2020-09-28

Det er uforståelig at virksomheter tar sjansen på å ikke ha tofaktor-autentisering

Helt eller 100 % sikker er en svært farlige betegnelse når vi snakker om IT-sikkerhet. Men faktumet er at det er svært mye virksomheter kan beskyttet seg mot, og det er kjente og anbefalte tiltak som i stor grad vil redusere sannsynligheten for at din virksomhet blir en del av den dystre statistikkene vi altfor ofte leser om.

Vegard Kjerstad
Vegard Kjerstad Leder Atea Incident Response Team (IRT)
Vegard kjerstad

De helt grunnleggende tiltakene

Nå snakker jeg ikke om målrettede angrep fra en ressurssterk og avansert trusselaktører. Jeg snakker om alle de som blir offer for svindel eller datainnbrudd fordi deres virksomhet er tilgjengelig for kriminelle. Enten det er sårbarheter, manglende tofaktor-autentisering eller en annen kjent angrepsmetode. I stedet for å komplisere ting for mye, så må vi få på plass de helt grunnleggende tiltakene som en vet gir en effekt. Det har i en lang årrekke vært klare anbefalinger fra IT-sikkerhetsbransjen og myndighetene for hvordan en kan heve sin egen virksomhets sikkerhetsnivå.

Det er for eksempel for meg helt uforståelig hvorfor virksomheter utsetter seg for den risikoen det er å ikke ha tofaktor-autentisering. Det kan ikke være et alternativ i dag. Vi vet at passord stjeles og kommer på avveie, enten det er via sosial manipulasjon eller lekkasjer hos tilbydere av tjenester vi benytter oss av. Dette skjer hver dag. Få det ordnet. Om brukerne er skeptiske eller tror hverdagen skal bli ubrukelig når de må benytte tofaktor, så ha en konstruktiv dialog for å forklare hvordan dette i praksis løses og ikke minst hvorfor det er så viktig.

Lytt til rådene

Vi leste også nylig at det var hentet ut informasjon fra e-post kontoer på Stortinget. Det er ikke noe unikt. Får en kriminell tilgang til en e-post konto, så er det stor sannsynlighet for at de fleste av oss har en del informasjon liggende som egentlig ikke egnet seg på e-post i utgangspunktet, om det er av personlig art, bedriftshemmeligheter eller at det faller inn under personvernloven. Det kan utnyttes av angripere til blant annet utpressing og mer avanserte angrep.

Eneste som hjelper, uavhengig om du blir 100 % trygg eller ikke, er å ta grep. Lytt til rådene som er gitt i en årrekke og iverksett dem i din virksomhet. Ikke vent! Selv om det er vanskelig å være helt garantert mot innbrudd, unngå å være den lavest hengende frukten for angripere.

Noen synes kanskje det er tungt å starte med grunnprinsippene til Nasjonal sikkerhetsmyndighet (NSM) fordi en mangler en del, så start enda enklere med å se på den enkle sjekklisten som NSM har satt opp basert på erfaringene hittil i 2020.

Få opp farten!

Min klare oppfordring er: Få opp farten! Vi må få implementert og tatt i bruk de tiltakene en vet gir effekt. Trusselbildet er som vi ofte hørere i stadig hyppig forandring, men om en ikke gjør noe så havner vi stadig lenger bak.

Så skal det være sagt at det er viktig å finne et riktig nivå for din virksomhet, kartlegg risikoene som er relevant for dere. Alle trenger ikke samme sikkerhetsnivåene, men alle trenger for eksempel tofaktor-autentisering på tjenester som er tilgjengelige rett på internett.