Antallet af databrud stiger år for år, og organisationer er langsomt ved at vågne op til den erkendelse, at ingen virksomhed er immun over for denne voksende trussel.
46 % af alle britiske virksomheder har identificeret et brud på datasikkerheden inden for de seneste 12 måneder, og IDC forudsiger, at mere end 1,5 milliarder mennesker, eller ca. 1/4 af verdens befolkning, vil blive ramt af et databrud i 2020.
Disse statistikker er virkelig skræmmende og understreger omfanget af det problem, som organisationer i hele verden nu står over for.
Det er en myte, at det kun er de store multinationale virksomheder, der er mål for cyberkriminelle, der i stigende grad går efter mindre og mellemstore organisationer, da de har mindre penge og ressourcer til at investere i cybersikkerhed.
Det gør dem særligt sårbare over for angreb, og undersøgelser har vist, at 60 % af disse organisationer ikke er i stand til at komme sig over de ødelæggende virkninger af et databrud og derfor bliver tvunget til at lukke som følge heraf.
Selv hvis en virksomhed kan klare stormen, kan konsekvenserne af bruddet få massive konsekvenser, herunder et fald i aktiekursen, tab af kunder, økonomiske sanktioner og skade på omdømme.
Den konstante strøm af skrækhistorier om databrud i pressen har fået ledende medarbejdere til at se op og indse, at hvis de ønsker at reducere risikoen for at blive angrebet, må de blive mere proaktive i deres tilgang til datasikkerhed og se på de områder af deres virksomhed, der skal styrkes og beskyttes.
Hvordan opstår et brud på datasikkerheden?
Et databrud opstår typisk, når en uautoriseret angriber får adgang til en sikker database, der indeholder følsomme, beskyttede eller fortrolige oplysninger.
Der er mange grunde til, at hackere ønsker at få fat i følsomme data, men oftest handler det om penge. Cyberkriminalitet er en lukrativ forretning, og vores data kan bruges til at begå identitetssvindel eller sælges videre for et pænt beløb på det mørke net.
Et databrud kan også opstå ved et uheld ved tab af en bærbar computer, tabte dokumenter eller ved at sende en e-mail til den forkerte person, men målrettede angreb udføres normalt på en af følgende måder:
- Udnyttelse af sårbarheder i systemet - Hackere vil ofte lave deres research og foretage en fuldstændig rekognoscering af en virksomhed, før de iværksætter et angreb. De vil metodisk scanne et netværk for eventuelle svagheder i sikkerheden, og så snart de har fundet et område, der kan udnyttes, vil de iværksætte et målrettet angreb for at infiltrere netværket.
- Social Engineering - I stedet for at bruge traditionelle hackerangreb udnytter cyberkriminelle vores tillid til vores menneskelige natur til at narre os til at bryde normale sikkerhedspraksis. Disse typer angreb er blevet mere og mere hyppige og har vist sig at være en meget vellykket måde for hackere at få uautoriseret adgang til computernetværk og følsomme data på.
De hyppigst anvendte metoder omfatter:
Phishing - Phishing er fortsat det mest populære social engineering-angreb på grund af dets høje succesrate. 72 % af databrud er relateret til medarbejdere, der modtager phishing-e-mails, og angriberne udgiver sig typisk for at være en legitim virksomhed for at narre en medarbejder til at afsløre følsomme oplysninger.
Malware, virus og spyware -Malware, virus og spyware tegner sig for 33 % af alle brud på datasikkerheden. De installeres på en computer, når en bruger klikker på et link, downloader en skadelig vedhæftet fil eller åbner et uautoriseret softwareprogram. Når først malware er installeret, kan angriberne bruge den til at udspionere onlineaktiviteter, stjæle personlige og finansielle oplysninger, eller enheden kan bruges til at hacke sig ind i andre systemer.
Adgangskoder - Svage og usikre adgangskoder er en nem måde for hackere at få adgang til et netværk på. Avancerede hackere bruger ofte specialiseret software, som gør det muligt for dem at teste tusindvis af mulige kombinationer af brugernavn og adgangskode.
Hvordan kan jeg beskytte min virksomhed mod et databrud?
Organisationer skal udvikle en robust og omfattende sikkerhedsstrategi, der beskytter følsomme data, reducerer trusler og sikrer, at organisationens omdømme forbliver intakt.
Der er en række skridt, som organisationer bør tage for at mindske risikoen for et databrud:
- Opdater sikkerhedssoftware - Sikkerhedssoftware bør opdateres regelmæssigt for at forhindre hackere i at få adgang til netværk via sårbarheder i ældre og forældede systemer. Det er præcis sådan, at hackere fik adgang til dataene for over 143 millioner amerikanere i forbindelse med det berygtede Equifax-databrud i 2017. En rettelse til denne sårbarhed blev gjort tilgængelig to måneder før bruddet, men virksomheden undlod at opdatere sin software.
- Regelmæssige revisioner og risikovurderinger - GDPR specificerer, at organisationer skal foretage regelmæssige revisioner af databehandlingsaktiviteter og overholde et sæt databeskyttelsesprincipper, som vil hjælpe med at beskytte data. Dette vil sikre, at der er en passende ramme på plads, som sikrer, at kundernes personlige oplysninger, der kan identificeres, er sikre, og at eventuelle risici mindskes. Gennemførelsen af et effektivt system til forvaltning af politikker vil sætte organisationer i stand til at påvise overholdelse af lovkravene og effektivt målrette sig mod de områder, der udgør den største risiko for datasikkerheden.
- Brug stærke adgangskoder - En af de nemmeste måder for hackere at få adgang til følsomme virksomhedssystemer på er at gætte adgangskoder. 60 % af alle bruger det samme brugernavn og password til alle deres konti, så hvis hackere kan få adgang til én konto, har de frit spil til at bryde ind på dem alle. En stærk adgangskode bør være mellem 8-15 tegn lang, bestå af en blanding af store og små bogstaver og indeholde tal eller symboler. For at opnå ekstra sikkerhed kan der oprettes en passphrase, som er en adgangskode, der består af en sætning eller en kombination af ord. Det første bogstav i hvert ord danner grundlaget for adgangskoden, og bogstaverne kan erstattes af tal og symboler for at tilføje en yderligere forsvarslinje.
- Uddannelse af personale - Effektiv sikkerhed handler ikke kun om teknologi. 88 % af alle databrud kan tilskrives menneskelige fejl, så det er afgørende, at organisationer investerer i sikkerhedsuddannelse af høj kvalitet, der gør det muligt for medarbejderne at erkende den vigtige rolle, de spiller i beskyttelsen af følsomme virksomhedsdata. Medarbejderne er centrale for en organisations evne til at fungere sikkert og trygt, så det er afgørende, at medarbejderne har alle de oplysninger og den viden, de har brug for til at støtte sikkerheden i en virksomheds netværk og informationssystemer.
Hvis du ønsker yderligere råd og vejledning om, hvordan du kan forbedre sikkerheden i din organisation, kan du deltage i vores webinar den 17. oktober kl. 15.00 om "A Nightmare on Breach Street - Could a lack of staff education lead to an information security nightmare". Tilmeld dig her: go.metacompliance.com/halloween18
