Mann med tre PC-skjermer foran seg.

Disse bedriftene er ekstra utsatt for cyberangrep

Det økende digitale trusselbildet i Norge påvirker bedrifter i alle størrelser, men ifølge Microsoft rettes syv av ti cyberangrep mot de små og mellomstore.

Nortura har bekreftet at det var russere som sto bak hackerangrepet de ble utsatt for desember 2021. Også BankID, Arbeidstilsynet og NAV har blitt utsatt for cyberangrep med russiske bakmenn i løpet av de siste månedene.

– Norge anses for å være et av de landene hvor virksomheter er mest utsatt for phishing-angrep. Vi er spesielt utsatt fordi vi er et digitalisert land med store verdier hvor de færreste forventer å bli svindlet, sier BDO-partner Dagfinn Buset i en pressemelding.

Større fare for verdikjedeangrep

Seniorrådgiver Knut Ivar Rønning i NorSIS.
Knut Ivar Rønning. Foto: NorSIS

En stadig mer utsatt gruppe er de små og mellomstore bedriftene, advarer Næringslivets sikkerhetsråd.

– Faren for forskjellige typer cyberangrep mot norske SMB-bedrifter har vært relativt høy over en lengre periode, uavhengig av situasjonen i Ukraina. Men det kan være grunn til å være ekstra oppmerksom på såkalte verdikjedeangrep nå. SMB-virksomheter kan inngå i verdikjeder til større selskaper og organisasjoner som kan være mer utsatt på grunn av krigen, sier seniorrådgiver Knut Ivar Rønning i NorSIS.

Målsettingen til cyberkriminelle grupper er som regel knyttet til profitt og økonomisk vinning. Dette forsøker de å få til på to ulike måter:

– Enten ved å kryptere og låse informasjon for deretter å be om løsepenger, eller ved å stjele sensitiv informasjon og deretter selge denne. Andre ganger er målet å begå skade- og hærverk.

Seniorrådgiver Knut Ivar Rønning i NorSIS.
Knut Ivar Rønning. Foto: NorSIS

Kan man avdekke om bedriften er et mål?

En stor andel av vellykkede cyberangrep skjer via de ansatte, informerer Rønning. Ofte benyttes en form for sosial manipulasjon gjennom mail, telefonoppringninger eller SMS.

– Mottar man slike typer henvendelser, kan dette ofte være et tegn på at det planlegges angrep. Ellers er det viktig å innføre tekniske deteksjonsmekanismer, som øker mulighetene for å avverge eller begrense skade, sier seniorrådgiveren.

Mange bedrifter tror at de ikke er interessante og attraktive mål for en angriper. Rønning presiserer at ingen er fredet, og at alle bør være forberedt på at de kan bli utsatt for cyberangrep.

– Ha i bakhodet at dagens situasjon kan endres raskt, spesielt med tanke på de vestlige økonomiske sanksjonene som er innført. Det er derfor svært viktig at alle bedrifter gjennomfører gode, forebyggende tiltak og etablerer beredskapsplaner.

Enorme konsekvenser for virksomheten

IT-direktør Jon Oluf Brodersen i seismikkselskapet PGS.
Jon Oluf Brodersen. Foto: PGS

Jon Oluf Brodersen er IT-direktør i det norske seismikkselskapet PGS. Han forteller at de utsettes for cyberangrepsforsøk på hyppig basis og at pågangen har vært merkbar større den siste tiden.

– Vi opplever stadig flere sofistikerte forsøk på å bryte seg inn hos oss, for eksempel gjennom raffinerte og finurlige phishing-forsøk som retter seg mot enkeltpersoner i selskapet. Foreløpig har vi klart å holde angriperne unna, sier Brodersen.

Hadde de nådd gjennom, ville det blitt hva han beskriver som en krise. Et vellykket angrep kan føre til stans i store deler av virksomheten.

– Med skip som går 24 timer i døgnet ville stopp i driften i første rekke blitt fryktelig kostbart. Hadde angriperne klart å sperre kommunikasjonen mellom offshore og onshore, som vi er helt avhengig av til enhver tid, kunne vi risikert å miste det vi tauer. Dette ville hatt betydelige konsekvenser, sier IT-direktøren.

IT-direktør Jon Oluf Brodersen i seismikkselskapet PGS.
Jon Oluf Brodersen. Foto: PGS

Nødvendig å foreta en kartlegging

Det omfattende angrepet mot Norsk Hydro i mars 2019 lammet store deler av selskapets forretningsområder, og kostet dem rundt 800 millioner kroner. Brodersen applauderer åpenheten de har vist i etterkant av angrepet.

– Vi må tørre å snakke om cybersikkerhet og -angrep for å hjelpe hverandre, sier han og råder samtidig andre bedrifter til å danne seg et bilde av hvilke konsekvenser cyberangrep kan ha.

I PGS har de nylig gjennomført en cyber modenhetsvurdering, utviklet av DNV og Gjensidige. Verktøyet sjekker datasikkerheten i virksomheten og gir så en rapport med vurdering, råd og anbefalte tiltak. 

– Vi er under konstante angrep, som nok gjelder mange andre òg. Jeg vil påstå at det er helt nødvendig for enhver bedrift, uansett størrelse, å gjøre en slik kartlegging. Ingen må være ubevisst hvilken kontinuerlig trussel som ligger i dataangrep i dag, sier Brodersen og legger til:

– Modenhetsvurderingen er brukervennlig, rask å gjennomføre og gir et godt innblikk i hvor man selv står.

Få gratis vurdering av bedriften her

Sist oppdatert: