjelder», sier Jesper Blomé.
Særlig i fellesferien er det generelt lavere bemanning i de fleste virksomheter. Kriminelle nettverk vet å utnytte alle sårbarheter og IT-avdelingen ønsker også ferie. Hva er det man bør passe ekstra på?
«De siste årene har vi stadig sett at profesjonell kriminelle nettverk slår til når man er uoppmerksom og det er ferietid. De vet å spille på realistiske senarioer, og phising (falske e-poster) er et økt virkemiddel for å komme seg på innsiden. Datakriminelle har blitt veldig dyktig på å skape troverdige e-poster der det nærmest er umulig å oppdage svindelen for et utrent øye. Her vil jeg si at det er veldig viktig at IT-sjefer og bedriftsledere er i forkant og trener sine ansatte på å være kritiske og tenke seg om en ekstra gang. Dersom man får en e-post midt i ferien der det er en sak som haster, vil jeg oppfordre til å ta en telefon for å verifisere at dette faktisk stemmer. Det er ytterst få ting som haster så mye når man har ferie, og dersom det er tilfelle vil personen som har sendt e-posten mest sannsynlig være tilgjengelig på telefon. Angriperne vet å benytte seg av at det er få personer på jobb og at mange ledere kanskje er utilgjengelige. Er det noe du stusser på, synes er merkelig eller får beskjed om at må utføres omgående, pust med magen – les det en gang til, og ta den ekstra telefonen», sier Bjørn Henninen.
Om man er en stor virksomhet med mange ansatte på IT-avdelingen, eller om man er en mindre virksomhet uten egen IT-avdeling, er det viktig å gjøre en risikovurdering. Hva er det man lever av, og hvilke verdier kan datakriminelle ute etter? Noen virksomheter er mer utsatte da det ofte er økonomiske tilganger, patenter og forretningshemmeligheter angriperne er ute etter da de ønsker å videreselge informasjonen eller drive utpressing tilbake til virksomheten. Hva tenker dere er viktig i denne sammenheng?
«Selv om IT-avdelingen også skal ha ferie, vil jeg anbefale at det alltid er noen fra IT på jobb, også i sommerferien. Dersom man ikke har mulighet til dette, bør man tilknytte seg en ekstern partner som kan bistå med overvåking og uforutsette hendelser. Vi opplever at mange venter med å knytte til seg en IT-partner før det har skjedd en hendelse, med den troen «det skjer ikke oss». I Iver har vi flere ganger fått tilbakemelding fra kunder at det har vært helt avgjørende for dem å ha Iver som IT-partner, både når det gjelder å håndtere den daglige sikkerheten, overvåking 24/7 og i krisesituasjoner. Det er veldig krevende å stå i det alene dersom man først har blitt utsatt for dataangrep. En profesjonell IT-partner har erfaring og kompetanse på hva som bør gjøres både på kort og lang sikt for å redusere konsekvensene og håndtere angriperne på best mulig måte», legger Blomé til.
«Til slutt vil jeg også si at det er viktig å ha en åpen dialog. Oppfordre de ansatte til å være ærlige og at dersom de mistenker at de har gjort noe som de kanskje ikke burde ha gjort, bør det være en lav terskel på å varsle det videre. Det er mange dataangrep som kunne ha blitt oppdaget tidligere dersom ansatte hadde varslet med en gang. Heldigvis er det slik at de fleste aldri blir utsatt for personer med uærlige hensikter, men å være dette bevisst og ta sine forhåndsregler er tiltak for å øke sannsynligheten for en cybersikker sommer», avslutter Henninen.