Slik unngår du cyberangrep

Svindlerne blir mer oppfinnsomme jo mer effektive sikkerhetstiltakene blir.

Den største trusselen mot norske bedrifter er egne ansatte. 

Mest frykter ledere at egne ansatte skal klikke på lureri. For første gang på fire år blir ikke organisert kriminalitet oppgitt som den største cybertrusselen mot norske virksomheter,, viser PwCs Cybercrime survey 2019. På topp i 2019 finner vi ansattes ubevisste handlinger og utenlandske etterretningsorganisasjoner. Et tiltak kan være Privileged Access Management (PAM): En prosess hvor man kan gi adminrettigheter kun når det er behov for det. Så unngår man at en hacker bare ved å stjele e-post og passord får tilgang til virksomheters innerste hemmeligheter. En CFO trenger rettigheter akkurat når hun skal bruke det, ikke ellers.

 

Falske e-poster blir vanskeligere å oppdage

Tidligere var det enkelt å se om en e-post var fra en useriøs aktør ved å se på språk og rettskriving. Slik er det ikke lenger. I det siste har vi sett svindelforsøk som er så troverdige at svindlerne må ha hatt god innsikt i bedriftene de går etter, og de retter seg spesielt mot mellomstore bedrifter.

De skriver så godt norsk at du ikke legger merke til at det er svindel. I mange tilfeller er det grunn til å tro at hackerne har fått informasjon av noen som jobber i bedriften, eller at de har hacket seg til informasjonen. 

Her er ekspertens tips mot svindelforsøk:

Før dataangrepet:

  • Kartlegg dine kronjuveler: Hva er dine viktigste digitale verdier? Sett disse opp i en risikovurdering som tar hensyn til de trusler du og din bransje lever i. Uten dette vil du ikke kunne prioritere hva du skal gjøre først

  • Ta en helsesjekk på cybersikkerheten (modenhetsvurdering/GAP-analyse). Hvor vil du være, hva er status og hva skal til for å komme dit du vil?

  • Bygg et teknisk forsvar. For mange handler det om å igangsette et IT-sikkerhetsprosjekt for å etablere helt grunnleggende tekniske barrierer. Her finnes det beste praksis som gir gode og billige tiltak som samtidig tar ned risikoen enormt. Sjekk NSM sine tips.

  • Hev kompetansen i organisasjonen. Vit hvem du snakker til. Opplæring av en IT ansvarlig er noe annet enn en CFO. 

  • Bygg sikkerhetskultur. Trusselaktørene blir mer sofistikerte og målrettet. Sosial manipulering er et nøkkelord.  Ha jevnlige bevisstgjørings-tester for ansatte. Fire enkle: Tenk før du trykker, tenk før du deler, ha god passordhygiene og er du i tvil - spør noen.

Under angrepet: 

  • Oppdager dere at bedriften er rammet bør dere kontakte banken og politiet, i den rekkefølgen
  • Tid er vesentlig: I mange tilfeller har bedriften klart å få tilbake penger ved rask varsling
  • Meld fra umiddelbart: Svindlerne har sofistikerte metoder for at overføringene ikke skal bli varslet og stoppet av bankenes kontrollsystemer

Etter angrepet:

  • Gjør en evaluering av hendelsen og vurder å få inn ekstern kompetanse som kan gjøre en grundig granskning av datasystemer og rutiner.
  • Anmeld forholdet uansett hvor sensitivt det måtte væreNC3 er det nasjonale senteret for forebygging, avdekking og bekjempelse av trusler og kriminalitet i det digitale rom. Senteret utvikler metoder og gir bistand til politidistriktene samt etterforsker egne saker innen cyberkriminalitet.

Mange blir svindlet i Norge

7 av 10 norske virksomheter ble angrepet i 2019, viser PwCs Cybercrime survey 2019.

Eldar Lillevik leder cybersikkerhet i PwC

– Det enkleste du kan gjøre er å ha kontroll på sikkerhetsoppdateringene og å gjøre noe med passordene dine. Bruk tofaktorautentisering og lag lange passord som er vanskeligere å knekke, sier Eldar Lillevik som hjelper mange av Norges største virksomheter med cyber.

4 av 10 som opplevde svindelforsøk det siste året måtte ut med over 7 millioner kroner.

PwCs Cybercrime survey 2019

Kontakt oss

Lars Erik Fjørtoft

Partner | Leder IT Risk, PwC Norway

Tlf: 974 74 469

Eldar Lorentzen Lillevik

Partner | Leder Cybersikkerhet, PwC Norway

Tlf: 951 02 435

Jan Henrik Schou Straumsheim

Direktør, PwC Norway

Tlf: 415 26 290