totrinnsverifisering

VIKTIGSTE SIKKERHETSTILTAK: – Bruk totrinnsverifisering. Det betyr at dersom kriminelle får tak i passordet, kommer ikke de kriminelle inn i systemene, for i tillegg må det også brukes en kode, sier datasikkerhetsekspert Ivar Kjæreim i NorSIS. Illustrasjonsfoto. Foto: NTB scanpix

– Mange bedrifter opplever å bli svindlet gjennom dataangrep. Angrepsmetodene er ofte enkle, men effektive. Som bedrift kan du med små tiltak unngå mange av angrepene.

Mannen som sier dette er Ivar Kjærem, svindelekspert i NorSIS, Norsk senter for informasjonssikring. Han forteller at en vanlig metode er fakturasvindel, og advarer om at hvis ikke bedriftene følger nøye med på dette, er det lett å bli svindlet.

Fakturasvindel handler om at kriminelle sender fiktive fakturaer. Svindlere lager en faktura fra en av din bedrifts faste leverandører, hvor det eneste som skiller fakturaen fra en ekte faktura, er kontonummeret.

Med enkle tiltak, som for eksempel totrinnsverifisering og sjekking av kontonummer, kan din bedrift unngå dataangrep og svindel.

1. Plukk opp telefonen

Ved at de kriminelle får endret kontonummeret går betalingene til svindlere i stedet for til leverandøren.

– Ofte sender svindlerne en e-post til bedriften og utgir seg for å være din leverandør, og forteller at de har endret kontonummeret, sier Kjærem.

Ring din leverandør og dobbeltsjekk

Kjærems beste råd er at dersom du får en slik e-post må du ringe din leverandør og dobbeltsjekke at de faktisk har endret sitt kontonummer. Da får du avklart med én gang om dette er en falsk melding eller ikke.

Her kan du be om tilbud på cyberforsikring for din bedrift

2. Pass opp for lenker

Sikkerhetseksperten forteller at trenden er at de kriminelle bruker flere virkemidler.

– Den tradisjonelle hackingen er ikke lenger vanlig. Det enkleste nå for tiden er å bruke uoppmerksomme ansatte, sier Kjærem.

I tillegg til fakturasvindel er det også enkelt å sende en e-post der mottaker blir bedt om å åpne en lenke som fører til at du får installert uønsket kode på datamaskinen. Da kan de kriminelle få tilgang til alt fra brukernavn og passord til regnskapet, fakturasystemet og e-postsystemet.

– For å unngå å bli svindlet handler mye om å ha gode rutiner.

Kontroller alltid at fakturaen som mottas er for noe bedriften faktisk har bestilt

3. Etablér gode rutiner

Kjærem forteller at mange bedrifter har solide rutiner for å unngå datakriminalitet, mens det fortsatt er en del som har mangelfulle rutiner.

– Det er viktig med bra rutiner for faktura og regnskap. Kontroller alltid at fakturaen som mottas er for noe bedriften faktisk har bestilt.

Still krav til dine leverandører om at de leverer trygge tjenester

Mange bedrifter vil oppleve dataangrep i større eller mindre grad, mener Kjærem, som sier at mørketallene er veldig store.

Her kan du be om tilbud på cyberforsikring for din bedrift

4. Totrinnsverifisering

Kjærem er klar på at det er noen helt konkrete tiltak alle bedrifter bør ta for å sikre seg mot datakriminalitet.

– Bruk totrinnsverifisering. Det betyr at dersom kriminelle får tak i passordet, kommer ikke de kriminelle inn i systemene, for i tillegg må det også brukes en kode. Dette er det viktigste sikkerhetstiltaket å innføre. 

Ring din leverandør om du får en e-post eller et brev som ber deg betale fakturaen til et nytt kontonummer

Ivar Kjærem, NorSIS. Foto: NorSIS

Andre tiltak som bedrifter kan gjøre selv eller kjøpe tjenester for, er å ha sikkerhetsprotokoller for e-postsystemet slik at bedriften sikrer at det er reelle e-poster som kommer inn i systemet. Disse løsningene heter dmarc og sps, og brukes for å sortere ut falske e-poster.

– Still krav til dine leverandører om at de leverer sikre tjenester. Hvis du kjøper en tjeneste fra en leverandør, spør om totrinnsverifisering. Etterspør også at leverandøren tar sikkerhetskopier av dine data.

5. Skytjenester

I dag bruker flere og flere bedrifter skytjenester. Ved bruk av skytjenester må også bedriftene stille krav til at de får gode og trygge tjenester i skyen.

– Sikkerhet vil koste litt, og vær sikker på at du får med det som er viktig for din virksomhet, sier Kjærem.

6. Sikkerhet er et lederansvar

Sikkerhet er alltid et lederansvar; det er sjefen som må gå foran og vise vei på sikkerhet, mener Kjærem.

– Sjefen må legge til rette for at de ansatte utøver god sikkerhet. Ledelsen har også ansvar for å finne ut hvilken informasjon og hvilken digital informasjon som er kritisk for bedriften.

Ha sikkerhetsprotokoller for e-postsystemet

Kjærem forteller også at ledelsen må sørge for at de ansatte får informasjon om risikobildet og hvorfor bedriften har ulike sikkerhetstiltak.

– Får de ansatte en forståelse, vil de i større grad følge opp sikkerheten. Bevisste ansatte er viktig aktivum for en bedrift.

– De kriminelle hadde listene mine. Hvordan skulle jeg finne tilbake til kundene mine?

IT-banditter tar ikke ferie

– Gi aldri fra deg BankID-en din, ikke til noen

Les også