Sök

Emergency banner

Koronainfo yrittäjälle: yrittajat.fi/korona

Hur skydda konfidentiell data? Vad kostar ett bra dataskydd? Läs experternas råd – "Det viktigaste är att visa intresse"

Attacken mot psykoterapikedjan Vastaamo har fått många företagare att fundera på datasäkerhet. Företagarna i Finland har fått många frågor om dataläckage och intrång den senaste tiden.

– Psykoterapicentret Vastaamos offer för dataintrång finns i hela Finland. Polisen har fått brottsanmälningar från olika delar av landet. Även en del företagare har blivit utsatta. De funderar om attacken påverkar även deras företagsverksamhet, berättar Karoliina Katila från Företagarna i Finland.

I detta skede är det enligt Katila omöjligt att säga om informationen används även till annat än att kräva lösensummor.

– Det kan hända att informationen används till exempel även för bluffköp från nätbutiker. Dataläckaget ökar risken för att bli utsatt för bedrägerier, förfalskningar och identitetsstölder.

Viktigt att skola personalen

Elisas datasäkerhetschef Teemu Mäkelä betecknar dataintrånget som ett väntat, men tragiskt fall eftersom det handlar om känsliga personuppgifter som kommit i fel händer. Samtidigt har attacken fungerat som en väckarklocka för många företag.

– Det gäller för småföretagarna att förstå hur de olika processerna inom företaget påverkar affärsverksamheten och hur beroende de är av varandra. Då man har koll på det är det lättare att vidta åtgärder.

Mäkelä anser att molntjänsterna är det enklaste sättet för företag att lagra information. Han uppmanar även företagen att skola sin personal.

– Under coronapandemin har det dykt upp mycket gratis skolning om datasäkerhet på nätet. Alla anställda behöver kunskap och medvetenhet om hur de ska agera för att förhindra en virusattack eller att känslig information hamnar i orätta händer.

Kom ihåg säkerhetsklassificeringen

Säkerhetsexperten Hannu Huttunen från HPH Consulting Oy uppmanar företagen att lägga tid på säkerhetsklassificering och systembehörigheter. De vanligaste säkerhetsklasserna är ”officiell”, ”intern”, ”konfidentiell” och ”hemlig”.

Huttunen poängterar säkerhetsklassificeringens betydelse ur ett kostnadsperspektiv.

– Då uppgifterna är rätt säkerhetsklassificerade används inte resurser som tid och pengar på att skydda sådan data som inte behöver skyddas, säger Huttunen.

Det finns olika sätt att granska dataskyddet, men vilket man än väljer borde det vara en självklarhet att göra granskningen. Så är det dock inte alltid.

— Auditeringar är inte billiga, det kan vara en orsak till att de inte utförs tillräckligt.

Huttunen påpekar att cyberattacker och dataintrång kan bli ännu dyrare än granskningar. Bland företagen kan följden bli konkurser, om förtroendet för verksamheten försvinner.

Det är även viktigt att följa anvisningarna i Europeiska Unionens allmänna dataskyddsförordning GDPR.  Enligt Huttunen känner många företag fortfarande dåligt till GDPR-kraven, trots att lagen trädde i kraft redan 2018.

Använd molntjänsterna på rätt sätt

Det blir allt vanligare att företag flyttar upp den gemensamma dokumentlagringen i molntjänster. Fördelarna är flera, bland andra möjligheten för medarbetare att komma åt filer oavsett var de befinner sig.

Med central dokumentlagring följer allt som oftast behörigheter som reglerar vilka dokument en viss medarbetare kan komma åt och hur de kan hanteras. Om en medarbetares inloggningsuppgifter skulle "hackas" begränsas den teoretiska skadan i enlighet med personens behörighet.

I den verkliga världen uppstår ofta problem i och med att medarbetare plötsligt saknar behörighet till nödvändiga dokument, eller möjlighet att redigera dokument som de behöver i sitt dagliga arbete.

Scenariot brukar generera ett brådskande ärende till bolagets IT-administratör, som i brist på tid ger administrativ behörighet åt användare. Med administrativ behörighet kan användare helt plötsligt komma åt allt de behöver, och en hel del till eftersom behörighetstypen helt saknar begränsningar. Detsamma gäller dessvärre för en hackare.

Sett till den ökade användningen av molnbaserad dokumentlagring så räknas faktiskt administrativa behörigheter som ett av de största hoten mot ett företags IT-säkerhet.

Tekniken måste få kosta

IT-proffset och företagaren Mårten Mickos ger på Svenska Yles nätsida företagarna rådet att hitta kryphålen.

- De bästa hackarna hittar hålen ganska snabbt, de som är mindre bra behöver mer tid. Men på sätt och vis saknar tiden betydelse, för vi måste hitta hålen. Och när vi väl hittar hålen kan vi lappa dem, säger Mickos till Svenska Yle.

Den som vill ha maximalt inbrottssäkra IT-system måste förstås vara beredd att betala för dem. Mickos påminner om att det redan finns datasäkerhetsbolag i världsklass i Finland. Datasäkerhetsmyndigheterna är också bland de bästa i världen.

- Det finns teknik för att kryptera och anonymisera information. Dessutom gäller det att vara noggrannare med lösenord och ha koll på vem som kommer åt systemen. Du måste kunna se om någon går in i systemet så att du kan reagera på en attack. Visst kostar det pengar, men det är ingenting jämfört med vad dataintrång kommer att kosta, säger Mickos.

Fem tips som förbättrar IT-säkerheten

​Många företag tar IT-säkerhet på allvar, men undersökningar visar att så många som ett av tre SMF-företag saknar grundläggande IT-säkerhet som till exempel antivirusprogram, dagliga backup-rutiner eller rutiner för byte av lösenord. Det är viktigt att se till att konfidentiell information som kundregister, kontoinformation, e-post, information om anställda och partners skyddas mot både operativa incidenter och avsiktliga attacker.

1. Riskanalys

Gör en riskanalys för ditt företag.

Här följer några exempel på funktioner som är viktiga att se över och ta med i beräkningen när IT-säkerheten ska analyseras: 

  • kundregister
  • ekonomisystem
  • leverantörsregister
  • bankrelaterad information eller lösningar för in- och utbetalningar
  • andra system eller funktioner som är viktiga för företagets drift och överlevnad

2. Antivirusprogram

Skaffa anitvirusprogram om ditt företag inte redan har det.

Antivirusprogram ger inte ett hundraprocentigt skydd, men det förbättrar IT-säkerheten avsevärt. Förutom antivirusprogram bör du installera en brandvägg. Dessa två säkerhetsåtgärder kompletterar varandra. Många leverantörer erbjuder säkerhetspaket som innehåller både antivirus och brandvägg. Se till att de uppdateras automatiskt.

I dagens antivirusprogram har flera brister slipats bort eller åtminstone minimerats. Virusskydd är idag dessutom betydligt vassare i analysarbete och de kan bevaka hur misstänkta filer beter sig på användarens dator.

Många antivirusprogram bygger numera på hybridteknologi, där den lokala datorinstallationen "samarbetar med molnet". Detta är goda nyheter för alla som är trötta på oändliga uppdateringar av virusdefinitioner eftersom virusskyddet istället använder molnbaserade definitioner.

Brandväggen fungerar som ett filter mellan internet och datorn. Den undersöker, godkänner eller blockerar uppgifter och förhindrar intrångsförsök som kan utnyttja sårbarheter i applikationer.

3. Säkerhetskopiering

Se över hur säkerhetskopieringen i ditt företag fungerar.

Allt fler bolag väljer idag att säkerhetskopiera verksamhetskritiska IT-system och data. En viktig åtgärd eftersom dataförlust är förknippat med stora kostnader.

På senare år har vi sett en vidareutveckling av konventionell backup och man talar idag om Business Continuity. Här ligger fokus dels på säkerhetskopieringen av en server eller dator, men lika mycket på återställandet av data, något som ofta varit ett problem med traditionell backup.

Så vad är skillnaden? Med en konventionell, filbaserad backup väljer du vilka filer som ska omfattas från en dator eller server. Säkerhetskopieringen hanteras sedan av en lokal enhet eller i molnet beroende på vilken lösning du använder. Skillnaden med Business Continuity är att du här inte väljer vilka filer som ska omfattas. Hela servern eller datorn säkerhetskopieras, inklusive operativsystem, konfiguration, inställningar och filer. På detta sätt går det väsentligt snabbare att återställa komplett funktionalitet för en dator eller server som kraschat.

Många Business Continuity-lösningar använder även hybridteknologi, där säkerhetskopieringen sker både på den lokalt placerade enheten och i molnet. På detta sätt är företagets data säkert även vid omfattande katastrofer där ett helt kontor kanske drabbats av brand eller naturkatastrof. 

4. Tvåstegsverifiering

Vi är väl alla medvetna om att det är viktigt med starka lösenord idag. Styrkan definieras av ett större antal tecken som gärna får innehålla specialtecken, stora och små bokstäver. Därtill är det ju rekommenderat att regelbundet byta ut sina lösenord, åtminstone var tredje månad.

En allt populäre lösning på problematiken är tvåstegsverifiering (two-step authentification) och som namnet indikerar så handlar det om säkerhet i två steg. När du skrivit in ditt vanliga lösenord i ett system som stöder tvåstegsverifiering skickas ett meddelande till din mobila enhet, där du sedan får bekräfta att du verkligen vill logga in i systemet. Upplägget är lika simpelt som det är effektivt och innebär i slutändan att någon behöver ha tillgång till både ditt systemlösenord och din mobila enhet för att komma åt ditt användarkonto.

5. Riktlinjer för anställda

Se till att alla i företaget vet vad som gäller.

Alla anställda behöver kunskap och medvetenhet om hur de ska agera för att förhindra en virusattack eller att känslig information hamnar i orätta händer.

Alla måste vara medvetna om att:

  • vara försiktiga med att klicka på länkar i mejl och på webben
  • de ska skapa starka lösenord och byta dem regelbundet
  • de ska ha olika lösenord för olika tjänster
  • inte förvara känslig information felaktigt
  • låsa datorn när man slutar för dagen

Dessutom bör alla anställda veta vad som är konfidentiell information och hur den ska behandlas. Det är också viktigt med riktlinjer för hur de ska agera i sociala medier (både privat och på jobbet) och att alla tänker på säkerheten även i mobiler och läsplattor.