IT-sikkerhet intervju
Alexander Holden er rådgiver på IT- og nettverkssikkerhet hos oss. Han har studert Digital sikkerhet og etterretning i Norge og England. Han startet som sikkerhets konsulent i 2007. Videre har han har jobbet både med sikkerhet i datasenter og med sikkerhet i små- og mellomstore bedrifter siden det. Alexander er vår «go-to-guy» hvis du lurer på IT-sikkerheten i din bedrift. Han forsøker å implementere økt fokus på IT-sikkerhet hos våre kunder.
Hvorfor mener du at norske bedrifter bør tenke på egen IT-sikkerhet?
Da spør jeg: Hvorfor bør du låse utgangsdøren din? Dette er et bra bilde å sammenligne med. For ved å ikke sikre bedriften din blir det litt som å ha utgangsdøren ulåst. De fleste vil gå forbi uten å forsøke å gå inn. Men så har du alltid folk som ønsker å komme seg inn av ulike grunner. Det samme er det i den digitale verdenen. Det er alltid noen som sonderer terrenget på jakt etter «åpne dører».
Det er stadig flere som får bedre IT kunnskaper og idéen om at det kun er de store bedriftene, med enorm omsetning som blir angrepet av hardbarkede kriminelle, er misforstått. Det er mange enkeltpersoner, ofte unge folk, som sitter på nett å tilegner seg kunnskaper rundt hacking. Dette er et påtagende problem. Motivet til disse personene er ikke nødvendigvis å presse deg for penger. For det å krysse den grensen er ett langt steg videre. Men det kan rett og slett være «guttestreker». De kommer seg inn via din «åpne dør» og vil få tilgang til sensitiv data, passord og lignende. Ofte kan slike angrep pågå i det skjulte og du vil aldri vite om det før noen setter seg inn i IT-sikkeheten din.
Så uansett størrelse på bedriften eller omsetning, uten IT-sikkerhet er du i faresonen for angrep. De fleste angrepene er automatiserte og bryr seg ikke om størrelse eller penger. De leter kun etter «åpne dører».
Men mange bedrifter tenker kanskje at de ikke har så mye sensitive opplysninger som vil være verdt noe. Hvorfor skal disse bedriftene investere i sikkerhetstiltak?
Alle bedrifter har kunder, partnere, leverandører og lignende. Selv om din bedrift kanskje ikke er interresant for hacking, så kan kunden din være det. Og selv om kunden din har sikkerheten på stell, så kan potensielle trusler nå kunden din via deg. La oss si at du leverte dagligvarer til et bakeri. Noen ønsker å skade bakeriet, men får ikke tilgang på grunn av god sikkerhet. Du har ingen sikkerhet, så de går inn og endrer din leveranse med sukker til bakeriet, til salt. Neste dags bakevarer i bakeriet vil være ødelagt uten at de merket at det skjedde.
IT-sikkerhet er åpenbart viktig. Men i dag har jo veldig mange bedrifter hele bedriften i «skyen». Lagring, programmer, dokumenter etc. ligger i skyen og ikke lokalt hos deg. Trenger man da sikkerhet lokalt?
I teorien ikke. Men hackere har funnet veier for å omgå dette. Vi ser stadig hyppigere tilfeller av godt utformede eposter, skrevet på godt norsk, som tilsynelatende er fra avsendere du har korrespondert med tidligere. Der ligger det kanskje ved et dokument som du må logge på med din Microsoft konto for å åpne. Dette er ikke en reell pålogging på din Microsoft konto. I det du trykker på knappen for å logge på så sender du i prinsippet bare brukernavn og passord til hackeren, som nå fritt kan logge seg på å få tilgang til alle dine dokumenter, eposter etc. I mellomtiden har du ingen peiling på at du har gitt fra deg all sensitiv data. Dette kan senere bli slettet, kryptert, solgt til konkurrenter eller du kan motta et løsepengekrav for å få filene/tilgangen tilbake. Med oppdaterte sikkerhetstiltak blir slike eposter stoppet.
Har du en oppfordring eller noe du har lyst til å si til våre både nåværende og potensielle kunder?
Ja. Sikkerhet er ikke et produkt eller en prosedyre. Sikkerhet er en bevissthet og noe som endrer seg i takt med trusselbildet. Uansett størrelse på bedriften, uansett hvor mye penger som er i omløp, uansett om du tenker at din bedrift ikke har sensitiv data – du har aldri garantier mot dataangrep og ringvirkningene kan gå langt utenfor kun din bedrift. Vi ønsker å hjelpe deg med en risikovurdering og anbefale deg tiltak. Dette kan være alt fra opplysningsarbeid og kurs for ansatte, til utforming av rutiner, til installasjon og drift av sikkerhets- og overvåkningsutstyr.
Nå har vi snakket om eksterne trusler. Finnes det noen interne trusler?
Ja. Det kan være i form av utro tjenere. Man har sett tilfeller i yrker med stor konkurranse, at tidligere ansatte tar med seg sensitiv informasjon og forretningshemmeligheter over til en konkurrent. Dette er heldigvis ikke veldig utbredt i Norge, ennå. Men det er allikevel noe man bør øke bevisstheten rundt og gjøre tiltak for å unngå.
Ønsker du å snakke med Alexander om din bedrifts IT-sikkerhet? Ta kontakt i dag!