Enkle grep som bedrer datasikkerheten

Private virksomheter og offentlige institusjoner har den siste tiden opplevd en dramatisk økning i alvorlige dataangrep. Angrepene har kommet som falske eposter og ved at uvedkommende bruker svakheter i systemer for å få tilgang til informasjon. Her er tips om hva du bør gjøre – og unngå å gjøre – for å bedre datasikkerheten i din virksomhet.

Falske eposter

Eposter er en vanlig måte å spre skadelige datavirus eller for å lokke deg til nettsider med farlig innhold. Pishing, hvor epostavsenderen ber deg om å oppgi sensitiv informasjon, er også blitt et stort problem.

Når du mottar eposter som virker mistenkelige eller for gode til å være sanne bør du stoppe opp og tenke deg om: Er avsenderen den som han/hun utgir seg for å være?
Hvis du er i tvil skal du ikke åpne vedlegg eller klikke på lenker. Her finner du tips om hvordan du kan sjekke om epost-avsender er ekte: nettvett.no

Skulle du likevel åpne et vedlegg eller trykke på en lenke som virker mistenkelig er det viktig å gi beskjed til dataansvarlig med det samme. Ved hurtig handling kan eventuelle skader begrenses.
Vet du forresten hvem som er dataansvarlig i din virksomhet?

Eksempler på falske eposter som mange har mottatt den siste tiden:

• Eposter med vedlegg som inneholder datavirus
• Eposter med falske fakturaer
• Meldinger om at betalingsinformasjon til abonnementstjenester som Netflix, Spotify, Microsoft etc. må oppdateres
• Tilbud om å delta i spørreundersøkelser og konkurranser
• Tilbud om å delta i investeringsprosjekter, gjerne med kryptovaluta som BitCoin

Du kan bli bedt om å sende sensitiv informasjon som personnummer, bankkontonummer og passord på epost. Epost er ikke en sikker kommunikasjonskanal, og dette må du selvfølgelig aldri gjøre uansett om forespørselen kommer fra en ekte eller mistenkelig avsender.

Bruk sterke passord og logg ut

Mange programmer og tjenester inneholder sensitiv informasjon og krever at du logger deg inn. Her er noen anbefalinger for hvordan du kan sikre deg mot at uvedkommende får tilgang til disse:

• Bruk totrinnsbekreftelse der det er tilgjengelig
• Logg ut av alle programmer og tjenester når du forlater datamaskinen – selv om det bare er for en kort stund
• Bruk sterke passord som inneholder små og store bokstaver, tall og gjerne spesialtegn som /_ ? ! #
• Ikke bruk samme passord til flere programmer
• Ikke del brukernavn og passord med andre

Dette er totrinnsbekreftelse

Totrinnsbekreftelse er et godt sikkerhetstiltak som er tilgjengelig på en rekke programmer og tjenester. I tillegg til brukernavn og passord mottar du med totrinnsbekreftelse en unik kode som brukes når du logger deg inn. Koden kan komme via SMS eller en egen app på mobiltelefon.

Oppdater programmer

Operativsystemer og dataprogrammer oppdateres jevnlig for å rette feil og mangler knyttet til sikkerheten. Dette gjelder spesielt for virusprogram og brannmur, hvor regelmessige oppdateringer sørger for at de holder tritt med de nyeste truslene.
Sørg alltid for at programmene oppdateres når du får beskjed om dette. Da minsker du sjansene for virus og at uvedkommende får tilgang.

Unngå å bruke utdaterte programmer og operativsystemer. Internet Explorer, Windows XP og Windows 7 er noen eksempler. Disse oppdateres ikke lengre, og kan ha alvorlige sikkerhetshull som gjør datamaskiner og dataanlegg sårbare for angrep.

Ha oversikt over virksomhetens dataanlegg

Et viktig tiltak for bedre datasikkerheten i din virksomhet er å ha kontroll over eget dataanlegg. Hvilke enheter finnes i nettverket? Hvor og hvordan lagres og behandles persondata og annen sensitiv informasjon? Hvem har tilgang til de forskjellige systemene? Skal det tas back-up?
Datatilsynet krever at helsevirksomheter har full oversikt, og i TrinnVis er det et eget verktøy for dette kalt Persondata og dataanlegg.

Vær forberedt – gjør risikovurderinger

Datasikkerhet handler om å være forberedt. Hva er sjansen for at det oppstår en hendelse som påvirker datasikkerheten? Hva er konsekvensene hvis det skjer? Bør tiltak vurderes i forkant for å hindre dette? Alt dette er viktig å tenke gjennom på forhånd.
I TrinnVis ligger det ferdige forslag til risikovurderinger for IKT og datasikkerhet. Dataansvarlig bør gå gjennom disse risikovurderingene og lage rutiner i TrinnVis for hva som skal gjøres hvis dere blir utsatt for et dataangrep.

Registrer avvik og lær av dem

Skulle det oppstå brudd på datasikkerheten er det viktig at hendelsen registreres og dokumenteres. Da kan erfaringene brukes til å unngå at det skjer igjen. TrinnVis har verktøy for enkel rapportering og håndtering av avvik. Avviksverktøyet gir deg også råd om hvilke offentlige instanser som eventuelt må kontaktes ved alvorlige hendelser.