Rapport: Småbedrifter forstår ikke angrepsfaren

Det er altfor lav kompetanse og kunnskap blant norske småbedrifter for å sikre egne verdier, advarer NorSIS i en rykende fersk rapport.

Skrevet av Mail redaktion David Bach, minE24
Publisert 16 dec 2018, 16.15
Næringsliv

Altfor mange av de mer enn 500.000 norske små og mellomstore bedriftene forstår rett og slett ikke hvor attraktive mål de er for datakriminalitet.

Det konkluderer Norsk senter for informasjonssikring (NorSIS) med i sin rapport «Trusler og trender 2018–2019».

– Vi opplever det som en utfordring at mange mindre virksomheter ikke har forståelse for at de er attraktive ofre. Vi ser ofte tilfeller der kriminelle utnytter sårbarheter hos små virksomheter for å ramme større virksomheter eller myndigheter, sier administrerende direktør Peggy Heie i NorSIS.

Hun mener bedriftene ofte undervurderer egne verdier og sårbarhet.

– Dette får ikke bare konsekvenser for den enkeltstående virksomheten, men gjør også Norge som samfunn mer sårbart, sier Heie.

Småbedriftene tror de er for små

Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) har lenge advart mot den økte faren for dataangrep mot denne typen virksomheter.

De mener angrepene blir stadig mer profesjonelle og målrettede, men at mange små og mellomstore virksomheter likevel har altfor lav kunnskap og kompetanse, samt for få ressurser, til å sikre sine egne interesser.

– Vi ønsker at denne rapporten skal være en enklere versjon av trusselvurderingene som NSM og PST går ut med, slik at også de små og mellomstore bedriftene skjønner at de er et mål, sier Heie til E24.

Problemet er at de rett og slett ikke tror de er «viktige» nok til å være et mål for datakriminalitet. Derfor tar de ikke de nødvendige forholdsreglene.

– Det er bekymringsverdig. Hvis du mister 500.000 kroner så kan jo det være helt vesentlige summer for de minste bedriftene, det kan bety å slutte å eksistere. Selv om slike summer samfunnsmessig virker som et lite problem, så er det kritisk for småbedrifter som summerer opp og ser at de kan gå over ende. Og samfunnet er jo bygget på småbedriftene, sier Heie.

Mer målrettede

Ifølge NorSIS-rapporten har særlig de små virksomhetene for lav kompetanse til å gjøre gode innkjøp av utstyr, systemer og nettverk.

– I praksis ser vi at dette ofte blir en utfordring. Det kreves kompetanse å inngå en god avtale med en leverandør som skal sikre hjelp når de har behov for det. Det er derfor svært viktig at små og mellomstore virksomheter er grundige og søker hjelp før de gjør slike innkjøp, sier Heie.

For 2019 venter NorSIS at nye og mer avanserte former for direktørsvindler, utpressing, tjenestenektangrep og tyveri av datakapasitet til bitcoin-mining er blant metodene som vil utfordre norske små og mellomstore bedrifter.

– Tendensen er at trusselaktørene er mer målrettede, og at angrepene blir stadig mer avanserte selv om metodene ofte er de samme som tidligere. For å kunne motstå dette må virksomhetene ha gode risikovurderinger, de må gjennomføre aktiviteter for å øke de ansattes sikkerhetsbevissthet og de bør ha et styringssystem for informasjonssikkerhet, sier Heie.

– Stå frem

Nå oppfordrer hun flere bedrifter som har opplevd å bli utsatt for datakriminalitet til å stå frem.

– Vi hører om ganske mange bedrifter som ikke ønsker å gå ut fordi det kan skade ryktet eller omdømmet deres. Men det er viktig å ha kjennskap til trusselbildet og sårbarheten som finnes.

Ofte kan det være helt enkle tiltak som må til for at bedriftene skal unngå å bli rammet, som for eksempel totrinnsbekreftelser og at man har rutiner for å dobbeltsjekke at avsendere av e-poster og SMS-er virkelig er dem de sier, forteller NorSIS-sjefen.

– De store bedriftene er så modne at de kan gå ut og advare med egne historier, men da er det fortsatt slik at de minste tror at dette bare er noe som skjer de store. Vi trenger at flere små bedrifter går ut og deler sine erfaringer, sier Heie.

Ifølge NorSIS er det spesielt innenfor industri, overnattings- og serveringssteder og tjenesteytende næringer det er lavest modenhet for å oppdage og avdekke sikkerhetsbrudd.

– Dette er bransjer hvor de ansatte ikke tenker på totrinnsbekreftelse eller oppdatering i det daglige. Samtidig er dette bransjer hvor det er behov for at de ansatte blir sikre digitale brukere, sier Heie.

Dette er truslene bedriftene står overfor i 2019:

  • Ledelses- og direktørsvindel
  • Uhell og uaktsomhet
  • ID-tyveri
  • Svindel (og datingsvindel)
  • Utpressing
  • Krenkelser (mobbing)
  • Sabotasje
  • Manglende sikkerhet på reise
  • Spionasje

Kilde: NorSIS

Denne saken er fra minE24.

minE24 er en helt ny måte å oppleve økonominyheter på.

Den gir deg oversikt, holder deg oppdatert og lar deg personalisere nyhetsopplevelsen.

Les mer her , eller bare last ned appen i App Store eller Google Play.