Cybersikkerhed for mindre virksomheder

Nu til dags, bruger flere og flere små og mellemstore virksomheder (SMV’er) digital teknologi til hjemmearbejde, produktion og salg, ligesom de større virksomheder. Men de har sjældent tilstrækkelig fokus på cybersikkerheden, selvom deres større IT-netværk medfører nye sårbarheder for cybertrusler. Det er en fejl, fordi cyberangreb medfører alvorlige skader og tab – både mht. økonomi og omdømme – hvilket betyder, at mindre virksomheder virkelig bør tage cybersikkerheden alvorligt.

Hvad er cybersikkerhed?

Cybersikkerhed er en række processer og strategier, som beskytter virksomhedens kritiske systemer og følsomme oplysninger mod cyberangreb og databrud. Cyberangreb bliver mere og mere avancerede, efterhånden som trusselslandskabet udvikler sig og cybersvindlerne også angriber med AI og social engineering. Derfor bør virksomhederne forbedre deres cybersikkerhedsindsats, så den matcher angrebene.

Derfor er mindre virksomheder sårbare over for cyberangreb

Man tror, at cybersvindlerne primært fokuserer på større organisationer, men faktisk er der dokumentation for, at mindre virksomheder kan være mere sårbare over for cyberangreb. Det skyldes ofte, at de mindre virksomheder mangler de større organisationers ressourcer, der kan beskytte mod cybertrusler. De bruger mindre på cybersikkerhed og er mere tilbøjelige til at bruge forældet software, som ikke understøttes. Det gør dem til lettere mål for cybersvindlerne.

Desuden ansætter mindre virksomheder oftere medarbejdere, der bruger deres egne enheder på jobbet. Selvom det sparer tid og penge, øger det også faren for at blive ramt af malwareangreb, da personlige enheder oftere angribes af ondsindede downloads.

Cybersvindlernes motivation for at gå efter de mindre virksomheder er fx:

Penge: Den primære motivation er økonomisk gevinst. Selvom nogle cyberangreb kommer af et ønske om at genere eller hævne, bruges flertallet med fokus på penge. Derfor er ransomware en rigtigt populær angrebsmetode. Så længe en given angrebsmetode giver bonus, fortsætter hackerne med at bruge den.

Computerkraft: Nogle gange ønsker hackere at bruge en virksomheds computere ved at inddrage dem i en hær af bots, som udfører Distributed Denial of Service (DDoS) angreb. DDoS-angreb virker ved at skabe enorme mængder af kunstig trafik på nettet, som adgangen til en virksomhed. De kaprede bots hjælper med at generere den forstyrrende trafik.

Links til andre enheder: En lille virksomhed er digitalt knyttet til andre enheder gennem transaktioner, forsyningskæder og informationsdeling. Da større virksomheder kan være sværere at trænge ind i, går hackerne nogle gange efter mindre virksomheder, som bruges til at angribe de større virksomheders systemer.

Hvilke cybertrusler rammer mindre virksomheder?

Før man laver en cybersikkerhedsstrategi til virksomheden, er det en god ide at forstå trusselslandskabet. Cybertrusler, der rammer mindre virksomheder omfatter:

Social engineering:

Det er cyberkriminalitet, der narrer eller manipulerer nogen til at afsløre følsomme oplysninger, som bruges til svindel eller anden kriminalitet. Social engineering antager flere forskellige former, som:

Phishing – når en hacker sender vildledende e-mails, som er designet til at narre modtageren til at udlevere private oplysninger, eller til at implementere ondsindet software på ofrets enhed eller netværk.
Spear phishing – en variant af phishing, som rettes mod en bestemt person, typisk ved at efterligne en, han eller hun kender.
Falske hjemmesider – svindelsider, som er designet til at narre brugerne, ifm. svindel eller ondsindede angreb.
Telefonspoofing – er når svindlerne ændrer opkalds-ID’en og skjuler deres identitet for den person, de ringer til.
Smishing – en variant af phishing, som bruger mobiltelefoner som angrebsplatform.

Ransomware:

Ransomware er en af de mest almindelige metoder, som hackerne bruger til at angribe virksomheder med. Ransomwares låser computere og krypterer data og bruger dem som gidsel. For at ejerne kan bruge deres data igen, skal de betale hackerne en løsesum for dekrypteringsnøglen. Rapporter har vist, at helt op til 71 % af alle ransomware-angreb rammer mindre virksomheder, med et gennemsnitligt krav om løsesummer på 885.000,- kr. SMV’er er ofte mere tilbøjelige til at betale løsesummen, da deres data muligvis ikke er sikkerhedskopierede, og de skal videre i en fart.

Malware:

Malware er en paraplybetegnelse for ondsindet software, som er designet til at skade brugernes enheder eller netværk. Det omfatter en række cybertrusler, som Trojanske heste og vira (og faktisk er ransomware en form for malware). Malwareangreb rammer mindre virksomhederne, fordi de skader enhederne og medfører dyre reparationer eller udskiftninger. De kan også give angribere en bagdør til dataene, som både kunder og medarbejdere kommer i fare.

botnet er et netværk af computere, som er blevet kompromitteret og inficeret med malware, så man kan kombinere processorkraften og udføre cyberangreb. De har længe udgjort som en trussel for større organisationer, og nu rammer de også små og mellemstore virksomheder.

Distributed Denial of Service-angreb:

Et Distributed Denial of Service- eller DDoS-angreb forsøger at lægge en hjemmeside ned, ved at oversvømme den med trafik fra mange forskellige kilder. Et vellykket DDoS-angreb kan lægge siden helt ned, så kunderne ikke kan tilgå den.

SQL-injektion:

Hvis virksomheden bruger en database i SQL (som står for Structured Query Language), kan den blive ramt af en SQL-injektion. SQL-injektion betegner det at injicere et stykke ondsindet kode i en SQL-database. Afhængigt af den ondsindede kodes type, kan konsekvenserne blive meget alvorlige. Den kan fx slette data, kompromittere følsomme brugeroplysninger og i ekstreme tilfælde lukke hele systemet ned. Det er en af de mest almindelige former for hjemmesideangreb.

Derfor er SMV’ers cybersikkerhed afgørende

Der er forskellige grunde til, at cybersikkerheden i mindre virksomheder og SMV’er bør tages meget alvorligt:

Faren for finansielle tab:

Et cyberangreb kan ødelægge mindre virksomheders økonomi, nogle gange for altid. Omkostningerne til gendannelse, tab af indkomst, mens systemet er nede, plus eventuelle bøder for manglende overholdelse af lovgivningen kan skade bundlinjen alvorligt.

Hvis virksomheden

rammes af et databrud, som går efter kundeoplysningerne, kan det få alvorlig betydning for dens omdømme. Naturligvis afhængigt af angrebets omfang, og hvordan man håndterer det. Det kan både påvirke evnen til at fastholde og tiltrække nye kunder og medarbejdere.

Bringer medarbejderne i fare:

Hvis cybersvindlerne stjæler følsomme medarbejderoplysninger – som fortrolige HR-filer, fødselsdatoer, økonomiske oplysninger etc., kan medarbejdere blive udsat for identitetstyveri eller anden cyberkriminalitet.

Mulighed for at fortsætte driften:

Alle former for virksomheder er blevet ekstremt afhængige af computersystemer, især efter tiden med corona. Afhængigheden af cloud-tjenester, smartphones, Internet of Things og AI betyder, at enhver afbrydelse, fra et cyberangreb, begrænser muligheden for at fungere og handle normalt alvorligt.

Overholde lovgivningen:

Verdens lovgivninger har øget deres fokus på internettet. I Europa, bruger man fx General Data Protection Regulation (GDPR) og i Californien, California Consumer Privacy Act. Disse love og regler pålægger organisationer, der indsamler og opbevarer data, sanktioner for manglende overholdelse – det understreger bare behovet for, at alle virksomheder tager databeskyttelsen alvorligt. Læs mere om de love, der styrer internettet her.

Trusselslandskabet fortsætter med at udvikle sig:

Både omfanget og kompleksiteten af cybertrusler er stigende. Man estimerer, at mere end 30.000 hjemmesider hackes dagligt, over hele kloden, og at der kommer mere end 300.000 nye malwares, hver dag. Cybersvindlerne søger altid nye måder at udnytte og angribe alle slags virksomheder på. Bare fordi din virksomhed måske ikke har oplevet et angreb endnu, betyder det ikke, at den er immun.

Hvor ofte påvirkes mindre virksomheder af cybertrusler?

Faren for cyberangreb på SMV’er – som typisk er større end risikoen for større organisationer – er vokset i de senere år. I 2020 og 2021, steg antallet af databrud i mindre virksomheder globalt med 152 %, sammenlignet med de foregående to år. Det oplyser RiskRecon, som tilhører MasterCard, der vurderer virksomhedernes cybersikkerhedsrisici. Dette tal var det dobbelte, ift. større virksomheder i den samme periode.

En undersøgelse fra IBM, i 2021, viste, at 52 % af de mindre virksomheder oplevede et cyberangreb i det foregående år. Trods det, er mange virksomheder stadig ikke forberedte – en undersøgelse fra UpCity, som er en amerikansk udbyder, afslørede, at kun 50 % af virksomhederne havde en cybersikkerhedsplan i 2022.

Når det økonomiske miljø er hårdt, er det naturligt at virksomhederne bare fokuserer på den daglige drift og at overleve. I betragtning af cybertruslernes omfang, er cybersikkerhed dog blevet kritisk for virksomhedens langsigtede overlevelse.

Sådan beskytter din virksomhed mod cybertrusler!

Beskyt din SMV mod cybertrusler ved at oprette en cybersikkerhedsstrategi. En robust cybersikkerhedsstrategi bør omfatte:

Medarbejderuddannelse og -bevidsthed
Netværkssikkerhed
Infrastruktursikkerhed
Applikationssikkerhed
Informationssikkerhed
Cloud-sikkerhed
Gendannelse eller fortsættelse af forretningen ifm. et alvorligt angreb

Det er vigtigt at skabe en solid sikkerhedskultur i virksomheden. Medarbejdere og ledere bør lære og følge god, grundlæggende sikkerhedspraksis. Årvågenhed er bare ikke nok. SMV’er skal også investere i passende sikkerhedsværktøjer, som beskytter deres forretning.

Sikring af mindre virksomheders netværk

Cybersikkerhedens fagfolk taler meget om netværkssikkerhed. Det lyder som noget, der kun gælder de større virksomheder, men enhver virksomhed, med mere end én computer, har et netværk. Faktisk er det sådan, at når medarbejderne bruger deres smartphones på jobbet, udgør deres stationære computer og telefonen et virksomhedsnetværk.

Bevidstheden om sikkerhed på internettet er det første, kritiske beskyttelseslag. Adgangen til netværket bør beskyttes af stærke adgangskoder, som bør ændres regelmæssigt.

Brugere med netværksadgang bør lære at være forsigtige, når det gælder e-mails. Må man aldrig klikke på links i mails, medmindre man er helt sikker på, at den virkelig kommer fra en kendt og pålidelig kilde. Tjek altid e-mails, der hævder at være fra kolleger, som ikke rummer nogen reel, personlig besked. Pas også på e-mails, angiveligt fra banker eller andre virksomheder, der beder dig om dine kontooplysninger. Begge dele kan være tegn på phishing-svindel, der forsøger at snyde modtagerne.

Invester i effektiv beskyttelse

God, grundlæggende sikkerhedspraksis reducerer risikoen for, at cybersvindlerne trænger ind i virksomheden netværk. Selv mindre virksomheders sikkerhed kræver passende virksomhedsløsninger.

Gratis beskyttelse af mindre virksomheder er ikke altid nok. Gratis sikkerhedsværktøjer eller freeware bruges primært til markedsføring. De kan være gode til at give en fornemmelse af en potentiel løsning, som man kan prøve, før man køber noget, men de er i sagens natur begrænsede. Man kan heldigvis få effektive sikkerhedsværktøjer til mindre virksomheder til overkommelige priser.

Effektive virksomhedsløsninger bør have følgende fem grundlæggende funktioner:

De bør omfatte beskyttelse mod computervira og anden malware.
Fordi alle bruger mobilernes netværksadgang, bør man også sørge for mobil sikkerhed.
De bør sikre kryptering af individuelle filer, mapper eller hel harddisks med data.
De skal beskytte slutpunkter – som er de forskellige enheder og lokationer, der giver adgang til netværket.
Sidst, men ikke mindst, bør virksomhedens effektive ssikkerhedsløsning omfatte værktøjer til systemadministration, som fx patch-administration og opdatering af beskyttelsen.

Med en effektiv beskyttelse og god sikkerhedspraksis, kan de mindre virksomheder beskytte sig mod cybersvindlerne. De tester måske portene til dit netværk, men når de ikke lige kommer ind, kigger de efter et lettere offer.

Andre artikler og links om mindre virksomheders sikkerhed: