Lammende løsepengevirus, ødeleggende verdikjedeangrep, altfor vanlige kontokapringer og utspekulert økonomisk svindel. Slik beskytter du din virksomhet mot de vanligste digitale truslene.

Alle norske virksomheter må være forberedt på å håndtere. Rapporten beskriver hva disse truslene innebærer og hvordan de kan treffe virksomheten din. For å vite hvordan du og virksomheten best mulig kan beskytte dere mot disse truslene har NorSIS sjekklister for hva som bør gjennomgås eller være på plass i enhver virksomhet. Under finner du disse sjekklistene. Dersom det er noen av punktene i sjekklistene under du ikke forstår eller kan utføre selv, sjekk med din driftsleverandør.

Med et par klikk og en nedlasting av et ukjent vedlegg i en e-post, en Facebook-post eller en SMS, kan hele virksomhetens IT-system bli lammet og kryptert. Løsepengevirus er en av de største digitale truslene mot norske virksomheter.

Har du sørget for:

• at alle ansatte har fått opplæring i hva de bør tenke over/sjekke ut før de sier ja til å laste ned og installere programmer på maskinen?
• å skille mellom hvilke ansatte som har administrasjonsrettigheter, brukerrettigheter og eventuelle andre rettigheter i systemene ut fra hvilket behov de har i sin jobb?
• at det jevnlig tas sikkerhetskopier av alle viktige filer?
• at sikkerhetskopien er offline eller på et annet nettverk enn det den sikkerhetskopierer?
• at all nødvendig segmentering av nettverk er gjort? Dersom du lurer på om dette gjelder din virksomhet, spør driftsleverandøren din.
• at alle virksomhetens datamaskiner, operativsystem og programvare til enhver tid er oppdatert?
• at alle virksomhetens datamaskiner har og bruker oppdatert antivirusprogram?
• at du og dine ansatte ikke har andre disker og enheter koblet til datamaskinen til enhver tid? Det vil hindre spredning av løsepengevirus til alle.
• at du og dine ansatte ikke er tilkoblet skytjenester hele tiden? Løsepengevirus kan også spre seg til disse når du er logget på.
• at du har en plan for hva du og dine ansatte skal gjøre dersom dere rammes av et løsepengevirus, og at alle ansatte kjenner til denne planen – for eksempel å trekke ut nettverkskablene og koble fra datamaskinene umiddelbart?
• at dere tilbyr og bruker totrinnspålogging på alle kontoer?

Bruker du eller noen andre i din virksomhet enkle passord for å logge inn på jobbtjenester? Da kan kriminelle lettere ta over en e-postkonto eller andre kontoer i virksomheten og utgi seg for å være en ansatt, stjele informasjon eller plante ondsinnet programvare.

Har du sørget for:

• at alle virksomhetens systemer settes opp med totrinnspålogging som standard?
• at alle ansatte bruker totrinnspålogging på alle sine innlogginger i alle systemer?
• at alle brukere av systemet sikrer sin tilgang med et sterkt og unikt passord dersom det ikke er mulig å bruke totrinnspålogging i et system?
• at det er stilt krav til nye leverandører/systemtilbydere eller andre om at innlogging må beskyttes med totrinnspålogging?
• at alle vet at de må gi beskjed dersom de har lagt igjen brukernavn og passord et sted de er usikre på, for eksempel via en lenke?
• at dere har rutiner for gjenoppretting av passord, det vil si at alle vet hvem de skal kontakte for å få et nytt passord og hvor de får passordet sendt?

Din virksomhet kan rammes av et angrep på en av dine kunder, leverandører eller samarbeidspartnere. Eller du blir angrepet som et ledd i et angrep på en av dine samarbeidspartnere. Det kan få enorme konsekvenser for virksomhetens omdømme. Ifølge NSM er det sannsynlig at angrep på leverandørkjeder vil øke i Norge.

Har du sørget for:

• at alle enheter, inkludert kaffetraktere og varmeovner som er koblet opp mot nett, er sikret med et godt brukernavn og passord, ikke standardpassordet som fulgte med?
• at alle samarbeidspartnere, kunder og leverandører som har tilgang til dine datasystemer har gode rutiner for IT-sikkerhet?
• å ha oversikt over dine verdier, verdikjeder og sårbarheter?
• at dere har rutiner for å avinstallere programvare som ikke brukes? • at alle enheter er sikkerhetsoppdatert?
• at dere har sørget for logging og monitorering av systemene, slik at uregelmessigheter kan oppdages?
• at de ansatte har dedikert utstyr å jobbe på?

Nettsvindel er fortsatt en stor trussel for små og mellomstore bedrifter. Dette er en type angrep der lav innsats kan gi angriperne stor uttelling. Det kan dreie seg om alt fra phishing og direktørsvindel, falske nettbutikker og falske nettprofiler til falske fakturaer.

Har du sørget for:

• at dere har en kultur der alle ansatte tør å si ifra hvis de gjør noe galt, og at du er et godt eksempel på dette ved å rose de som sier ifra om feil?
• at dere har gode rutiner for at ingen betaler med kredittkort eller gir fra seg kredittkortinformasjon på steder der virksomheten ikke har en profil eller innlogging?
• at virksomheten ikke tillater at noen kjører kode eller installerer programmer fra en lenke eller et vedlegg de har fått tilsendt?

Har du sørget for:

• at henvendelser der det anmodes om pengeoverføringer alltid dobbeltsjekkes? Kommer den på e-post, les den to ganger og kontakt den som ber om overføringen på telefon, det vil si i en annen kanal enn den dere mottok henvendelsen gjennom, for å få bekreftet at den er ekte.
• at dere har en rutine for at ledelsen informerer sine økonomimedarbeidere på forhånd dersom de vet at det kan bli aktuelt med eller behov for kjappe overføringer?
• at rutinene for pengeoverføringer er risikovurdert, det vil si at dere blant annet har gjort en grundig gjennomgang av om rutinene kan «stå imot» et svindelforsøk eller muligheter for menneskelige feil?
• at dere alltid dobbeltsjekker med leverandøren når dere har mottatt meldinger om endring av kontonummer? Her er det viktig å sjekke via en annen kanal enn der dere fikk henvendelsen om endringen. Dere må for eksempel ikke bruke telefonnummeret som står i e-posten dere mottok om kontonummerskifte.
• å sikre e-postkontoene med totrinnspålogging for å unngå kontoovertagelse?

Har du sørget for:

• å ha oversikt over hvor virksomhetens navn blir nevnt, for eksempel et Google Alerts-søk som vil gi deg beskjed når det publiseres noe som inneholder navnet på virksomheten din?
• å ta alle henvendelser fra kunder om dårlig behandling på alvor og sjekke ut hvor de faktisk stammer fra? Det kan stamme fra en falsk profil, nettsted eller lignende.
• å ha rutiner for å si ifra til kunder og andre brukere, for eksempel på nettsiden deres og i sosiale medier, dersom noen har laget en falsk nettside, konkurranse eller profil og utgir seg for å være virksomheten din?