Sikkerhetsbrudd mot IT-systemene til en virksomhet kan få store konsekvenser. Derfor bør de ha et organisatorisk rammeverk og tekniske løsninger som tester sårbarheten og overvåker systemene.

– Potensielt kan et sikkerhetsbrudd gi en bedrift betydelige økonomiske tap og skade omdømmet. Hvis sikkerhetsbruddet medfører at personopplysninger kommer på avveie, kan det også medføre store erstatningskrav, sier Bernt Magne Krokedal som leder CGI Testing Services.

Bernt Krokedal om viktigheten av sikkerhetstesting.

Mange veier inn

Det er mange måter en organisasjon kan bli rammet på. Fra såkalt direktørsvindel der man betaler en faktura eller overfører penger fordi man tror det er direktøren som ber om det. Til spionasje, at dataene blir kryptert og det kreves løsepenger for å låse dem opp, eller at servere utsettes for så mye trafikk at de bryter sammen:

– Dette er bare noen få eksempler. Listen er lenger, men en trend vi ser er at der hackerangrepene tidligere kom fra gutterom, traff bredt og gjerne rammet store virksomheter, har de blitt mye mer organiserte. Motivene er ikke lenger «ære og berømmelse», men penger. Angriperne er smartere, mer treffsikre og viser større utholdenhet, forklarer Krokedal.

Hackerne leter alltid etter nye veier inn, og hvis det er et svakt sikkerhetsregime ett sted i en verdikjede, så kan det utgjøre en sikkerhetsrisiko andre steder og i tilknyttede systemer.

Ta en helsesjekk

Alle organisasjoner bør ha på plass et organisatorisk rammeverk med strategier, regler, rutiner og beredskapsplaner for hele IT-virksomheten sin. Rammeverket bør både være på et overordnet nivå, men også detaljert helt ned på medarbeidernivå slik at ansatte for eksempel ikke åpner harmfull e-post. I tillegg er det viktig å gjennomføre tester på alle de tekniske systemene og kjøre en sårbarhetsscanning for å avdekke svakheter.

– Både det organisatoriske rammeverket og de tekniske systemene bør testes jevnlig på samme måten som vi tar en jevnlig sjekk av egen helse, tilføyer han.

Kontinuerlig overvåking

Det aller beste er å arbeide preventivt, derfor er det sterkt anbefalt å ha en monitoreringsløsning der systemene overvåkes kontinuerlig for å avdekke risikoer.

– Små bedrifter har kanskje ikke ressurser til å legge på dette siste laget med sikkerhet, men som et minimum bør de i hvert fall sørge for å ha på plass et rammeverk og foreta jevnlige tester av de tekniske systemene sine. Økonomisk bør det være overkommelig for de fleste. De økonomiske konsekvensene hvis man blir angrepet kan langt overstige hva slike tester koster, avslutter Krokedal.