Vær oppmerksom på at flere lenker i teksten fører til engelskspråklige nettsider

Websikkerhet kan ikke lenger ignoreres av bedrifter. Sikkerhetsbrudd kan føre til forretningstruende nedetid, skader på merkevarens omdømme, bortfall av kunder, bøter og økonomiske tap. Og med flere cyberangrep i første halvdel av 2020  enn i hele 2019, har det aldri vært viktigere med websikkerhet.

Til tross for den økende risikoen, henger mange bedrifter etter når det gjelder å beskytte seg selv, egne nettsteder og kunder. Her er noen av de vanligste feilene bedrifter gjør når det gjelder websikkerhet.

1. Lav bevissthet om websikkerhet blant ansatte

Menneskelige feil er den vanligste årsaken til dårlig websikkerhet. Enten noen klikker på en ukjent lenke eller ikke beskytter egne passord, så er det oftest egne ansatte som muliggjør cyberangrep. Men det trenger ikke å være slik.

Data fra nettforsikringsleverandøren CFC Underwriting viser at 38% av forsikringskravene kunne vært unngått med bedre opplæring og læringsprosesser for ansatte innen websikkerhet.

Det er betryggende å høre at bedrifter kan unngå brudd ved å øke bevisstheten om websikkerhet, og ved å skape en robust digital sikkerhetskultur i bedriften. Likevel, til tross for den klare koblingen mellom lav bevissthet om websikkerhet og vellykkede angrep, er det mange arbeidsgivere som unnlater å handle. En studie fra 2019 avdekket at bare 20% av britiske bedrifter har gitt ansatte opplæring innen websikkerhet de siste 12 månedene.

Løsning:Bedriftens sikkerhet er bare like god som det svakeste leddet. Det å gi de ansatte opplæring i grunnleggende websikkerhet, er nøkkelen til å redusere sikkerhetsrelatert engstelse — og en av de billigste og mest effektive måtene å beskytte bedriften på.

En av de vanligste forklaringene som blir gitt på at ansatte ikke får opplæring i websikkerhet, er at man ikke vet hvor man skal begynne. Så, hvor bør du begynne? Begynn med de lavthengende fruktene. 

  • Øyeblikkelig tilbakekalling av tilgangsrettighetene til ansatte som slutter, slik at de ikke beholder tilgang til systemene — og slett alle bedriftsdata fra tidligere ansattes personlige enheter.
  • Utdatert programvare åpner døren for nettkriminalitet, så installer programvareoppdateringer og oppgraderinger i tide.
  • 94% av all skadelig programvare kommer inn i nettverk via e-post, noe som betyr at ondsinnede lenker og vedlegg er et stort problem for bedrifter. Og spamfilter på e-post er ikke nok. Vær proaktiv, og gjør noe med slapp e-postsikkerhet, ved å tilby opplæring som viser ansatte hvordan de gjenkjenner, unngår og flagger usikre e-poster. En måling fra KnowBe4 viste at bare ett år med phishing-tester og opplæring gav en forbedring på 87%.
  • Dårlig sikrede brukernavn og passord er en annen vanlig sikkerhetstrussel, og 61% av selskapene har flere enn 500 kontoer med passord uten utløpsdato. Gi veiledning om hvordan man oppretter sterke påloggingsopplysninger og effektivt beskytte dem, eller bruk en passordbehandler som sikkert oppretter og lagrer passord for dere.
  • Det å la ansatte bruke egne enheter i jobbsammenheng, gjør bedriften sårbar for ytterligere trusler. Rollebasert tilgang, tofaktorautentisering og sterke ansattpassord kan bidra til å redusere risikoen.
  • Informasjon på tapte og stjålne enheter gir også muligheter for nettkriminelle. Lær ansatte hvordan man bruker bedriftens utstyr utenfor kontoret og utarbeid en prosess for rapportering av enheter på avveie.
  • Gi tydelig veiledning i bruk av sosiale medier på arbeidsplassen. Én av fem bedrifter har blitt infisert med skadelig programvare som blir distribuert via sosiale medier.
  • Sørg for at de ansatte alltid installerer programvareoppdateringer og -oppgraderinger på enhetene sine — de er skapt med hensikt.
  • Lær ansatte viktigheten av websikkerhet når de har med tredjeparts programvare og IT-leverandører å gjøre.

Å overholde disse enkle tiltakene, vil sette en stopper for mange vanlige webtrusler.

2. Når bedrifter ikke har en policy for websikkerhet 

Analyser fra det britiske kulturdepartementet viser at selv om nesten tre fjerdedeler av alle bedrifter sier at websikkerhet er høyt prioritert, etterfølges ikke ord av handling. Bare 27% har fått på plass formelle policyer og retningslinjer for websikkerhet. Uten en policy for websikkerhet, kan du være sårbar for angrep.

En effektiv policy for websikkerhet tydeliggjør regler og ansvar for å beskytte IT-systemer og bedriftsinformasjon. Den er en del av prosessen med å øke sikkerhetsbevisstheten blant dine ansatte.

McAfee definerer en websikkerhetspolicy som et dokument som «forklarer reglene for hvordan ansatte, konsulenter, partnere, styremedlemmer og andre sluttbrukere skal bruke nettbaserte applikasjoner og nettressurser, sende data over nettverk og ellers praktisere ansvarlig sikkerhet.»

Websikkerhetspolicyer kan også bedre en bedrifts omdømme og kredibilitet. Kunder, partnere, aksjonærer, konsulenter og ansatte må vite at bedriften din kan beskytte dataene deres. Bedriftens websikkerhetspolicy er en fin måte å vise dem at du tar sikkerhet på alvor.

Løsning: Utvikle et formelt dokument som tydelig angir bedriftens sikkerhetspolicy, og gi tydelig veiledning til ansatte om hva de kan og ikke kan gjøre med selskapets IT-systemer, nettverk og enheter.

En god policy for websikkerhet gir en oversikt over bedriftens standarder for:

  • Bruk av sosiale medier
  • Begrensninger på internett-tilgang
  • Passordkrav (lagring, oppdatering og generering)
  • Ekstern tilgang
  • Digitale signaturer
  • Håndtering av sensitive data
  • Trådløs kommunikasjon
  • Sikkerhetstiltak for e-post
  • Bruk av tredjepartsprogrammer
  • Håndtering av en sikkerhetstrussel eller -hendelse

Siden trusselbildet kan endre seg raskt, er det viktig å holde websikkerhetspolicyen oppdatert. Legg planer for å gjennomgå og utvikle policyen regelmessig.

3. Når man ikke ansetter folk som kan websikkerhet

Selv om menneskelige feil er ansvarlig for mange cyberangrep, er det bare én side av saken. Tekniske sårbarheter medfører også en stor risiko. Det er der kravet til sikkerhetskyndige ansatte kommer inn. Men ifølge en undersøkelse fra Marlin Hawk, sier to tredjedeler av bedriftene at de sliter med å rekruttere erfarne og dyktige sikkerhetsfolk, og 62% av disse er bekymret for at det vil bli enda vanskeligere å rekruttere de neste fem årene.

Dersom en bedrift er heldig nok til å få tak i en websikkerhetsspesialist, vil den personen sannsynligvis bruke mesteparten av tiden på å slukke branner. Uten tilstrekkelig tid eller ressurser, kan selv eksperter slite med å utarbeide og implementere tiltak som virkelig er til nytte for bedriftens websikkerhet på lang sikt.

Den globale etterspørselen etter ferdigheter innen websikkerhet fortsetter å overgå tilbudet, og overarbeidede IT-avdelinger må håndtere mer komplekse trusler enn noen gang før. Mange bedrifter har rett og slett ikke nok ressurser til effektivt å forsvare seg mot angrep.

Løsning: Svaret er automatisering. Det å inkorporere automatisering i websikkerhetsprosesser kan hjelpe bedrifter med kontinuerlig å overvåke trusler og utvide websikkerheten etter hvert som bedriften vokser, selv med begrenset personell og ressurser.

Noen overvåkingsverktøy for websikkerhet, som Siteimprove Web Security, er utformet ikke bare for å identifisere sårbarheter på nettstedet, men også for å foreslå proaktive og korrigerende handlinger. Noen av disse oppgavene, for eksempel sporing av utløpsdatoer for nettstedssertifikater, kan enkelt administreres av nettstedets ansvarlige, og man frigjør dermed tid, slik at websikkerhetseksperter kan fokusere på mer avanserte sikkerhetsrisikoer.

Ifølge Ron Green, CSO hos Mastercard, er automatiseringsteknologi et godt hjelpemiddel for folk som arbeider med websikkerhet. “Maskinlæring og automatisering kommer til å være svært nyttig for nåværende og fremtidige CISOer”, sier han. “Bedrifter kommer fortsatt til å trenge folk som kan sikkerhet, men de som jobber i sikkerhetssentrene våre er overveldet av ting de må overvåke i dag, og du kan ikke bare sette inn flere mennesker, for det er allerede mangel på folk.”

4. Behandle websikkerhet som et IT-problem, ikke et forretningsproblem

Data fra EY Global Board Risk Survey viser at nesten halvparten (48%) av styrene mener at cyberangrep og datainnbrudd vil ha mer enn middels innvirkning på virksomheten deres de neste 12 månedene. Likevel ser de aller fleste fortsatt på websikkerhet som et spørsmål om å etterleve regler. Bare en liten brøkdel - 7% - beskriver det som en kilde til innovasjon.

Bedrifter som mener at websikkerhet utelukkende er IT-avdelingens ansvar, går glipp av de strategiske fordelene det å prioritere nettstedets sikkerhet gir. Disse fordelene inkluderer økt tillit fra kundene, sikring av immaterielle rettigheter og å beskytte egen merkevare. Ved å undervurdere omfanget og alvoret i websikkerhetstrusselen, setter de seg selv i fare.

Her er årsaken til at en proaktiv tilnærming til nettkriminalitet er helt nødvendig for forretningene:

  • Den gjennomsnittlige kostnaden for et datainnbrudd er nå 3,86 millioner dollar. Foruten det konkrete økonomiske tapet, opplever berørte bedrifter også tap av kunder, dårligere lønnsomhet, redusert goodwill og et skadet omdømme.
  • For de fleste bedrifter er deres intellektuelle eiendom (IP) deres mest verdifulle ressurser. IP omfatter patenter, design, forretningshemmeligheter, konfidensielle data og kunnskapen til ansatte. Forestill deg disse kronjuvelene i feil hender. Bare i USA alene koster IP-tyveri selskaper opp mot 600 milliarder dollar hvert år.
  • De fleste forbrukere (87%) sier at de gjør forretninger med noen andre dersom de ikke stoler på at et selskap kan håndtere dataene deres på en ansvarlig måte.
  • Kostbare advokatsalærer og rettssaker. For eksempel kan personvernforordningen (GDPR) nå føre til at bedrifter kan bøtelegges med opp til 4% av den årlige omsetningen. GDPR-bøter utgjorde 63 millioner dollar bare i lovens første år.
  • Omdisponering av bedriftens ressurser for å håndtere sikkerhetsbrudd, kan føre til redusert driftseffektivitet.
  • Tid og ressurser må brukes til å sette ned spesielle nemnder og komiteer som skal undersøke brudd.
  • Og ikke glem PR-kostnadene for å gjenoppbygge tillit fra forbrukere, aksjonærer og allmennheten i etterkant av et mye omtalt brudd.

Høres det ut som bare et teknisk problem? Nei. Det er et forretningsproblem — og et presserende et.

Hva er det som oftest hindrer bedrifter i å se på websikkerhet som et forretningsproblem? Manglende støtte på øverste nivå. Til tross for overskrift etter overskrift som skildrer katastrofale datalekkasjer, anser bare 5% av topplederne at websikkerhet er deres viktigste tiltak i bedriften. Dette samsvarer med britiske data, som viser at mindre enn én av tre virksomheter har et styremedlem med ansvar for websikkerhet.

Et svært sikkert nettsted er en fordel for bedriften din

Heldigvis viser det seg at luken begynner å tettes. 29% av bedriftene anerkjenner nå at websikkerhet skal spille en rolle i styrerommet. For bedrifter som gjør det riktig, kan god netthelse vise seg å bli en avgjørende konkurransefordel. Faktisk var 73%av de ledende bedriftene som ble undersøkt av AT&T Cybersecurity enige om  at god websikkerhet bidrar til deres generelle forretningssuksess.

Løsning: Gi websikkerhet en plass ved bordet. Svært effektiv sikkerhet, krever forpliktelse fra toppledelsen. For å oppnå dette, bør du oppnevne en Chief Information Security Officer (CISO). Når bare fire av ti bedrifter har en sjef for websikkerhet på ledernivå, kan dette gi bedriften din et skikkelig konkurransefortrinn. Gi dem i oppgave å lære opp toppledelsen i risiko og avkastning når det gjelder websikkerhet, og få dem med deg på å bygge en sikkerhetsfokusert forretningskultur.

Stadig oftere blir styre og toppledelse holdt direkte ansvarlige for sikkerhetsbrudd som skjer under deres oppsyn. Styreformann og administrerende direktør i Equifax, Richard Smith, gikk av etter at et hackerangrep i 2017  avslørte sensitiv informasjon om 145 millioner kunder. Med dette i mente, har det aldri vært et bedre tidspunkt for å be om ressursene du trenger for å beskytte nettstedet ditt.

5. Nedprioritering av websikkerhetsrevisjoner 

Den beste måten for bedrifter å beskytte seg på er å være proaktive, ikke reaktive. Regelmessige sikkerhetsrevisjoner er avgjørende for at bedrifter skal identifisere sikkerhetsproblemer, bestemme risikonivå og iverksette forebyggende tiltak. Men siden de kan kreve mye av både tid og ressurser, blir revisjoner ofte bare utført når det er absolutt nødvendig.

For bedrifter uten sikkerhetseksperter kan sikkerhetsrevisjoner være spesielt utfordrende. Manuell revisjon krever teknisk ekspertise som mange webansvarlige ikke har.

Resultatet? I beste fall bortkastede utgifter, siden bedriften baserer sikkerhetsstrategien på gjetning, i stedet for å håndtere sårbarheter ut fra data og trusselprioritering. I verste fall, et nettsted pepret med smutthull og sårbarheter.

Løsning: Invester i et verktøy som kjører automatiske søk etter grunnleggende sårbarheter på nettstedet. Spontane kontroller er ikke nok. Sikkerhetens vesen er dynamisk, og det betyr at kontinuerlig skanning av nettstedet ditt for potensielle sikkerhetstrusler er et absolutt must.

Det finnes noen måter å gjøre websikkerhetsrevisjonen lettere. 

  • La teknologien ta seg av revisjonene for deg, med regelmessige, automatiserte sikkerhetsrevisjoner.
  • Det å kombinere automatiserte sikkerhetsrevisjoner med manuell testing, er den mest effektive måten å analysere nettstedets sikkerhetsstatus. Verktøy som Siteimprove Web Security fungerer som en samarbeidsplattform som nett- og IT-avdelinger kan bruke til å håndtere sikkerhetstrusler sentralt.

6. Det å tenke at størrelsen ikke betyr noe

Nintendo. Yahoo! Zoom. Hva har disse til felles? De er store bedrifter som har opplevd pinlige, offentlige sikkerhetsbrudd. Siden media nesten utelukkende fokuserer på kjente navn, blir mange små og mellomstore bedrifter lurt inn i en farlig misforståelse om at nettangrep ikke skjer — og ikke kommer til å skje — dem. Og siden markedet ikke tillater dem å ha egne, heltidsansatte sikkerhetseksperter, er det slik at de ofte utgjør enkle mål for nettkriminelle. Faktisk er nesten halvparten av alle cyberangrep rettet mot små bedrifter.

Og enda mer urovekkende, en studie fra 2020 viste at 43% av små bedrifter i USA og Storbritannia ikke har fått på plass noen form for plan for websikkerhet. 

Den tilnærmingen går ikke overens med lovverket. I USA må selv små bedrifter som ikke er underlagt føderale krav, oppfylle minimumsstandarder for IT-sikkerhet. De kan også straffeforfølges for cyberangrep som fører til tap av forbrukerdata, dersom de anses som å ha handlet uaktsomt. Noen delstater, blant annet California og New York, har til og med innført krav til informasjonssikkerhet for bedrifter.

Paul Lipman, administrerende direktør i BullGuard, sier: «Små bedrifter er ikke immune mot cyberangrep og datainnbrudd. De blir ofte spesielt rammet fordi de ikke prioriterer sikkerhet. Mange eiere av små bedrifter kan være tilbøyelige til å droppe websikkerhet, siden løsninger for forbrukere ofte er mangelfulle, og løsninger for bedrifter ofte altfor kompliserte. Men det kreves imidlertid bare ett angrep for å få en bedrift ned i kne.»

Løsning: Cyberangrep mot små bedrifter kan være ødeleggende. Det å erkjenne at du kan bli angrepet, er det første steget i retning av å utvikle et forsvar.

For å løse utfordringer med begrensede ressurser og rekrutteringsproblemer, har spesialiserte websikkerhetsløsninger, som Siteimprove Web Security, blitt utviklet med tanke på små og mellomstore bedrifter. De er utformet for å hjelpe små team med å forstå og forbedre websikkerheten, uten å slite med den type sjargong og kompleksitet som vanligvis finnes i avansert sikkerhetsprogramvare.

Gi netthelsen din et løft med Siteimprove Web Security 

En ting som alle disse feilene har til felles, er at de kan unngås ved hjelp av en proaktiv, automatisert og helhetlig tilnærming til websikkerhet. Den beste måten å beskytte virksomheten din mot cyberangrep på, er å integrere websikkerhet i alle deler av din digitale strategi.

Ved å følge best practice for websikkerhet, gi ansatte opplæring i nettvett, og ved å investere i teknologi fra anerkjente leverandører, kan du beskytte virksomheten din mot den økende trusselen fra nettkriminalitet.

Vi ønsker å hjelpe deg med å beskytte bedriften din, nettstedet ditt og kundene dine mot nettkriminelle. Derfor har vi lansert Siteimprove Web Security. Web Security bidrar til å bygge bro mellom IT-avdelingen og resten av bedriften, og gjør at alle er samkjørte. Du får hjelp til å oppnå dette ved hjelp av en tydelig oversikt over nettstedets sikkerhetsproblemer (Web Application [Webapplikasjon], Network [Nettverk] og Server [Server]), samt prioriterte, praktiske anbefalinger for hvordan du reparerer dem.

I bloggen vår kan du lære hvordan funksjonene til Siteimprove Web Security holder nettstedet ditt trygt.