Større behov for cyber security under coronakrisen – et samfunn i unntakstilstand øker faren for dataangrep

IT-advokatene i Advokatfirmaet Eurojuris Haugesund AS og datasikkerhetsekspertene i EMP Secure er enige om et tydelig budskap:  legg til side budsjett og praktisk motstand, og innfør enkel, tilgjengelig og sikker teknologi.  Det er rett og slett nødvendig å ta i bruk IT-systemenes Antibac.

Verden er i endring. Det er uenighet om mye, men knapt noen tviler på at næringsliv, arbeidsliv og samfunnet rundt oss er inne i en hurtigspinnende endringskarusell som vi kanskje aldri har sett før. Robotisering, kommunikasjonsteknologi, autonomi, kunstig intelligens, alt ser ut til å bli mulig samtidig, og det vi visste i går kan bety lite og ingenting i morgen.

Nye tekniske og elektroniske muligheter, åpner også døren på gløtt for nye farer. Når teknologien støtter opp om, og i noen tilfeller tar over, operasjoner som tidligere var helt avhengige av menneskelig dømmekraft og årvåkenhet, reduseres risikoen for menneskelige feil. Samtidig oppstår nye farer.

Vi vet om flere alvorlige cyberhendelser som har fått store konsekvenser, bl.a. for transportnæring og skipsfart. Noen ganger kan det være målrettede angrep. Ofte vil det derimot være angrep uten konkret adressat. Som f.eks. cyberangrepet NotPetaya som i 2017 rammet en lang rekke virksomheter verden over. Blant disse var Maersk, et av verdens største shippingselskap, som fikk oppleve at 17 containerterminaler stoppet opp da det sentrale bookingsystemet gikk i svart. I månedsvis svirret hundretusenvis av containere rundt, uten at noen visste hvor de kom fra og hvor de skulle.

Covid-19 viser med skremmende tydelighet at selv om verden er i endring og virksomheter må håndtere ny risiko, er næringslivet ikke forskånet fra konsekvensene som kommer med gamle og kjente farer, slik som en global pandemi. Det er for tidlig å si hva de endelige følgene blir, og det er heller ikke tidspunktet for å dra lærdom av hendelsen som vi nå står midt oppi. Det er likevel påfallende å se hvordan de forretningsmessige følgene av et biologisk virus ligner de man kjenner fra større dataangrep, med driftsavbrudd, kontraktsmessige oppfyllelseshindringer og arbeidslivskonsekvenser.

Faren for cyberrealterte hendelser reduseres neppe av et næringsliv i unntakstilstand. Med utstrakt bruk av midlertidige ordninger og hjemmekontor er det tvert i mot sannsynlig at risikoen øker. Nasjonal sikkerhetsmyndighet har gått ut og advart virksomheter om dette etter at bl.a. Interpol har rapportert om konkrete forsøk på angrep.

Vi har vært i kontakt med eksperter på datasikkerhet i EMP-secure. Her er en samling av tiltak som EMP Secure har kalt IT-løsningenes Antibac:

  • Ikke løs opp på sikkerhetskravene selv om situasjonen er ekstraordinær.  Dersom det er behov for å gi flere tilgang til bedriftens sensitive systemer, er det viktig at nye rutiner ikke hasteinnføres uten at det gjøres på en sikkerhetsmessig forsvarlig måte. Nye tilganger og svak beskyttelse er en kombinasjon som gir en markant økning i risiko. Videre er det viktig at midlertidige ordninger dokumenteres og at rutiner tilbakeføres til normalen når det ekstraordinære behovet opphører.
  • Vis ekstra årvåkenhet ved åpning av e-post som omhandler corona/covid-19.  Vær kritisk til hvem som er avsender og ikke åpne vedlegg/linker i e-poster du ikke er 100 % sikker på at er ekte.
  • Benytt multifaktor for pålogging både på jobb og privat.  Tofaktorautentisering e.l. er en billig investering for å øke sikkerhetsnivået betydelig. Det vil også i de fleste tilfeller være mulig å implementere raskt for bedrifter som ikke allerede har dette på plass. Tofaktorautentisering gjør det betydelig vanskeligere for svindlere å utgi seg for å være en kollega eller samarbeidspartner og på den måten skaffe seg tilgang til sensitive data gjennom å utnytte andres tillitt.
  • Sørg for at pc som benyttes til hjemmekontor har installert de siste sikkerhetsoppdateringer og at antivirus er oppdatert.  Dette vil særlig være aktuelt hvor det benyttes datamaskiner som ikke er i daglig bruk.
  • Benytt VPN for sikker tilgang til bedriftens nettverk.  VPN er en kryptert tunnel mellom deg og bedriftens nettverk, som gjør arbeid utenfor kontoret sikrere fordi trafikken da går igjennom bedriftens sikkerhetssystemer (brannmur, innbruddsdeteksjon, sikker DNS-tjeneste mv.).
  • Benytt anerkjente samhandlingsplattformer som tilbyr et forsvarlig sikkerhetsnivå.  Ledelsen må ta styring og informere ansatte om hvilke plattformer som skal brukes slik at man unngår at det tas i bruk tjenester man ikke har kontroll over. Har man ikke allerede etablert samhandlingsplattformer, tilby flere tjenesteleverandører som f.eks. Microsoft Teams gratis prøveperioder. Det er derfor mulig å komme raskt i gang, uten at det nødvendigvis påløper kostnader på kort sikt.

Selv om virksomheten er trygg på rutinene i eget hus, vil man ofte være avhengig av samhandling med andre. Det er derfor like viktig at de man samhandler med har gode rutiner. Hvilke forventninger til datasikkerhet har din virksomhet til sine samarbeidspartnere? Er disse forventningene tydelig kommunisert i virksomhetens innkjøpsrutiner og annet avtaleverk (kontrakter, leverandøravtaler, PO, standardvilkår mv.)?

Vårt advokatkontor har medarbeidere med god kompetanse på bl.a. maritim rett, kontraktsrett og arbeidslivsrett. Vi bistår gjerne med å gjennomgå avtaleverket som din virksomhet er avhengig av for best mulig å sikre seg mot driftsavbrudd eller andre oppfyllelseshindringer.  Ta kontakt med advokatfullmektig Werner Dagsland via denne linken dersom du har behov for hjelp eller mer informasjon.

Har din virksomhet behov for konkrete tjenester eller rådgivning innen datasikkerhet, ta kontakt med EMP Secure; www.empsecure.com / post@empsecure.com / +47 52 76 33 00.