– Det er en ukultur som kan få store konsekvenser, sier Erik Herje, leder for kvalitet og rådgivning og Øyvind Tørlen, teamleder Cloud i Avento, konsulentselskapet med blant annet spisskompetanse innen IT-rådgivning og systemutvikling.

Mennesker og teknologi
IT-sikkerhet handler like mye om mennesker og organisasjon som teknologi. Personer eller organisasjoner som vil skade en person eller bedrift, eller som ønsker tilgang til informasjon, f.eks kredittkort, vil alltid velge enkleste vei. Den veien er ofte deg og meg.

Må starte øverst
– IT-sikkerhetsarbeidet må starte hos øverste ledelse og i styrerommet. IT-sikkerhet må være innarbeidet som en del av hele organisasjonen for å redusere risikoen for innbrudd. Det er en av de viktigste rådene vi kan gi. Tekniske hjelpemidler kan alltid trumfes av ansatte med dårlig sikkerhetskultur, sier Avento-lederne.

Små og mellomstore
Bedrifter begynner i større grad å interessere seg for IT-sikkerhet. Men mange, spesielt små og mellomstore bedrifter, vil helst ikke bruke penger på dette. Erfaringen er at jo mindre bedrifter, jo mindre penger brukes på IT-sikkerhet. Resultatet er at de kan lett kan rammes.

Sunnmøre
Et av flere eksempler på en liten bedrift som ble utsatt er fra Sunnmøre. Bedriften ble over flere måneder tappet for 735 000 kroner på grunn av et sikkerhetshull i eposten som en svindler utnyttet til å få overført penger til seg selv.

Oppdatere og fase ut
– Digitaliseringen som nå skjer i en rekke bedrifter, fører til økt kompleksitet i sikkerhetslandskapet. Ofte digitaliserer man inn nye løsninger, uten å rydde opp i gamle tjenester. Disse blir stående uten nødvendig vedlikehold, og gir en stadig større angrepsflate. Det er viktig å holde alt utstyr oppdatert med seneste programvare. Gammelt teknisk utstyr bør fases ut. Dessverre henger ikke fokuset på IT-sikkerhet med i samme grad som digitaliseringen, mener Tørlen og Herje.

Trusselbildet
IoT (Tingenes internett, nettverk med enheter som kan koble seg til hverandre og utveksle data) blir en stadig større del av hverdagen. Mange enheter er dårlig sikret eller har godt kjente feil som kan utnyttes av uvedkommende for tilgang til enheten, samt andre ressurser. Dette skaper nye trusselbilder både privat og i bedriftene. Nettkriminalitet ble allerede for to år siden estimert til å koste verdenssamfunnet over 600 milliarder dollar årlig.

Metodene
Den vanligste formen for innbruddsmetode er sosial manipulering gjennom phising» eller spear phising. Dette går ut på å sende e-post til noen som sitter på innsiden av nettverket de ønsker å angripe og lure mottakeren til enten å åpne et vedlegg eller trykke på en lenke. Denne metoden benyttes også til å gjøre bankoverføringer til eksterne kontonummer.

Direktørsvindel er en økende trend, også kalt CxO-svindel hvor det handler om å svindle ledere og andre nøkkelpersoner som har myndighet til å utføre store utbetalinger i norske selskaper. Det er en metode der angriperen benytter sosial manipulering via e-post, ofte kombinert med telefonhenvendelser for å få utbetalt penger til seg selv.

– Man kommer langt med sunt bondevett for ikke å gå på limpinnen, men det krever nok en viss form for dataopplæring og bevisstgjøring, mener Erik Herje.

DDoS-angrep brukes for å lamme en virksomhet og vil trolig øke enda mer ettersom tingenes internett øker i omfang. Angrepene er ofte koplet til forhåndstrusler om angrep hvis ikke bedriftene betaler. Tjenestenektangrep går ut på lamme tilgangen til en nettside eller tjeneste slik at en organisasjon blir satt ut av spill for en kortere eller lengre periode.

I 2017 ble AaFK og flere andre klubber utsatt for et verdensomfattende angrep som slo ut systemet med å kjøpe billetter via klubbens hjemmesider. Det ble kø og kaos, og AaFK måtte slippe inn mange gratis på kamp. Flere hoteller har opplevd at deres låsesystemer til rommene blir blokkert og ikke låst opp før det utbetales løsepenger.

Honningfellene som vi kjenner fra spion-universet brukes også i nettkriminalitet hvor man bruker fristelser til å lokke en person inn i en felle.

Ser ikke konsekvensene
– Det er mange bedrifter som ikke ser de negative konsekvensene ved et angrep. En ting er de direkte kostnadene ved bortfall av tjenester, men man glemmer konsekvensene ved tap av omdømme, kostnader ved tap av forretningshemmeligheter, bøter ved tap eller tilgjengeliggjøring av personopplysninger, sier Erik Herje i Avento.

Kan ramme blindt
Data- og nettkriminalitet kan være målbevisst eller ramme blindt og hvem som helst ved massive angrep i håp om at en eller annen sluker agnet. 

Les også "Nå kan du få Cyberforsikring".

Les mer om Sparebanken Møres Cyberforsikring.