Dette må du vite om cybersikkerhet i 2023
Ny teknologi, nye trusler og nye metoder: Sikkerhetsarbeid er et prosjekt som aldri tar slutt. Men de største sikkerhetshullene er fremdeles oss selv.
Vår drift- og sikkerhetsekspert Luca Ratiu gir deg trusselbildet for 2023 – og noen uvurderlige tips til hvordan du best beskytter deg.
Cyberkriminalitet koster det globale samfunnet hundrevis av milliarder kroner årlig. Tall fra FBI viser også at tallet skyter i været: Både antallet svindeltilfeller, totale pengetap og rapporterte phishing-saker har mangedoblet seg på få år.
Ny teknologi er en av grunnene til at dette øker i omfang. AI-verktøy kan for eksempel gjøre phishing-angrep vanskeligere å oppdage. Samtidig er det laget brukervennlige verktøy som åpner for at «hvem som helst» kan gjennomføre angrep.
Hvor kommer angrepene fra?
Før vi går nærmere inn på de vanligste truslene, skal vi raskt se på hvem som typisk utgjør disse. Luca peker på fem grupper: nasjonalstater, nysgjerrige entusiaster, cyberkriminelle, hacktivister og innsidere.
– For de aller fleste norske bedrifter vil cyberkriminelle være den største reelle trusselen. Dette er mennesker som er ute etter å utnytte svakhetene dine, som regel for egen finansiell vinning.
Men han legger også til at ingen bør undervurdere innsidetrusselen. Luca presiserer at dette ikke betyr at du har utro tjenere i rekkene dine.
– Det kan like godt være at noen uforvarende avslører sensitivt materiale. Mange har for eksempel et lite gjennomtenkt forhold til selfier på arbeidsplassen. Plutselig har noen sett noe de ikke skulle, advarer han.
Nye verktøy
For cyberkriminelle er det noen typer angrep som går igjen: phishing, høsting av sensitive data, utpressing og malware. Disse kan naturligvis gli over i hverandre, og i mange tilfeller er phishing «veien inn» gjennom sikkerhetstiltakene.
– Phishing handler ganske enkelt om at noen lurer deg til å gjennomføre en handling, som å logge deg inn på en falsk side eller åpne et vedlegg. Resultatet kan være at de stjeler innloggingsinformasjonen din eller får deg til å installere malware.
I tiden fremover advarer Luca mot at AI kommer til å gjøre phishing-forsøkene både mer troverdige og sofistikerte.
– Sosial manipulering er allerede den største sikkerhetstrusselen for de aller fleste. Med stadig smartere chatbots, deepfakes og stemmekloning er det sannsynlig at suksessraten for de kriminelle kommer til å øke.
Krever løsepenger
Har de først kommet seg inn døren, står de kriminelle godt posisjonert til å gjøre stor skade. Men det er allikevel mye du kan gjøre for å redusere skadepotensialet. Én ting er å ta GDPR på alvor.
– Det er viktig å huske at GDPR også handler om å sikre dataene dine mot alvorlige datasikkerhetsbrudd. Hvis du bare synes at GDPR er en regulatorisk hodepine, har du sannsynligvis ikke gjort nok for å beskytte deg.
Malware er også en av tingene Luca mener vi bør være ekstra obs på i 2023 og forbi. Han trekker frem ransomware, som er en programvare som låser deg ute ved å kryptere dataen din – for deretter å kreve løsepenger.
– Dette er ikke noe nytt i seg selv. Men de såkalte ransomware-as-a-service-tjenestene begynner å bli skummelt brukervennlige. Du trenger knapt å være datakyndig for å ta dem i bruk, og det tilgjengeliggjør denne typen kriminalitet for større grupper enn tidligere.
3 tips til hvordan du sikrer deg
Så hva kan vi gjøre for å beskytte oss? Ifølge Luca starter det med å erkjenne at du er sårbar.
– Ingen er Fort Knox, og du kan aldri være 100 % beskyttet. Men du kan gjøre forbedringer og minimere risikoen ganske mye, forteller han, og trekker frem 3 grep:
1. 2FA og sikre passord
Bruk alltid tofaktor-autentisering – og velg et bunnsolid passord. Alle har hørt det flere ganger før, og det er det en god grunn til: Det er rett og slett utrolig viktig.
– Tankekorset er at de mest brukte passordene i Norge fremdeles er elendige. Folk vet også at det ikke er lurt å bruke samme passord flere steder, men de gjør det likevel. Derfor står rådet om å ta dette på alvor. Et tips er å bruke en passord-manager. Da vet du at du får et sikkert passord, og du trenger ikke engang huske det.
2. Oppdater alle programmer og systemer
Også dette er noe folk kanskje vet at de burde, men venter med. Det kan bli en kostbar lærepenge. Luca minner om at den nyeste versjonen alltid vil være den sikreste.
– For folk som jobber med sikkerhet, ligger insentivene i å finne feil i den nyeste versjonen av et gitt system. Derfor bør du heller ikke vente med å oppdatere. Det gjelder både individuelt og på selskapsnivå, og alt fra små plugins til store systemer, sier han og legger til:
– Legg også en plan for at du en dag skal bytte ut alle systemer som begynner å dra på årene. Det kommer til å koste noe, men det er en kost du bør planlegge for.
3. Gi ansatte sikkerhetstrening
Sikkerhetsbrudd foregår sjelden som på film. Det handler ikke om brannmurer som på dramatisk vis faller fordi noen trykker skikkelig raskt på tastaturet. Som regel er det vi mennesker som faller. Vi blir lurt av en mail som ser troverdig ut – eller noen vi tror vi kan stole på. Her hjelper det med god trening.
– Dette er noe alle selskaper bør vurdere, og det finnes flere profesjonelle firmaer som gjennomfører denne typen trening. Interne phishing-kampanjer er ofte brukt, og kan være nyttig for å identifisere potensielle svakheter, sier Luca og avslutter:
– Bare litt økt bevissthet gjør mye for sikkerheten.