IKT-sikkerhet i forbindelse med hjemmekontor under koronavirusutbruddet

IKT-sikkerhet og utnyttelse av koronaviruset i digitale angrep og svindel på nett

Antallet og omfanget av digitale angrep øker, og når et stort antall virksomheter og deres brukere eksponerer sine systemer, data og tilganger gjennom bruk av løsninger med svak sikkerhet åpner det for mange muligheter som ulike aktører vil forsøke å utnytte.

NCSC rapporterer om e-postkampanjer og falske nettsider med skadevare som bevisst utnytter koronasituasjonen, enten ved å basere seg på frykt hos enkeltpersoner eller ved å rette seg mot bedriftens økonomiske interesser. Ett eksempel er digitale angripere som utgir seg for å være nasjonale helsemyndigheter og benytter mottakernes tillit til å få tak i brukernavn og passord. Videre meldte Jernbanedirektoratet i forrige uke om at en av deres ansatte hadde fått en SMS fra noen som utga seg for å være fra ledelsen, med beskjed om å installere et verktøy for å forenkle kommunikasjonen. Digitale angrep blir stadig mer sofistikerte og vanskeligere å oppdage. Hjemmekontoret kan bli en inngangsport til bedriftenes sentrale IT-systemer og åpne for uønsket tilgang til sensitiv bedriftsinformasjon.

Samtidig som risikoen for cyberangrep øker er mange IT-avdelinger under stort arbeidspress. Både fordi de kan oppleve sykdom blant sine ressurspersoner og fordi det oppstår mange spørsmål i forbindelse med avvikling av hjemmekontor. Det kan være vanskelig å opprettholde det vanlige IKT-sikkerhetsnivået.

Råd til bedrifter og ansatte

Det viktigste bedriften kan gjøre er å sette fokus på den økte IKT-sikkerhetsfaren ved bruk av hjemmekontor. Det er viktig å være klar over at man eksponerer bedriftssensitive opplysninger i større grad enn når man jobber på arbeidsplassen. Dessuten bør bedriften være særlig forsiktig med å svekke sikkerhetstiltakene, slik som å tildele sluttbrukere administrator-rettigheter. Tvert imot kan det være hensiktsmessig å begrense den ansattes tilgang til andre områder enn strengt nødvendig i denne perioden. Om det likevel anses nødvendig å gi utvidete tilganger og tillatelser bør man først foreta en grundig risikovurdering av mulige konsekvenser. Når behovet ikke lenger er til stede, bør tiltakene revurderes.

Det kan også være lurt å bemanne opp IT-støttefunksjoner. Ansatte som ikke får hjelp kan ende opp med å ta den raskeste veien til mål, uten hensyn til hvilken økt risiko dette innebærer. Til tross for ulike sikringstiltak som iverksettes på forhånd vil det også kunne gå galt. Da er det viktig å ha på plass en plan for hvordan man skal håndtere et digitalt angrep, herunder tydelige rutiner for varsling. På denne måten kan man bidra til å begrense skadeomfanget.

Flere aktører innen IKT-sikkerhet peker på viktigheten av oppdatert programvare. Dersom dette ikke skjer automatisk, bør ansatte bli påminnet om å oppdatere dem regelmessig. Oppdateringene inneholder ofte oppgraderinger knyttet til sikkerhet, slik som antivirus, og kan være avgjørende for å unngå digitale angrep.

Vanlige hjemmenettverk kan i mange tilfeller ha svakere sikkerhet enn bedriftens eget nettverk, og tilganger bør alltid sikres med en form for VPN-løsning. Videre bør all tilgang inn mot bedriftens løsninger benytte en form for 2-faktor autentisering, med bruk av både passord og en kode, eksempelvis via SMS. Det er også grunn til å minne om viktigheten av sterke og unike passord. Bytt gjerne passordet til det trådløse hjemmenettverket og hold oversikt over hvem som får tilgang. Når man jobber hjemmefra må man videre huske på å beskytte den fysiske tilgangen til arbeidsdatamaskinen ved å logge ut eller låse enheten. Arbeidsgiver kan her bidra ved å implementere automatisk utlogging ved tidsavbrudd for sensitive programmer og applikasjoner.

Ansatte bør ikke bruke privatutstyr til jobbrelatert arbeid med mindre det er avtalt og godkjent av arbeidsgiver. Private datamaskiner eller mobiltelefoner har ofte et lavere sikkerhetsnivå enn det virksomheter bør godta. Virksomheten har ikke kontroll på hva slags programvare som er lastet ned på PC-en eller mobiltelefonen til den enkelte, og dersom utstyret er kompromittert med ondsinnet programvare kan denne hente ut informasjon om pålogging. Påloggingsinformasjon kan gi adgang til virksomhetens dokumenter og filer, både det som ligger lagret i skyløsningen og det som ligger på virksomhetens nettverk.

Lagringsløsninger i «skyen» åpner for at potensielt sensitive data kan behandles og lagres på utstyr eller på lokasjoner som ikke er en del av virksomhetens hovedsystem og uten tilfredsstillende kontroll. Den årlige sikkerhetsrapporten Trusler og trender 2019-2020 advarer nettopp mot økt sårbarhet for angrep mot skytjenester. Over halvparten av norske virksomheter har hele eller deler av sine systemer i skyen, og det er helt avgjørende at tilgangen til disse systemene blir sikret.

Disse rådene er basert på NCSC sine anbefalinger. For øvrig er Nasjonal sikkerhetsmyndgihet (NSM), Norsk senter for informasjonssikring (NorSIS) og Senter for cyber- og informasjonssikkerhet (CCIS) nyttige kilder innen IKT-sikkerhet. Dessuten har en rekke aktører på dette området gått sammen om en nettside for tryggere hjemmekontor. Nettsiden inneholder informasjon om de største digitale truslene akkurat nå og hvordan du beskytter deg, samt pågående koronasvindelkampanjer og råd for sikker digital kommunikasjon med kollegaer på sine hjemmekontor.

Kilder

• Varsel i forbindelse med koronaviruset
• Mer hjemmekontor – store muligheter, men også risikoer
• Fire tiltak stopper opp mot 90 prosent av dataangrep
• Passordanbefalinger fra Nasjonal sikkerhetsmyndighet
• Hvor sikkert er hjemmenettverket?

• Cyberkriminelle spiller på koronaviruset for å lure deg

• Trusler og trender 2019-2020

• Derfor bør du ikke bruke privat PC og mobilutstyr på hjemmekontoret

• Fikk SMS fra «sjefen» – viste seg å være korona-svindel

• Coronavirus: UK intelligence agency issues public warning about criminals exploiting outbreak
• Make your home a cypersafe stronghold, Public awareness and prevention