Den här webbplatsen använder cookies. Genom att du fortsätter att använda webbplatsen godkänner du att vi använder cookies. Godkänn

10 hot mot din information

Utpressning med hjälp av överbelastningsattacker på ditt företags webbplats, företagsspionage och säkerhetshål i it-program är några externa hot mot din informationssäkerhet. Ännu större är risken för interna säkerhetshot; egna anställda som medvetet säljer information eller av okunskap läcker information. År 2008 drabbades hela 110 miljoner människor av stöld eller förluster av känslig data och information. Den siffran kan bli dubbelt så hög i år, enligt KPMG. Varsågod. Här listar vi tio vanliga hot mot din information och hur du skyddar den.

1 Interna hot
Egna anställda är den största risken för informationsläckage, antingen medvetet eller i form av okunskap.
– Interna hot har ökat med 60 procent sedan 2008. Uppsagda anställda i finanskrisens spår kan hamna i ekonomiska svårigheter, och medvetet sälja ­företagskänslig information till en konkurrent. Informationen kan spridas för att hämnas på tidigare arbetsgivare, säger Fredrik Ohlsson, it-expert på revisions- och konsultbolaget KPMG.
Informationsstöld är allt från att sälja kundregister till att sälja information ur kommande kvartalsbokslut som utnyttjas för aktiespekulation.
Okunskap handlar om att anställda pratar i mobiltelefon på offentliga platser eller med fel personer. Anställda kan sprida information via mejl utan att veta att det är konfidentiell information.
Åtgärder: Ta fram sekretess- eller lojalitetsavtal. Inför fler behörighetsgrader i it-system. Inför kontrollmekanismer som hindrar och meddelar när konfidentiell information kopieras eller skickas. Informationsklassificera till exempel att den här informationen är öppen, intern, eller konfidentiell.  

2 Orätt information
I takt med att data och information sköljer över företag och sprids i olika system blir det allt svårare att söka i mängderna. Man tappar kontroll över vem som ansvarar för olika informationsdelar, var den är lagrad. 
– När beslut tas utifrån företagets information så måste man vara säker på att informationen är korrekt och validerad. Felaktiga uppgifter kan leda till fel beslut, säger Fredrik Ohlsson
Åtgärder: Ta fram en lagrings­policy som består av dokument med hur data ska kvalitetssäkras, klassificeras, hanteras, lagras och liknande. Det finns även verktyg för att spåra, definiera, kvalitetssäkra, söka och presentera information. Verktyg och ramverk kan införas som en trappstegsmodell.  
 
3 Dålig koll på regelverk

Från myndigheter sjösätts allt mer regelverk inom informationssäkerhet för att skydda data och få ordning på den. Inom juridiken skiljer man på regelverk och normativa regelverk. Regelverk ­(benämns även legala regelverk) måste följas av de företag som berörs och normativa regelverk kan vara till exempel standards som är frivilliga att införa. 
– Om företag inte följer regelverken kan de råka ut för viten, dålig image eller näringsförbud, säger Fredrik ­Ohlsson.
Exempel på legala regelverk som berör informationssäkerhet är: Sarbanes Oxley (SOX) och Basel2. Ramverket ITIL och ISO 27000 är exempel på ­normativa regelverk.
Åtgärd: Ta hjälp av ett råd­giv­nings­företag för att ta reda på vad som gäller.

4 Riktade attacker
Organiserade ligor gör allt fler riktade attacker, ofta med syfte att stjäla och sälja information.
– Bedragarna bedriver ut­pressning och hotar med ­överbelastningsattacker mot webbplatser om företag inte betalar. Utpressarna kan också säga att de lyckats komma åt kundregister med pris­nivåer. Om företaget inte betalar ­kommer konkurrenter att få ­listan, säger Fredrik Ohlsson.    
Stjäla e-identiteter, nätfiske och Botnets är andra exempel på attacker. Nätfiske innebär att skicka e-post i syfte att lura ­exempelvis bankkunder att ­lämna ifrån sig kreditkorts­nummer, pin-koder och lösenord till falska webbplatser. ­Botnets handlar om att ­infektera datorer med trojans­ka hästar. Därefter kan in­kräktarna kontrollera datorerna som kan nyttjas för olaglig verksamhet. 
– Webb­läsareattacker ökar nu kraftigt. Genom att anställda ­surfar på vissa sajter, tar sig skadlig kod förbi brandväggar in i anställdas datorer, säger Joakim von Braun, säkerhetsrådgivare för bland annat it-säkerhetskonsulten High Performance Systems.
Åtgärder: Satsa på en krisplan för att kunna ­hantera ­oönskade händelser. Efter utpressning, ­polisanmäl och gör en analys som tar reda på huruvida bovarna verkligen lyckats med ett intrång.  Ha ­alltid uppdaterade säkerhetsprogram, och skaffa program som i anställdas webbläsare känner av vilka webbplats­er som innehåller skadlig kod. 

5 Företagsspionage

För att komma åt företagskänslig information kan angriparna lyssna i okrypterade trådlösa nätverk på flygplatser, hotell och liknande. Några använder ut­rustning som avlyssnar mobiltelefoner. Syftet kan vara att få reda på produktutveckling eller pågående affärer.  I en pågående global affär kan konkurrenter vilja lägga sig under varand­ras offerter.
– Även om ett bolag själv inte skulle göra något olagligt kan ­deras affärsagenter gå över ­gränsen för att få tillgång till affärsinformation, säger Anders Skaar, säkerhetskonsult på Ekelöw.
Åtgärder: Satsa på ett bra klientskydd med brandvägg och kryptera datatrafiken via VPN. Tala aldrig om affärsuppgörelser i offentliga miljöer. Det går även att köpa krypterade mobiltelefoner.  

6 Borttappade prylar
Borttappade bärbara datorer, USB-minnen eller mobiltelefoner kan vara förödande.
– Eftersom få datorer har krypterade hårddiskar räcker det att plocka ut hårddisken och ansluta den till en annan dator så allt på hårddisken enkelt kan läsas, säger Joakim von Braun.
Förutom att känslig kundinformation kan hamna i orätta händer kan flera veckors arbete gå till spillo om man inte tagit en säkerhetskopia.
Åtgärder: Skaffa ett gemensamt krypteringssystem för hårddiskar, mejl och USB-minnen. Rista eller etsa in uppgifter på hårdvaran för att göra datorerna ointressanta eller ­mind­re stöldbegärliga för tjuvar. Det finns också elektroniska transpondrar i form av chip eller GPS-sändare som kan gömmas i utrustningen.

7 Försumlig ­leverantör
År 2011 levereras fyra av tio it-program som molntjänster i stället för klassiska programlicenser, enligt analysföretaget Gartner.  Molnet innebär att information och program tillhandahålls som tjänster över inter­net. Men när information hamnar hos tredje part tappar man indirekt kontroll.
– En kund måste tänka till rejält om de i en fil- och e-post­server eller applikation hos en molnleverantör verkligen ska lagra känslig information. Innan beslutet måste man säkerställa hur informationen behandlas av tredje part, säger Anders Skaar. 
I samma veva växer den svenska outosurcingmarknaden så det knakar: 
– Du kan aldrig outsourca ansvaret för din egen information. I takt med att företag lägger ut kärnverksamheter i till exempel Indien och Kina ökar riskerna även för industri­spionage, säger Fredrik Ohlsson. 
Åtgärder: Välj en seriös och etablerad leverantör. Ställ rejäla krav att de uppnår hög informationssäkerhet i olika avtal. Se till att leverantörens egna anställda skriver under sekretessavtal. 

8 Säkerhetshål
Många it-program innehåller säkerhetshål som angripare kan utnyttja för att ta sig in i nätverk och datorer. Säkerhetshålen finns i allt från vanliga mejlprogram och operativsystem till affärssystem.  Och intrång kan redan vara ett faktum innan din leverantör eller it-avdelning upptäcker hålen. Och i och med att anställda själva kan ladda ner gratisprogram har it-avdelningen ännu mindre säkerhetskoll på programmen.
– Säkerhetshål kan även finnas i specialutvecklade program, och det kan uppstå säkerhetshål i samband med konfigureringar, säger Fredrik Ohlsson.
Åtgärder: Uppgradera programmen löpande eller se till att ha bra avtal där du får tillgång till uppgraderingar i tid. Prenumerera gratis på Sitic:s (Sveriges IT-incidentcentrum) blixtmeddelanden för att se vilka program som innehåller säkerhetshål.

9 Ingen åtkomst
Ditt kontor brinner ner, server- eller hårddiskkrasch och strömavbrott. Det är incidenter som gör att du helt ­eller delvis inte kan nå företagets information.
– Reservkraft eller dubblerade datorhallar är ofta inte tillräckligt om man inte har en it-katastrofplan. Man måste identifiera informationsdelar som måste fungera för att hålla igång verksamheten hjälpligt då avbrott eller katastrof sker, säger Anders Skaar. 
Dåliga backuprutiner i samband med hårddiskkrascher kan också resultera i plötslig brist på information. Även driftsättning av it-system, som affärssystem,
vållar problem:
 – Projektgrupper är så stressade att de inte har tid att göra tester. Efter driftsättning upptäcks integrationsproblem och säkerhetshål. Då stängs systemen av och användarna får ingen eller dålig åtkomst till ­information, säger Anders Skaar. 
Åtgärder: Skapa en katastrof- och åtgärdsplan för att mini­mera riskerna. Avsätt tid att testa it-system innan drift. 

10 Avsaknad av policy
En stor orsak till att nämnda hot uppstår beror på att anställda inte är till räckligt säkerhetsmedvetna eller har svårt att veta vad som gäller.
– I många verksamheter finns ingen policy för informationssäkerhet eller så finns en it-policy som negligerar verksamhetens behov av informationssäkerhet. Varje verksamhet är unik, policyn måste anpassas efter verksamheten, säger Anders Skaar.
Åtgärder: När en policy för informationssäkerhet skapas, se till att olika representanter från verksamheten medverkar. Dra nytta av ISO 27000-serien, en standard för informationssäkerhet.
Fotnot: Åtgärder är exempel.

Mer på civilekonomen.se