Hopp til innhold

IT-sikkerhet for SMB: Dette må styret ha kontroll på

- Advokat i Sticos

Vi gjør oppmerksom på at denne artikkelen er mer enn ett år gammel og innholdet kan være utdatert.

Små bedrifter har større risiko for brudd på IT-sikkerhet enn store bedrifter på grunn av færre ressurser og mindre kompetanse. Styret har ansvaret.

Styrets ansvar for IT-sikkerheten

Sikring av selskapets IT-system innebærer å sikre at selskapets digitale informasjon ikke går tapt, ikke blir lest og utnyttet av uvedkommende eller gjort utilgjengelig for selskapet.

Styret har ansvaret for selskapets IT-sikkerhet. Styrets ansvar kan vise seg å bli påtrengende aktuelt: Om et hackerangrep er gjort mulig som følge av manglende kontroll med IT-sikkerheten, kan resultatet være at styrets medlemmer blir ilagt et personlig, økonomisk ansvar for det tap som oppstår. 

Også ved rapportering av årsregnskapet skal risikoen for IT-angrep vurderes. Det er krav i  regnskapsloven om at større selskaper skal avgi en årsberetning der selskapets sentrale risikoer og usikkerhetsfaktorer skal beskrives. Uønskede hendelser rettet mot selskapets IT-systemer vil kunne ha stor betydning for selskapets finansielle situasjon. 

Man kan benytte velkjent systematikk for risikostyring i arbeidet med å kartlegge og forhindre den risiko som ligger i angrep mot IT-infrastrukturen i selskapet. Internkontrollforskriftens definisjon av “internkontroll” passer godt som beskrivelse på det arbeidet styret må gjøre for å ivareta selskapets verdier: 

«Systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres, sikres og vedlikeholdes i samsvar med krav.»  

Styret må altså sikre at selskapet har systemer og rutiner som fanger opp sårbarhet, problemer og utfordringer i tide til å hindre alvorlige angrep. I tillegg må styret ha vedtatt en beredskapsplan for det tilfelle at uhellet er ute. 

Første ledd i arbeidet er å skaffe seg oversikt over de verdier selskapet har i sine datasystemer. 

Flere nyttige tips finner du i denne artikkelen: Slik får din virksomhet bedre informasjonssikkerhet

Hvilke verdier har en bedrift i sin digitale «bankboks»?

De færreste selskaper er tilstrekkelig bevisst på hvilke verdier de har i sin “digitale bankboks”. Dette kan gjelde informasjon om: 

  • Patenter og åndsverk som bedriften eier og benytter i sin virksomhet,
  • Kundelister/kundedatabaser,
  • Personopplysninger, dvs opplysninger om egne ansatte, kunder, samarbeidspartnere, konkurrenter, mv.
  • Styringsinformasjon som økonomi, strategi, tilbud/anbud og  forhandlinger, 
  • Bestillings- og faktureringssystem 
  • Informasjonssystemer som styrer og kontrollere produksjonen.

Selv om disse dataene er dels vernet gjennom rettsregler hjelper det lite mot kriminelle datainnbrudd. Derfor er det viktigste forsvarsverket for selskapene å hindre at data kommer på avveie. Her er det helt sentralt at selskapet har rutiner for å kunne gjenopprette data, eksempelvis via oppdatert sikkerhetskopiering.  

Les også: «Olga-svindel» - ikke la deg lure

Hvilke angrep kan SMB-selskaper bli utsatt for?

Datakriminalitet er som oftest profittmotivert, gjerne ved at det kreves løsepenger for å gi tilbake kontrollen over data. Samtidig kan hensikten med data-angrepene være å destabilisere systemer eller å skaffe seg uberettiget tilgang til informasjon i skadehensikt.

Konsekvensene av angrep kan være fatale. Sikkerhetsbrudd medfører fare for produksjonsstans, tap av konkurranseevne, betydelige gjenopprettingskostnader og tap av omdømme. I ytterste konsekvens kan det føre til konkurs. 

For å kunne forebygge må man vite hva man skal verne seg mot. Vi snakker her om sofistikerte svindelforsøk, gjerne etter omfattende kartlegging av en bedrift, med deretter målrettede angrep. 

De vanligste angrepsformene fra IT-kriminelle er:  

  • Datainnbrudd: Ved datainnbrudd skaffer den kriminelle seg uberettiget tilgang til hele eller deler av et datasystem, eksempelvis ved at et passord har kommet på avveie.  
  • Løsepengevirus: Ved løsepengevirus benytter den kriminelle seg av en programvare som låser eller krypterer deler av en bedrifts datasystem, og krever løsepenger for å låse opp dataene. Viruset vil forsøke å spre seg gjennom nettverket i en virksomhet, og kan være svært ødeleggende.
  • Tjenestenektangrep - (DoS=Denial of Service): DoS er et angrep mot datasystemet hvor systemet oversvømmes med oppgaver slik at det enten kollapser eller blir ubrukelig på grunn av manglende båndbredde eller annen begrenset kapasitet hos den som blir angrepet. 

Bli oppdatert og få ny kunnskap med vårt høyaktuelle nettkurs: Informasjonssikkerhet og personvern

Hvordan bør SMB-selskaper arbeide med IT-sikkerhet? 

Selskapets arbeid med IT-sikkerhet må ta sikte på å oppdage, hindre og redusere konsekvensene av IT-angrep. 

Først må det etableres en god, teknisk plattform, som inkorporerer grunnleggende tekniske barrierer. Dette omfatter antivirusprogrammer, tilgangsbegrensninger og tofaktorautentisering. Selskaper kan bruke standardiserte systemløsninger, som ISO 27001, for sikker konfigurering av systemer og infrastruktur. 

Så må selskapet ha fokus på sikkerhetskopier og oppbevaring av logger fra IT-systemet, fordi disse er sentrale for gjenoppretting av data. Man må være særlig oppmerksom på at loggene er det første som angripes av kryptovirus. 

Dernest må det etableres en sikkerhetskultur blant selskapets ansatte. Denne må omfatte gjentagende sikkerhetsopplæring, med fokus på god passord-”skikk-og-bruk” og ikke trykke på lenker hvis man er i tvil om autensitet. 

Her, som ellers, gjelder at forebygging er billigere enn gjenoppretting. 

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på FacebookLinkedIn og meld deg på vårt nyhetsbrev.

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.