Så lyfter du företagets IT-säkerhet – snabba tips efter spanarlunch
Fredrik Olsson Unger på Orange Cyberdefense.
Cybersäkerhet handlar mindre om avancerad teknik och mer om vanliga beslut i företagets vardag. Under en spanarlunch berättade Fredrik Olsson Unger och Stefan Rahm från Orange Cyberdefense om aktuella hot och vad företagare faktiskt kan göra. Efter lunchen ställde vi några snabba frågor till Fredrik som delar sina bästa tips.
Vad är det vanligaste misstaget ni ser hos småföretag när det kommer till IT-säkerhet?
– Att man tror att man är för liten för att vara intressant. Det stämmer delvis – statsaktörer som Ryssland och Nordkorea riktar sig sällan mot ett enmansföretag i Jämtland. Men många attacker sker brett: hackare slänger ut ett stort nät och fångar de som har sämst skydd. Om du inte har några rutiner, ingen lösenordspolicy och oinformerad personal – då är du ett enkelt byte, säger Fredrik Olsson Unger på Orange Cyberdefense.
Behöver man ha en IT-avdelning för att jobba seriöst med cybersäkerhet?
– Nej. Cybersäkerhet är allas ansvar – och sunt förnuft räcker långt. Lås skärmen när du går från datorn. Använd en lösenfras istället för ett lösenord. Aktivera multifaktorautentisering, det vill säga att du vid inloggning behöver bekräfta din identitet på mer än ett sätt – till exempel med både ett lösenord och en kod skickad till din telefon. Lär dig och dina anställda att känna igen ett nätfiskemejl. De här sakerna kräver ingen IT-avdelning.
– Se också till att hålla programvara och system uppdaterade; många angripare utnyttjar kända säkerhetshål som det redan finns tillgängliga åtgärder – så kallade patchar – för.
Var börjar man om man aldrig tagit tag i det?
– Börja någonstans – det är det viktigaste. Prata om det på jobbet: vilka risker finns, vad gör vi redan, vad behöver vi bli bättre på? Medvetenhet är grunden, och den måste involvera alla anställda.
– Myndigheten för civilt försvar (tidigare MSB) erbjuder kostnadsfri vägledning och verktyg på sin hemsida, bland annat kring ramverket ISO 27001 för systematiskt informationssäkerhetsarbete. Svenskt Näringsliv har också checklistor för hur man skyddar sig mot vanliga angrepp (se länkar längre ner).
– För de som vill gå längre finns även externa tjänster för säkerhetsövervakning, men kostnaden för dessa är sällan proportionerlig för de minsta företagen.
Vad gör man om man råkar ut för en cyberattack?
– Kontakta polisen; datorintrång är ett brott och ska anmälas. Kontakta också företagets IT-leverantör och berätta vad som hänt. CERT-SE, Sveriges nationella team för it-incidenter, kan också ge stöd. I en del företagsförsäkringar ingår numera en cyberförsäkring – den kan ge hjälp med krishantering, juridisk rådgivning och ekonomisk ersättning under återställningstiden.
– Det går självklart också att ta hjälp från en IT-säkerhetskonsult, och det finns tjänster där företag kan prenumerera på en responsförmåga - alltså att man får hjälp om företaget inte kan hantera en incident på egen hand.
Kan man vara utsatt för intrång utan att veta om det?
– Ja. Intrång kan pågå länge utan synliga tecken. Varningssignaler kan vara en ovanligt seg dator, saker som händer på skärmen utan att du gjort något. Men det är inte alltid det är så tydligt. Det bästa skyddet är att förebygga – inte att hoppas på att man märker det i tid.
Spanarlunchen om cybersäkerhet arrangerades inom ramen för projekt Twin Peak, som finansieras av Region Jämtland Härjedalen och Tillväxtverket.
Så gör du det svårare för angripare – Fredriks bästa tips för lösenord
Använd en lösenfras istället för ett lösenord. En personlig mening på fyra ord ger dig 20+ tecken – och tar angripare tusentals år att knäcka.
Undvik fraser från kända böcker eller texter. Välj något som är meningsfullt för dig, inte för någon annan.
Använd en lösenordshanterare. Den genererar och sparar starka lösenord åt dig.
Undvik att spara lösenord i webbläsaren – använd en dedikerad lösenordshanterare istället.
Rensa urklipp efter att du kopierat ett lösenord. Det kan annars ligga kvar okrypterat och vara åtkomligt.
Kostnadsfria stöd att läsa och ladda hem: Metodstöd, checklistor och vägledning finns hos Myndigheten för civilt försvar och Svenskt Näringsliv. En bra start är att ladda hem Mcf:s broschyr Tänk Säkert!
KARTLÄGG FÖRETAGETS INFORMATION – vad har du egentligen på dina servrar?
En bra start för infosäkerhetsabetet är att göra en genomgång av företagets information. Ställ dig frågorna:
Vilken information är viktig för verksamheten?
Hur känslig är den – för dig, dina kunder eller tredje part?
Vem har tillgång till den, och behöver de verkligen det?
Hur och var lagras den, och är den skyddad?
Tänk också på att data som var för sig verkar harmlös kan bli känslig i kombination. En lista med kundnamn plus en lista med priser plus en lista med leverantörer – tillsammans ger det en bild som en konkurrent eller angripare kan ha nytta av.