I juni 2021 utga The European Union Agency for Cybersecurity (ENISA) en rapport med detaljerte anbefalinger til små og mellomstore bedrifter (SMB-er) om hvordan de kan løse felles utfordringer. Rundt 45 % av SMB-ene rapporterte at de implementerte ny teknologi som svar på pandemien, men mindre enn 10 % av dem inkluderte nye sikkerhetstiltak. Resultatet er at små og mellomstore bedrifter er svært sårbare for sikkerhetsbrudd.
I dette blogginnlegget vil vi liste opp de viktigste lærdommene fra rapporten for å hjelpe deg med å forbedre cybersikkerheten.
Hvordan sikkerhetsbrudd påvirker virksomheten din
Å klikke på en mistenkelig lenke, besøke tvilsomme nettsteder eller bruke forhåndsinstallert antivirusprogramvare kan virke som bagateller, men de kan få alvorlige konsekvenser for deg og bedriften din. Ifølge ENISA 2021-rapporten ville 80 % av små og mellomstore bedrifter oppleve alvorlige negative konsekvenser hvis de ble rammet av et cyberangrep eller sikkerhetsbrudd. 57 % av dem ville gå konkurs eller legge ned virksomheten. Selv om utfallet ikke blir så alvorlig, er det unødvendig sløsing med ressurser å håndtere tap av data, juridiske konsekvenser eller ødelagte enheter.
Hvorfor bør små bedrifter bry seg om cybersikkerhet?
De mest populære nettbaserte tjenestene er fjernarbeid, banktransaksjoner, e-post og informasjonssøk - sjansen er stor for at bedriften din er svært avhengig av internett. Til tross for fordelene ved å bruke nettbaserte tjenester, gjør tilgangen til Internett nettverket ditt sårbart for nettfisking, nettbaserte angrep, generell skadelig programvare og andre sikkerhetsbrudd. Dette problemet påvirker bedrifter av alle størrelser, men ikke alle bedrifter er like godt beskyttet.
ENISA fant ut at 85% av de store bedriftene anser cybersikkerhet som en viktig bekymring. I små og mellomstore bedrifter prioriteres imidlertid cybersikkerhet ofte ikke. Enten blir det ikke sett på som relevant, eller så blir det neglisjert på grunn av mangel på ansatte eller økonomi. Dette er litt misforstått, for cybersikkerhet er avgjørende og trenger ikke å være altfor dyrt. Du bør først identifisere områder som trenger forbedring, og deretter iverksette de riktige tiltakene! Tre områder ENISA anbefaler å forbedre er:
-
Mennesker
-
Prosess
-
Teknologi
1. Tren teamet ditt
Det er vanlig å tro at cybersikkerhet er begrenset til IT-avdelingen, men det er ikke tilfelle. Hvert eneste medlem av en organisasjon spiller en avgjørende rolle i å holde nettverket sikkert, og derfor bør de være oppmerksomme på mulige trusler og vite hvordan de skal håndtere dem. Siden 84 % av alle dataangrep baserer seg på en eller annen form for sosial manipulering, bør organisasjonsmedlemmene også tilegne seg gode IT-sikkerhetsvaner .
Dette er de vanligste årsakene til sikkerhetshendelser:
-
56 % - Svake passord (2020)
-
44 % - ulåste enheter (2020)
-
28 % - Løsepengevirus (2018)
-
Bruk av private enheter
-
Mangel på sikkerhetsretningslinjer
Disse problemene gjør hele virksomheten og personopplysningene den håndterer, sårbare. ENISA anbefaler at de ansatte deltar i en eller annen form for bevissthetsopplæring. Slik opplæring kan lære dem å opprette sterke passord, surfe trygt på nettet, behandle personopplysninger på en lovlig måte og mye mer. Bevissthetsopplæring bør ikke være et engangskurs, men snarere en kontinuerlig innsats for å forbedre cybersikkerheten.
2. Restrukturer sikkerhetsprosessene dine
Implementer egne retningslinjer for IT-sikkerhet
I tillegg til å ha kunnskapsrike medarbeidere, må du utarbeide et tydelig sett med retningslinjer for IT-sikkerhet. Disse spesifikke retningslinjene forteller de ansatte hvordan de forventes å oppføre seg når de bruker bedriftens nettverk, utstyr og tjenester. Hvis du vil vite hvordan du lager dine egne IT-sikkerhetsretningslinjer, kan du bruke vår steg-for-steg-veiledning og mal.
Gjennomfør cybersikkerhetsrevisjoner
Det kan være vanskelig å overvåke trafikken og aktivitetene på hver eneste enhet eller i hvert eneste nettverk, selv for et mindre selskap. Dermed kan du risikere at et kritisk problem, en sårbarhet eller en trussel ikke blir oppdaget. Derfor anbefales det å gjennomføre regelmessige cybersikkerhetsrevisjoner og -vurderinger. På den måten kan du identifisere mulige svake punkter før det oppstår et sikkerhetsbrudd, og sørge for at bedriftens rammeverk for cybersikkerhet opprettholdes.
Planlegging og respons ved hendelser
Hvis et sikkerhetsbrudd skulle inntreffe, må bedriften ha en protokoll på plass som beskriver hvordan man skal gå frem og håndtere situasjonen på riktig måte. En formalisert respons gjør det ikke bare mulig å handle raskt, men forhindrer også at konfidensiell informasjon kommer på avveie eller at virksomhetens omdømme påvirkes negativt.
Kanskje et personvernombud kan hjelpe deg
Å gjennomføre revisjoner og vurderinger av cybersikkerhet, utarbeide IT-sikkerhetsretningslinjer og planlegge respons på hendelser kan være tidkrevende og krever av og til ekspertise. De kan bistå med slike oppgaver, sørge for at GDPR overholdes og følge andre forskrifter. Kanskje kan organisasjonen din ha nytte av å ha et personvernombud.
3. Oppdater det tekniske oppsettet
For at alle de andre tiltakene skal lønne seg, trenger du et sterkt teknisk rammeverk. I rapporten kommer det frem at over 70 % av små og mellomstore bedrifter utelukkende stoler på forhåndsinstallert eller grunnleggende programvare for å beskytte seg mot sikkerhetsbrudd. Dette er imidlertid svært upålitelig. Her er noen ytterligere tiltak som kan styrke IT-sikkerheten:
Nettverks- og ressurssikkerhet
Noe av det enkleste å implementere er enbrannmur. Den grunnleggende funksjonen er å filtrere og overvåke trafikk som sendes eller mottas, basert på regler du har satt for nettverket ditt. En brannmur kan tilby mange tilleggstjenester, for eksempel filtrering av e-posttrafikk, blokkering av tilgang til ondsinnede nettsteder eller advarsel mot potensielle angrep. Det er viktig å ha en brannmur, men du kan velge tilleggsfunksjoner som passer til organisasjonens behov.
Et annet tiltak er å installere antivirusprogramvare. Selv om de fleste allerede bruker slike programmer for å beskytte mot skadelig programvare, bør du sørge for at de brukes effektivt. Sørg for at du alltid har den nyeste versjonen installert på alle enheter, også de ansattes nettbrett og smarttelefoner. Du bør også kunne administrere antivirusprogramvaren sentralt for å sikre at den er oppdatert.
Overvåking av sikkerheten
Når du har implementert alle de nødvendige programmene og systemene, må du sørge for at de fungerer effektivt. Vi foreslår at du kommer i gang med IT Asset Management. Det er et system som overvåker alle bedriftens enheter og eiendeler for å forhindre bruk av ondsinnede eller uautoriserte programmer.
Så hva gjør vi nå?
Jeg håper du forstår hvorfor mindre bedrifter bør prioritere cybersikkerhet like høyt som større organisasjoner. Vi oppfordrer deg og din organisasjon til å følge anbefalingene fra ENISAs 2021-rapport, ettersom det kan øke cybersikkerheten og forhindre konsekvensene som et sikkerhetsbrudd kan medføre.
Det viktigste vi tar med oss fra ENISAs rapport, er at de ansatte er en organisasjons viktigste ressurs. Derfor er den beste måten å komme i gang på å øke bevisstheten om cybersikkerhet. Vi anbefaler at de ansatte deltar i bevisstgjøringskurs der de lærer hvordan de kan identifisere og håndtere trusler, og hvordan de skal opptre aktsomt på nettet.
