Mange bedrifter tror at de ikke er interessante nok for trusselaktører. Man tenker gjerne at det er de store konsernene, de som sitter på milliarder i verdier, som står øverst på listen. Virkeligheten er en annen. Trusselaktører ser i økende grad til mindre bedrifter, nettopp fordi de ofte har et svakere forsvar og begrensede IT-ressurser.
Enkle mål gir raske gevinster
En trusselaktør vurderer alltid innsatsen opp mot gevinsten. For store selskaper kan det være mer lukrativt å lykkes, men det krever også langt mer tid, kompetanse og ressurser å bryte seg inn i. Små og mellomstore bedrifter, derimot, kan ha åpne dører som gjør det både enklere og raskere å få tilgang. For en trusselaktør er det ofte mer effektivt å angripe mange små mål fremfor å bruke måneder på å bryte ned murene til en stor aktør.
Trusselaktørene har høy økonomisk motivasjon
Selv om din bedrift ikke har milliardomsetning, sitter du likevel på verdier som kan utnyttes. Det kan være alt fra kundedata, bankinformasjon, IP-adresser, personopplysninger eller tilgang til e-postsystemer. For en trusselaktør kan disse opplysningene enten brukes til videre svindel eller selges videre på svartebørsen. Selv et lite datasett hos deg kan ha høy verdi i de rette hendene.
Du brukes som en inngangsport til dine kunder
En annen grunn til at en bedrift som din er mer attraktiv, er at det er høy sannsynlighet for at du er enten underleverandør eller samarbeider med andre selskaper av ulik størrelse
Hvis en trusselaktør får fotfeste i din bedrift, kan det være inngangsporten til mange andre systemer hos kundene dine. Denne kjedeeffekten gjør at ditt selskap blir en del av et mye større puslespill.
Har du hørt om et leverandørkjedeangrep før?
Et leverandørkjedeangrep handler om at noen forsøker å utnytte tilliten mellom virksomheter og deres samarbeidspartnere. I stedet for å gå rett på hovedmålet, velger angripere ofte et svakere ledd i kjeden for å få tilgang til systemene.
Siden mange virksomheter deler data og tilgang med andre, kan ett lite sikkerhetshull få store konsekvenser. Det som gjør slike angrep ekstra krevende å oppdage, er at de gjerne kommer via kanaler man allerede stoler på. Derfor handler god sikkerhet ikke bare om egne systemer, men også om å ha oversikt og stille tydelige krav til sikkerheten i hele leverandørkjeden.
Manglende ressurser og kompetanse
Vi ser at mange små bedrifter ikke har sin egen IT-avdeling, og sikkerhet blir derfor en oppgave som legges på toppen av alt annet. En person får gjerne flere hatter som skal sjongleres.
Det kan føre til at viktige rutiner blir glemt, nedprioritert eller aldri laget i utgangspunktet. Oppdateringer utsettes, passord gjenbrukes, og opplæring av ansatte får lite oppmerksomhet. Dette er forhold som gjør det enklere for mennesker med onde intensjoner å lykkes.
Konsekvensene er store
Angrep skjer ofte i stillhet, og mange bedrifter merker ikke at de er kompromittert før lenge etter det har skjedd. Dessuten endrer trusselbildet seg for hver dag som går. Det som var trygt i fjor, kan være en åpen sårbarhet i dag.
Konsekvensene kan bli langt mer alvorlige enn mange forestiller seg. Et datainnbrudd kan føre til store økonomiske tap, du kan tape kunders tillit, få brudd på lover og forskrifter, og i verste fall oppleve nedleggelse. For små bedrifter kan et stort angrep være så kostbart at det ikke er mulig å hente seg inn igjen.
Hva kan du gjøre?
Den gode nyheten er at det finnes mange tiltak som ikke krever store budsjetter, men som likevel gir stor effekt:
- Innfør totrinnsautentisering for alle brukerne dine
- Sørg for jevnlige oppdateringer og patching av systemene du har i dag
- Ha gode rutiner for sikkerhetskopiering
- Gjennomfør opplæring av folka dine i hvordan de oppdager phishing og andre trusler
- Ha en plan for hva som skal gjøres dersom et angrep skjer
- La eksperter på IT og sikkerhet spille deg god
Ikke undervurder din egen risiko. Trusselaktører går dit det er enklest å komme inn og hvor gevinstene er gode nok. Ved å erkjenne risikoen og innføre enkle, men viktige tiltak, kan bedriften din redusere sårbarheten.
Ha en god sikkerhetsmåned!🔐