Er fyrirtækið þitt varið fyrir netárás?

Víðir Guðmundsson • 31/05/2022

Deila

Á degi hverjum nota starfsmenn tæki og hugbúnað til þess að fá aðgang að upplýsingum og gögnum af innra neti fyrirtækja. Þessum víðtæka aðgangi fylgir töluverð áhætta og áskorunin sem fyrirtæki standa frammi fyrir er stór.

Nútíma kröfur og tækni bjóða uppá að hver starfsmaður geti verið með fleiri en eitt tæki til að nálgast upplýsingar og gögn fyrirtækja að heiman, á ferðinni eða frá vinnustað. Þannig er aðgengi nánast ótakmarkað auk þess sem notkun tækja í persónulegu skyni vex.

Með þessu skapast veikleikar og áhættur sem kalla á öryggialausnir en slíka sérfræðiþekkingu er oft ekki að finna innan fyrirtækja.

Skipulögð glæpastarfsemi

Á sama tíma og aðgangur verður auðveldari, notendum og tækjum fjölgar ásamt því að netumferð og notkun eykst verða glæpamenn skipulagðari. Þeir sjá tækifæri á skjótfengnum gróða í auknum veikleikum. Oft á tíðum er um að ræða glæpasamtök með starfstöðvar eins og hvert annað fyrirtæki þar sem færustu hakkarar heims mæta til vinnu eins og hver annar. Notast er við allar mögulegar leiðir og útfærslur af tölvuárásum sem í boði eru með það eitt að markmiði að valda skaða eða að hagnast.

Varnir og viðbrögð með því að tryggja tækin

Helsta leiðin inn fyrir varnir fyrirtækja liggur í gegnum notendur og tæki þeirra sem oft á tíðum eru ekki með nýjustu öryggisuppfærslur eða hugbúnað, ásamt því að skorta helstu öryggisstillingar. Eftirlitslaus, óuppfærð og illa varin tæki gera það að verkum að glæpamenn eigi greiða leið inn.

Sterkasta vörnin gegn slíkum hættum er að tryggja öryggi tækja ásamt því að fræða og styðja notendur við notkun þeirra.

Uppfærslur og öryggisstillingar - Mikilvægt er að tryggja að tæki notenda séu með virka vírusvörn og uppfærð með öryggisuppfærslum, öryggisstillingum ásamt nýjustu útgáfu af hugbúnaði.

Aðgangsstjórnun - Stjórnun aðgangs að kerfum og gögnum er stór þáttur í því að tryggja öryggi og er frumskilyrði í að tryggja gagnsæi og samhæfingu í aðgangsstýringu.

Stjórnun á notkun hugbúnaður - Með miðlægri tækjastjórnun er auðvelt að loka fyrir uppsetningu forrita sem ekki hafa verið samþykkt af fyrirtækinu. Þannig er komið í veg fyrir að bjóða hættunni heim því til er ýmis hugbúnaður sem getur innihaldið skaðlegan kóða sem svo er notaður til að yfirtaka vélar, dulkóða gögn og kerfi eða skaða starfsemina á annan máta.

Póstsíur fyrir Phishing tölvupósta (fiskerí) - Phishing árásir eru gerðar á notendur í gegnum tölvupóst eða með öðrum stafrænum hætti. Notandinn er fenginn til að framkvæma aðgerðir eða gefa upplýsingar um sig sem eru notaðar til að brjótast inn fyrir varnir fyrirtækja. Það er því mikilvægt að vera með varnir sem sía frá pósta frá óprúttnum aðilum og sem innihalda skaðlegt efni.

Fræðsla til starfsmanna – Veikasti hlekkurinn í keðjunni er mannlegi þátturinn. Starfsmenn sem klikka á hlekki, hala niður skaðlegum skjölum og hugbúnaði, veita upplýsingar um notendanöfn eða lykilorð til rangra aðila eru meðal þeirra þátta sem síðar leiða til þess að gögn og kerfi verða fyrir árásum. Eina ráðið er að fræða starfsfólk um hætturnar, um notkun og reglur tækja og hvernig skuli bregðast við sé grunur um að eitthvað vafasamt hafi átt sér stað.

Hættan er til staðar

Þó svo að stjórnendur fyrirtækja líti almennt á upplýsinga- og gagnaöryggi sem mikilvægan þátt í starfseminni er raunin sú að allt of margir lifa í þeirri trú að starfsmenn opni ekki vafasama pósta, smelli ekki á vafasama hlekki, hali ekki niður vafasömum hugbúnaði eða stundi aðra hegðun sem gæti skaðað fyrirtækið.  Þá gera þeir jafnvel ráð fyrir að öryggi sé innbyggt í tækin og hugbúnaðinn sem notaður er, eða það sem verra er, þeir gera ráð fyrir að hættan sé ekki raunveruleg.

Staðreyndin er hins vegar sú að andvara- og fyrirhyggjuleysi getur komið í bakið á þeim sem ekki taka hætturnar alvarlega. Árás á þitt fyrirtæki gæti gerst í dag, eða eftir 1 ár. Engin veit hvenær glæpamaður ákveður að láta til skara skríða og þitt fyrirtæki verður skotmarkið.