01. september 2022

Cyberangreb på virksomheder: 11 tips til at beskytte jeres virksomhed

I dagens digitale verden er virksomheder udsat for stadig flere og mere avancerede cyberangreb. Hvis ikke virksomhederne er forberedt på disse angreb, kan de blive alvorligt ramt – både økonomisk og på deres omdømme. Til at beskytte virksomheden mod cyberangreb kan standarden for informationssikkerhed, ISO 27001, være et godt sted at starte.

Hvad er et cyberangreb?

Et cyberangreb er et forsøg på at hacke en virksomheds IT-systemer eller at få adgang til fortrolige data. Ofte er formålet med et cyberangreb at skade virksomheden eller stjæle dens data.

Cyberangreb kan have alvorlige konsekvenser for virksomheder, hvis de ikke er forberedt på dem. Virksomheder kan miste vigtige data, og deres IT-systemer kan blive låst, så de ikke kan anvendes. Cyberangreb kan derved have alvorlige indvirkninger på virksomhedens drift og økonomi. Den internationale ledelsesstandard ISO 27001 for informationssikkerhed er et styringsværktøj, som kan hjælpe virksomheder til at beskytte de værdifulde informationer og data - herunder persondata - på en sikker og troværdig måde.

Cyberangreb versus hackerangreb, hvad er forskellen?

Et hackerangreb er et forsøg på at komme ind i et IT-system med det formål at ødelægge det eller stjæle data. Et cyberangreb er et mere bredt begreb, der også omfatter forsøg på at skade virksomheder eller personer. Virksomheder bør have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed. Det tager ISO 27001 også højde for bl.a. via et såkaldt SoA-dokument, hvor organisationen skal forholde sig til de til- og fravalg af foranstaltninger, som organisationen vil implementere for at håndtere de identificerede risici.

Hvem foretager cyberangreb?

Cyberangreb kan både foretages af enkeltpersoner og af store kriminelle netværk og organisationer. Enkeltpersoner, der foretager cyberangreb, kaldes ofte for hackere. De fleste alvorlige cyberangreb foretages formentlig af de større kriminelle organisationer, der har ressourcer til at udvikle avancerede angrebsmetoder og værktøjer.

Tre grunde til, at virksomheder bør sætte IT-sikkerhed på dagsordenen

Cyberangreb bliver mere og mere sofistikerede og kan forårsage uoprettelig skade på en virksomhed. Derfor bør enhver virksomhed sætte IT-sikkerhed højt på dagsordenen af tre grunde:

1. Cyberangreb bliver mere almindelige
2. Cyberangreb kan have alvorlige konsekvenser for en virksomheds drift og omdømme
3. Mange virksomheder er ikke forberedte på mange af de nyeste typer af sofistikerede cyberangreb

5 eksempler på angrebstyper

Der findes mange forskellige typer af cyberangreb, men de fleste angreb kan inddeles i tre hovedkategorier. Angreb, der har til formål at ødelægge data, stjæle data eller låse IT-systemer. Her er fem eksempler på cyberangreb:

1. Man in the middle attac: Her opfanger hackerne trafikken mellem to parter uden, at parterne opdager det. På denne måde kan hackerne få adgang til fortrolige oplysninger. I praksis kan det eksempelvis ske, hvis medarbejderne tilgår virksomhedens systemer via "åbne" internetforbindelser på en café eller andre offentlige steder.
2. DDoS: Betegnelsen DDoS står for ”Distributed Denial of Service”, og det betyder, at hackerne forsøger at overbelaste en virksomheds IT-systemer med trafik, så de ikke kan håndtere det.
3. Phishing: Phishing er en metode, hvor hackerne sender virksomheder og brugere falske e-mails, der ligner e-mails fra virksomhedens IT-afdeling eller andre pålidelige kilder. I e-mailen kan der for eksempel være et link til en falsk hjemmeside, hvor brugerne uforskyldt indtaster deres brugernavn og adgangskode.
4. Malware: Malware er software, som hackerne bruger til at inficere virksomheders IT-systemer med. Når malware er installeret, kan hackerne få adgang til virksomhedens systemer og data.
5. SQL-injection: SQL-injection er en metode, hvor hackerne forsøger at udnytte sårbarheder i virksomheders IT-systemer til at få adgang til deres database. Hackerne kan for eksempel indtaste en SQL-kode i en webformular, så de kan få adgang til virksomhedens data.

Få en strategi for informationssikkerhed

Med stigende risiko for hackerangreb og IT-kriminalitet er det vigtigere end nogensinde før at have en strategi for informationssikkerhed. En god strategi for informationssikkerhed handler ikke kun om teknologi, men også om processer og mennesker. Formålet med ISO 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til virksomhedens særlige behov. Dog er hovedprincipperne i informationssikkerhed altid at bevare fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici håndteres på en ordentlig måde.

Læs mere om standarder og ledelsesværktøjer:

• ISO/IEC 27001 - Informationssikkerhed
• ISO/IEC 27002 - Foranstaltninger til informationssikkerhed
• ISO/IEC 27701 - Privatlivsbeskyttelse

11 tips til at beskytte jeres virksomhed mod cyberangreb

1. Lav daglig backup af alle vigtige data og filer

• Husk at tage backup af alle vigtige data – hver dag. Gør det automatisk så I ikke glemmer det.
• Test, hvorvidt I forholdsvis nemt kan tilbagerulle dataene, hvis I bliver udsat for et cyberangreb.

2. Opbevar vigtige data og filer krypteret og sikret

• Kryptér alle dine vigtige data og filer, så de ikke kan aflæses af andre uden den rette nøgle.
• Sørg for at have en god adgangskontrol til dine data, så kun de personer, der har behov for at få adgang, kan få det.
• Husk at opdatere dine krypteringsnøgler jævnligt.

3. Hold jeres IT-systemer og -programmer opdateret

• Hold alle dine IT-systemer og -programmer opdateret med de seneste sikkerhedsopdateringer.
• Sørg for at have en god firewall og gode antivirusprogrammer, der er opdaterede.

4. Vær særligt opmærksom på Phishing-forsøg

• Phishing er et forsøg på at få adgang til dine personlige eller virksomhedsoplysninger ved at lokke dig til at åbne en email eller et link, der ser ud til at komme fra et velkendt website eller en virksomhed.
• Sørg for at være opmærksom på mistænkelige e-mails og links, og vær sikker på, at du kender afsenderne, før du åbner noget.
• Husk også at sikkerhedsopdateringer til dine browsere og IT-systemer er en vigtig del af at beskytte dig mod Phishing-forsøg.

5. Giv jeres medarbejdere adgang til de systemer og informationer, som de har behov for

• Medarbejdere skal kun have adgang til de systemer og informationer, som de har behov for i deres arbejde.
• Hvis medarbejdere har adgang til for mange systemer og informationer, kan det være svært at holde styr på, hvilke de må bruge, og det øger risikoen for, at de uforsætligt giver adgang til uvedkommende.

6. Brug stærke passwords

• Opsæt regler for medarbejdernes passwords, så de er individuelle, indeholder mindst 12 tegn bestående af store og små bogstaver, tal og specialtegn.
• Skift jeres password mindst hvert halve år, og brug aldrig det samme password til flere systemer.

7. Installer tofaktorgodkendelse på dine vigtigste konti

• Tofaktorgodkendelse er en ekstra sikkerhed, der gør det sværere for hackere at gå ind på medarbejdernes forskellige konti.
• Med tofaktorgodkendelse kræves der udover password også en anden form for godkendelse, fx en unik engangskode, der sendes til medarbejderens telefon.
• Slå tofaktorgodkendelse til på så mange konti og systemer som muligt, herunder e-mail og intranet.

8. Uddan jeres medarbejdere i sikkerhed og god IT-adfærd

• En virksomheds medarbejdere er ofte det svageste led i forhold til cyberangreb. Derfor er det vigtigt, at alle medarbejdere i virksomheden er opmærksomme på de farer, der er, og hvordan de kan undgå dem.
• Uddannelse hjælper medarbejderne, så de fx nemmere kan genkende phishingmails, og hvordan de kan beskytte deres login-oplysninger.
• Alle i virksomheden bør kende virksomhedens politikker og procedurer for IT-sikkerhed.

9. Lav en plan for, hvordan I håndterer et cyberangreb

• Får klarhed over, hvilke IT-systemer og -funktioner I ikke kan undvære for at opretholde virksomhedens drift.
• Læg en plan for, hvordan I kommunikerer med medarbejdere, kunder og samarbejdspartnere, hvis I bliver ramt af et cyberangreb.
• Sørg for at have et beredskab klar, så I fx kan gendanne data og systemer.

10. Samarbejd med andre virksomheder om cyberbeskyttelse

• Der er risiko for, at jeres virksomhed vil blive ramt af et cyberangreb. Derfor er det forebyggende, at virksomheder hjælper hinanden med at forhindre og bekæmpe angrebene.
• Mange brancheorganisationer kan facilitere et samarbejde, hvor I kan udveksle erfaringer og viden om IT-sikkerhed.

11. Få professionel hjælp til at beskytte jeres virksomhed mod cyberangreb

• Få hjælp til at identificere sårbare områder i jeres virksomhed.
• Professionel rådgivning i IT-sikkerhed, så I kan få etableret procedurer og politikker, som kan minimere risikoen for skadende cyberangreb.
• Få hjælp til at træne og uddanne jeres medarbejdere i god IT-adfærd.