Er det tid til et temperaturtjek af dine it-systemer?
Den verdensomspændende virus kan ikke kun smitte mennesker. It-systemer er også sårbare, hvis ikke virksomheder er opmærksomme på deres it-sikkerhed.
Med sundhedskrisen kom et stort fokus på at beskytte os selv og hinanden. Vi skal spritte af, holde afstand og undgå for meget kontakt med andre. Vi tager alle vores forbehold for bedst muligt at sikre, at smitten ikke spredes. Det samme bør gælde for din virksomheds data. For de ondsindede hackere venter i kø, for at bryde ind med smitsomme vira.
Erhvervsstyrelsen har netop offentliggjort rapporten ”Digital Sikkerhed i Danske SMV’er”, som viser, at små og mellemstore virksomheder (SMV’er) ikke har styr på helt basale it-sikkerhedsforanstaltninger. Faktisk viser rapporten, at helt op til hver fjerde SMV i Danmark ikke engang tager backup af deres data eller opdaterer deres it-systemer.
Det er desværre også noget, vi hos Datto hører fra vores it-serviceleverandørpartnere (MSP’er), der fortæller, at it og it-sikkerhed er en overset faktor hos mange af de danske virksomheder - især hvis virksomheden er lille og budgetterne små. Ofte ser vi, at ansvaret for virksomhedens it og cybersikkerhed blot tillægges den medarbejder med mest it-flair.
Denne uddelegering fungerer muligvis fint for nogen virksomheder, men ofte betyder det, at sikkerheden ikke bliver prioriteret højt nok – ganske enkelt fordi medarbejderen ikke har tid nok eller fokus på området. Af samme grund arbejder mange virksomheder også med it-systemer, der faktisk ikke er ordentligt sikret.
Størrelsen spiller ingen rolle: Alle virksomheder er eftertragtede mål
Cybertrusler stiger og udvikler sig konstant, og derfor er også små og store virksomheder udsatte. Det er nok ikke gået nogen forbi, at store virksomheder som Mærsk og William Demant har mistet store summer på grund af ransomware-angreb. Men det trækker sjældent overskrifter, når mindre virksomheder bliver ramt af samme angreb. Det betyder dog ikke, at hackerne kun går efter store virksomheder.
Ifølge Dattos seneste ransomware-rapport kunne vores MSP-partnere, der primært arbejder med små og mellemstore virksomheder, nemlig berette, at hele 56 procent af deres kunder var blevet ramt af ransomware-angreb. Og 15 procent af dem havde oplevet flere angreb om dagen.
Overraskende nok er mange SMV’er dog overbeviste om, at de ikke har nogen data, der er interessante for it-kriminelle, og at det derfor er usandsynligt, at de bliver ramt af ransomware-angreb. Men sådan tænker de it-kriminelle ikke. De fryser virksomheders systemer og kræver betaling for at tø op. Betaling, der også for små virksomheder, i gennemsnit ligger på 37.200 kroner.
Det, der imidlertid rammer de mindre virksomheder rigtig hårdt, er omkostningerne ved nedetid. Dattos rapport viser, at den tid, hvor virksomheden ikke er funktionsdygtig, er op til 23 gange mere værd end selve løsesummen. I gennemsnit koster nedetiden altså knap 900.000 kroner for SMV’er, der bliver ramt af ransomware-angreb. Det er en stor omkostning, som selv simple sikkerhedsforanstaltninger kan minimere risikoen for markant.
Uanset om din it-ansvarlige er en medarbejder, eller du har valgt at outsource it-sikkerheden til en it-serviceleverandør, er der fire ting, du skal starte med at spørge om:
- Er der styr på den grundlæggende sikkerhed?
Undervurder aldrig de grundlæggende trin, som din virksomhed kan tage for at beskytte jeres data. Simple foranstaltninger, såsom en stærk adgangskodepolitik og to-faktor-godkendelse, er et godt sted at starte. Desuden skal medarbejdere trænes i, hvordan de opdager og genkender trusler i form af phishing mails, der ofte er den direkte indgang for hackere. - Er jeres data sikre?
Sårbarheder i systemerne er den nemmeste måde for hackere at få adgang til virksomhedens data. Sørg for, at antivirusprogrammer scanner for sårbarheder i jeres systemer, så potentielle veje ind bliver lukket. Vær opmærksom på, hvor i systemet de følsomme og værdifulde data findes, og sørg for, at de er beskyttet med bl.a. adgangskode. Det er også vigtigt at have en ekstern sikkerhedskopi af de data. Hvis I kun har en sikkerhedskopi, der kan hackes i samme omgang, er en ringe trøst, hvis uheldet er ude. - Er I forberedt på et angreb?
Når du ved hvilke data, der er særligt udsatte for hackerangreb, kan du lave en trusselvurdering og en plan for et muligt sikkerhedsbrud. Jo mere detaljeret plan, jo bedre. Så snart et databrud indtræffer, begynder pengene at fosser ud af din virksomhed, så jo hurtigere din plan kan aktiveres, des hurtigere er din virksomhed oppe og køre igen – og omkostningerne holdes på et minimum. Uanset om planen involverer intern eller ekstern it-service, skal du vide præcis, hvem du skal kontakte og hvornår. - Er virksomheden vokset for nyligt?
I takt med at en virksomhed vokser, stiger investeringen i teknologi og udstyr ofte. Det betyder også, at data kan blive spredt, og at systemerne oftere skal konfigureres. Vokser virksomheden hurtigere, end din it-ansvarlige kan følge med, er det en god idé at få en ekstern sikkerhedsvurdering. Ofte kører virksomheder med systemer, der enten ikke er opdateret eller er blevet for komplekse, hvilket giver gode angrebsbetingelser for ondsindede hackere. Det er derfor vigtigt at sikre, at systemerne og it-sikkerheden følger med i samme tempo, som virksomheden vokser.
Sikkerhed kræver løbende forbedringer
Ligesom det er en proces at forebygge og behandle mod sygdomme, er det også en kontinuerlig proces at forebygge og vedligeholde virksomhedens cybersikkerhed mod trusler og sårbarheder.
Jeg ved, at rådene er mange, og listen over sikkerhedstiltag kan være lang og uoverskuelig. Prioriter derfor jeres tiltag, og sæt simple mål for virksomhedens cybersikkerhed. Find frem til jeres største sårbarheder og arbejd jer igennem dem en ad gangen. Gentag den samme proces med mere avancerede mål.
Trusselsbilledet udvikler sig konstant, og hvad der blev sikret i går, kan være sårbart i dag. Det er en kontinuerlig proces. Men selv med små tiltag og forbehold kan man nå sikkerhedsniveau, hvor man kan holde ransomware-angreb og andre trusler for døren – fuldstændig ligesom man kan med en smitsom sygdom.