Lítil og meðalstór fyrirtæki eru gríðarlega mikilvæg íslensku efnahagslífi. Árið 2019 birtist frétt á vef Samtaka Atvinnulífsins þar sem fram kom að um 99% íslenskra fyrirtækja telji til lítill eða meðalstórra. Þessi fyrirtæki skapa um 73% af öllum störfum á landinu. Í stóra alheims samhenginu þá má eiginlega segja að allt eða allavega flest allt á Íslandi sé lítið. Íslenska mottóið “þetta reddast” hefur komið okkur ansi langt þrátt fyrir smæð en vandamálið við “þetta reddast” getur verið skipulagsleysi og að við séum illa undirbúin fyrir eitthvað óvænt. Eins og t.d. netárás. Við höldum oft að við séum of lítil til að vekja athygli og að það komi ekkert fyrir okkur. Alveg þangað til það versta skellur á. Í þessari grein ætlum við að fara yfir 3 helstu hættur lítilla og meðalstórra fyrirtækja þegar kemur að netöryggi.
Að halda að þú sért ekki skotmark
Það eru ef til vill stærstu netmistök sem smáfyrirtæki geta gert. Að telja sig of lítil til að þurfa að hafa fyrir netöryggi því þau telja sig of lítið til að vera skotmark.
Lífið væri mun auðveldara ef það væru lágmarksstærðarmörk á þeim fyrirtækjum sem netglæpamenn láta sig varða en því miður er það ekki staðan. Vissulega eru stór netglæpagengi sem nenna ekki að eltast við litlu fyrirtækin en fyrir hvern þann veiðimann sem bara vill eltast við stóru fiskana eru þúsundir veiðimanna sem finnst gaman að veiða síli eða lækjarlontur. Áætlað er að um 75% fórnarlamba lausnargjaldahugbúnaðar (e. Ransomware) séu lítil fyrirtæki.
Ef þú trúir því að þú getir eflt öryggi þíns fyrirtækis seinna þýðir það einfaldlega að verið er að vanrækja grunnatriðin í netöryggi núna. Það hefur það í för alvarleg mistök eins og að nota gamlar, óviðurkenndar útgáfur af Windows og macOS, uppfæra ekki öpp frá þriðja aðila, gefa öllum stjórnendum aðgang að öllu, kveikja á RDP (Remote Desktop Protocol) að óþörfu (og að tryggja það ekki þegar þú gerir það), skilja eftir ónotuð, óþörf og óörugg tengi opin við eldvegg, nota sömu lykilorðin aftur og aftur, geyma þau jafnvel óvarin, nota ekki fjölþátta auðkenningu (MFA) og að nota óuppfærðar útgáfur af Exchange í fyrirtækinu.
Það er aldrei of snemmt að tækla netöryggismálin. Því lengur sem þú frestar því, þeim mun dýrari og erfiðari verður verkefnið. Eins og með tannhirðuna þína. E þú burstar á hverjum degi, tvisvar á dag allavega og ferð reglulega til tannlæknis í viðhald og fyrirbyggjandi aðgerðir þá ættirðu að geta haldið tönnunum nokkuð heilum. Ef ekki þá er næstum bókað að það verður ein risastór og dýr viðgerð þegar þú ert komin/n með brjálaða tannpínu.
Höfum það alveg á hreinu að netglæpamenn munu reyna að nota Exchange-þjóninn þinn til að dreifa lausnarhugbúnaði (e. Ransomware). Þeir munu reyna að brjótast inn í RDP-þjóninn þinn, þeir munu reyna að troða kreditkortasvindli (e. Scimmers) inn á vefsíðuna þína, þeir munu reyna að plata þig til að hlaða niður spilliforritum, þeir munu reyna að beita þig vefveiðum og þeir munu senda þér fleiri illskeytt viðhengi en þú getur ímyndað þér (og starfsmenn þínir munu smella á þau).
Bíða eftir að eitthvað slæmt gerist
Annað rautt flagg er skortur á forvörnum í öryggismálum okkar. Við gerum okkur grein fyrir að í litlum fyrirtækjum þurfa helst allir að ganga í öll störf. Oft fara tölvu- og tæknimálin til þess starfsmanns sem er flinkastur á því sviði þó viðkomandi sé ekki með neina menntun í þeim málum. Fullkomlega skiljanlegt þegar stöðugildi eru fá og jafnvel lítið svigrúm til að ráða sérhæft starfsfólk í þessi störf. Sennilega eru fæst íslensk fyrirtæki með sérhæfðan öryggis- eða tæknistjóra. En sennilega eru netöryggismálin þá ekki ofarlega á blaði og sérstaklega ekki daglegt eftirlit.
„Bið eftir að hlutirnir gerist“ er oft einkenni þess að ekki er ráðið hæft starfsfólk í upplýsingatækni, of fáir starfsmenn eru í upplýsingatækni eða að öryggiskennd og öryggisvitund starfsfólks er ekki nægilega góð.
Hvað ef það væri fyrirtæki sem byði upp á ráðgjöf í netöryggismálum? Eða öryggisstjóraþjónustu í áskrift? Eða námskeið til að fræða starfsfólkið? Eða jafnvel allt þetta?
Pssst…. við gerum það 😉
Að gera ráð fyrir að allt verði í lagi
Öll innbrot í tölvukerfin sem ekki er tekið eftir eða þau látin óáreitt geta leitt til þess að lausnargjaldshugbúnaði sé komið fyrir í kerfunum hjá þér. Markmiðin hjá þrjótunum eru ekki bara ein tölva heldur allt fyrirtækið. Allt kerfið. Undirlagt. Það gerir lausnargjaldshugbúnaðinn að raunverulegri ógn. Ef við setjum þetta í samhengi þá gerir ekkert okkar ráð fyrir eldsvoða á hverjum degi en við erum skyldug til að gera ráð fyrir eldsvoða, gera allt til að koma í veg fyrir hann og vera undir hann búinn ef kviknar í. Lausnargjaldahugbúnaður er eins og eldsvoði og lítil fyrirtæki eru oft á tíðum í sérstakri hættu.
Eins og segir svo skemmtilega á ensku “failing to plan is planning to fail”. Einkenni skorts á öryggisáætlunum eru m.a.:
- Skortur á viðbragðsáætlun vegna atvika
- Að gera ekki öryggisafrit
- Að prófa ekki hvort öryggisafritunarforritin þín virki
- Að geyma ekki öryggisafrit þar sem þrjótarnir ná ekki til þeirra
Ef það versta gerist muntu örugglega óska þess að þú hefðir skipulagt viðbrögðin þín fyrirfram. Óska þess að þú hefðir vitað hvernig á að bera kennsl á og einangra árás, óska þess að þú hefðir ákveðið hvaða gögn og eignir eru þér mikilvægastar, hvaða gögn og eignir þú vilt endurheimta fyrst, hvað þarf til og hver á að gera það. Þú munt líklega óska þess að þú hefðir undirbúið þig fyrir þetta allt saman.
Ef þú gerir einfaldlega ráð fyrir að ekkert komi fyrir þig eða að það sé í lagi með þig ef eitthvað gerist þá ertu kannski tilneydd/ur til að borgar lausnargjald til tölvuþrjótanna. Við reiknum með að þú viljir endilega vera laus við það. Til að fá smá innsýn inn í hvernig það er að lenda í svona árásum þá bendum við á þessa frétt:
https://www.mbl.is/frettir/innlent/2021/09/23/fjarhagslegt_tjon_vel_a_annan_tug_milljona
Ef við tökum saman þau ráð sem hér koma fram þá er ágætt að stela slagorði frá öðru fyrirtæki: “ekki gera ekki neitt”. Byrjaðu strax að koma þér, þínu fyrirtæki og þínu starfsfólki inn á braut netöryggis ykkar allra vegna. Netöryggi, ferlar og traust kerfi veita starfsfólkinu aukna hugarró og þegar allir eru með það á hreinu hvað á að gera, hvernig eigi að bregðast við og hvernig eigi að fyrirbyggja árásir þá eru allir glaðir. Nema kannski þrjótarnir.
Við hjá Öruggt Net ehf bjóðum upp á fræðslu, forvarnir, þjálfun, úttektir, áskriftir að hugbúnaði, ráðgjöf, vélbúnað og öryggisstjóraþjónustu í áskrift. Hafðu samband við okkur strax í dag og bókaðu tíma í fría ráðgjöf.