Makuleringsbloggen - En blogg fra NG Secure AS

Sikkerhetsmåneden: Derfor må også mindre bedrifter sikre informasjonen

Skrevet av NG Secure | 5. oktober 2023

Også de små bedriftene kan sitte på planer og budsjetter som er interessante mål for industrispionasje. Du bør være ekstra på vakt mot sosial manipulering, der ukjente aktører viser stor interesse for din lille virksomhet.

Oktober er den offisielle sikkerhetsmåneden, med fokus på sikker håndtering av bedriftens informasjon. Dette skal inspirere til rutiner for kontinuerlig å beskytte sensitive opplysninger, fra de registreres og brukes i driften til de går ut på dato og skal destrueres.

 

— Det skjer ikke meg...

La oss se på behovene hos dere som driver mindre foretak. Her møter jeg mange bedriftsledere som tenker at deres virksomhet ikke risikerer å bli utsatt for dataangrep og tapping av informasjon.

Årsaken til denne holdningen er at

  • bedriften er liten og derfor ikke et aktuelt mål
  • forretningsplanene tilsynelatende ikke interessante for andre
  • IT-systemene har uansett god nok sikkerhet

Dette er farlige og uansvarlige holdninger. I dagens geopolitiske situasjon, med krig i Europa og stadig mer «nysgjerrige» stater i Asia, vil aktører med ondsinnede hensikter være på jakt etter informasjon hos alle typer bedrifter.

 

Underleverandør til kritiske samfunnsoppdrag

Er du underleverandør til en større virksomhet som har store kontrakter med forsvar, politi, energisektoren eller telekom? Da vil selv små fraksjoner med data fra din drift vise seg gull verdt for aktører med ondsinnede hensikter.

En av Forsvarets eksperter på sikkerhet kom med nettopp slike advarsler under NG Secures årlige sikkerhetskonferanse i september. Trenden er økt digital aktivitet, der en tredjepart prøver å stjele informasjon fra virksomheten din gjennom digitale tilganger.

Det kan være snakk om å ta seg inn på IT-systemer for å hente ut informasjon og få vite mer om den bedriften. Det er dette forsvaret ser i ekstremt økede grad.

Så du denne? Disse datene bør bedriften slette

 

Sosial manipulering

En relevant metode er såkalt sosial manipulering, som Norsk Senter for informasjonssikring (NorSIS) har fokus på i sikkerhetsmåneden.

Her søker uvedkommende kontakt med deg eller en av dine medarbeidere, som på en fagkonferanse eller et bransjetreff. Det hele kan fremstå sosialt og hyggelig, mens målet er å komme tett nok på til å hente ut sensitiv informasjon.

Det kan skje muntlig ved at du forsnakker deg og røper hemmeligheter eller at den nye bransjekompisen klarer å plante utstyr som gir tilgang til dine IT-systemer.

Sosial manipulering kan også være langt mindre personlig og langt mindre vennlig gjennom kontakt med mulige ofre via sosiale medier, e-post, tekstmeldinger, telefonsamtaler og andre digitale kanaler.

 

Følelser og familie kan gi tilgang

NorSIS beskriver det på følgende måte:

«De later som om de representerer kjente virksomheter, offentlige aktører, banker, nettbutikker eller til og med venner og familie. De appellerer til følelser som fristelser, frykt og tillit - og håper at du handler impulsivt uten å tenke deg om.

Målet deres er å overbevise deg om at du må handle raskt eller dele sensitiv informasjon for å unngå problemer eller dra nytte av en tilsynelatende god mulighet.»

Et vanlig eksempel er såkalte «phishing»-angrep via e-post eller meldinger, der svindlere sender falske meldinger som inneholder en skadelig lenke eller et vedlegg som inneholder skadelig programvare.

Dette kan gi uvedkommende tilgang til forretningsplaner, budsjetter og kontoinformasjon.

Les også: Dokumentsikkerhet - effektive tiltak for bedriften

 

Beskytte = makulere

Omfanget av etterretningsvirksomhet og industrispionasje er stort. Aktørene går bredt ut i jakten på nyttig informasjon, så alle virksomheter må være årvåkne og ha gode rutiner, metoder og systemer for å beskytte sin informasjon.

Det omfatter også data som ikke lenger er i aktiv bruk. Dokumenter bør ikke oppbevares lenger enn nødvendig, men makuleres på forsvarlig vis.

En utgått smarttelefon eller kassert laptop skal ikke legges i en skuff. Her bør harddisker og andre lagringsmedier hentes ut og destrueres av fagfolk.

La oktober være en måned for inspirasjon til å gjøre bedriften systematisk bedre på å beskytte sensitive opplysninger.

Lykke til!