En fersk rapport fra Norsk senter for informasjonssikring (NorSIS) viser at mange små og mellomstore bedrifter undervurderer faren for dataangrep. Bedriftene forstår rett og slett ikke hvor attraktive de kan være som mål for kriminelle, mener organisasjonen.
Det finnes omtrent en halv million små og mellomstore bedrifter i Norge. NorSIS (Norsk senter for informasjonssikring) mener for mange av disse ikke forstår at de kan være attraktive mål for datakriminelle. Dette kommer frem i organisasjonens ferske rapport «Trusler og trender 2018-2019».
Peggy Sandbekken Heie er administrerende direktør i NorSIS. Til E24 forteller hun at de ser mange eksempler på at kriminelle finner og misbruker sårbarheter hos småbedrifter. Og det stopper ikke der. Sikkerhetshull hos de mindre bedriftene kan også utnyttes for å ramme større selskaper og myndighetene.
Sandbekken Heie mener at det ikke bare får konsekvenser for hvert enkelt foretak at mange ikke tar truslene på alvor. Det gjør hele samfunnet mer sårbart.
Komplisert trusselbilde
I rapporten lister NorSIS opp en rekke former for dataangrep som kan ramme alt fra store konsern og myndigheter til frisøren på hjørnet.
Problemet er ofte at de mindre bedriftene tror de er for små for å være interessante mål for hackere og andre kriminelle. Sannheten er en annen. Både Nasjonal sikkerhetsmyndighet (NSM) og Politiets sikkerhetstjeneste (PST) har advart mot en økning i antallet angrep på mindre aktører.
Her er noen av angrepsformene NorSIS frykter vi vil se flere av i tiden fremover:
Ledelses- og direktørsvindel – I slike angrep forsøker kriminelle å få en bedrift til å overføre penger til seg. Dette skjer ved at de sender falske regninger. Eller at de klarer å hacke seg inn i bedriftens eget nettverk. Der utgir de seg for å være en ansatt i bedriften de angriper.
Svindel/Datingsvindel – Målet med slike angrep er å skaffe seg påloggingsinformasjon, slik som passord og brukernavn, som kan brukes til å stjele penger.
Utpressing – NorSIS kjenner til flere eksempler på at kriminelle hackere har skaffet seg bilder eller videoopptak av tilfeldige ofre. Materialet er som regel ødeleggende for offeret, slik som nakenbilder eller dokumentasjon av uønskede hendelser. Materialet blir brukt for å presse offeret til å utføre ulike handlinger eller å utbetale penger.
ID-tyveri – I slike angrep klarer de kriminelle å ta kontroll over ofrenes identitet. Dette kan brukes til kortsiktig, økonomisk vinning, for eksempel ved å bestille kredittkort eller varer og tjenester i offerets navn.
Enorme kostnader
Det finnes ikke oppdaterte tall på hvor mye dataangrep rettet mot næringsliv og forbrukere koster. Men ifølge Mørketallsundersøkelsen fra Næringslivets sikkerhetsråd (NSR), antas det at kriminell datavirksomhet kostet norske bedrifter et sted mellom 1,3 og 2 milliarder kroner i 2017.
Noe av grunnen til at man ikke har en bedre oversikt over kostnadene, kan ifølge NorSIS være at mange bedrifter frykter for omdømmet hvis de erkjenner å ha blitt utsatt for dataangrep. I tillegg finnes det flere eksempler på at bedriftene ikke vet at de er blitt angrepet. I NSR-undersøkelsen svarer 67 prosent av de spurte at angrepene ble oppdaget ved en tilfeldighet.
Det er et stort problem at mange av bakmennene aldri blir tatt. Dermed må mange bedrifter anse pengene eller annen viktig informasjon som tapt hvis en hacker eller andre kriminelle lykkes med angrepene sine.
Enkle mottiltak
NorSIS gir mangel på kunnskap en god del av skylden for at mange små og mellomstore bedrifter er blitt ettertraktede mål. Det stilles krav til kompetanse når man skal kjøpe utstyr, systemer og nettverk som kan stå imot dataangrep. Mange bedriftseiere har ikke denne kompetansen. De investerer heller ikke i den.
Ifølge NorSIS-rapporten er det ofte enkle tiltak som skal til for å unngå at kriminelle får uautorisert tilgang til sårbare systemer.
- Bruk totrinnsbekreftelser hvor det er mulig. Man kan aktivere dette ekstra laget med sikkerhet på de fleste tjenester som benytter brukernavn og passord.
- Enkle rutiner, som å sjekke at avsendere av tekstmeldinger, chattbeskjeder og eposter er dem de utgir seg for å være, kan være nok til å stoppe mange angrepsforsøk.
Og kanskje viktigst av alt: Små og mellomstore bedrifter må endre holdning. De må innse at også de er attraktive mål for datakriminelle og dermed iverksette tiltak som sikrer bedriftene bedre.