Vi lever i en stadig mer digitalisert hverdag, både hjemme og på kontoret. Skillet mellom disse to er blitt mindre i den senere tiden, med veldig mange som jobber fra hjemmekontor. Med økt digitalisering er sikkerhet stadig viktigere for virksomheter – og privatpersoner.
Som tilbyder av en SaaS-basert løsning jobber vi i Xledger aktivt med å digitalisere og effektivisere hverdagen for norske og internasjonale selskaper. Sikkerhet er i fokus kontinuerlig. I denne artikkelen skal vi se på hvordan bedriften kan løse noen av utfordringene rundt sikkerhet.
Se for deg følgende scenario:
Du er leder i et selskap og en av dine ansatte i økonomiavdelingen mottar en e-post fra deg hvor du ber om en pengeoverføring. En overføring av et høyt beløp og det haster, så dette må skje raskt. E-posten er formulert slik du normalt ville skrevet den og inneholder alle opplysninger som er nødvendige for å foreta overføringen. Det er også lagt ved vedlegg med din signatur for å forsterke inntrykket om at dette er en viktig overføring. Din trofaste ansatte ser derfor ingen grunn til at dette ikke skulle være reelt og gjennomfører betalingen i god tro. I løpet av svært kort tid er utbetalingen spredt over flere kontoer i utlandet, og nesten umulig å få sporet opp. Selskapet ditt har ved et par klikk mistet betydelige summer som du sannsynligvis aldri vil se igjen.
Dette er en realitet flere selskaper mest sannsynlig vil møte i fremtiden, og som du må forstå for å kunne agere raskt. Økonomisk svindel er ikke nytt – men det er en stadig økende trussel. Flere norske selskaper har blitt utsatt for forsøk på dette, blant annet arbeidsgiverorganisasjonen Virke.
Dette er bare én av mange utfordringer som møter bedrifter i dag, det er derfor svært viktig å ta sikkerhet på alvor.
Å tenke sikkerhet er viktigere enn noen gang
En av Norges største IT-sikkerhetsleverandører, Mnemonic, registrerte en vekst på mer enn 20 prosent i antall innrapporterte sikkerhetshendelser i april i år. Dette resulterte i over 6400 sikkerhetshendelser som er rapportert videre til deres norske virksomheter. Bruken av skytjenester har økt kraftig de siste årene. Med koronapandemien, og behovet for hjemmekontor, er skytjenester mer aktuelt enn noen gang. Når store deler av Norges befolkning jobber hjemmefra, utnytter de cyberkriminelle i økende grad det svakeste leddet i virksomheter – menneskene.
Ifølge Næringslivets sikkerhetsråd Mørketallsundersøkelse fra 2020 oppgis årsakene til sikkerhetsbrudd som 50 prosent menneskelige feil og 38 prosent mangel på sikkerhetsbevissthet hos ansatte. Undersøkelsen viser også at 44 prosent av bedriftene oppdaget hendelsene ved en tilfeldighet. Dette betyr at det er behov for økt kunnskap om sikkerhet i norske virksomheter. Det er viktig med god oversikt over bedriftens verdier og kjennskap til hva man kan bli utsatt for. Hvilke kostnader og skader kan et eventuelt angrep påføre selskapet?
Som kunde av skytjenester er det viktig å ha et bevisst forhold til sikkerhet, både for virksomheten og de ansatte. I samspillet mellom deg og din skyleverandør er det viktig at du er klar over hvilke utfordringer som kan oppstå.
Samspill mellom kunde og leverandør av skytjenester
Implementeringen av en omfattende skysikkerhetsstrategi er avgjørende for å senke cyberrisikoen. Skyen gir mange fordeler innenfor sikkerhet, men disse forsvinner raskt dersom det ikke er gjort et grundig forarbeid.
Uavhengig av om du benytter deg av skytjenester i dag eller om du vurderer å ta steget opp i skyen, bør du ha gjennomført en risikovurdering av virksomheten. Formålet med en risikovurdering er å kartlegge ulike senarioer som kan føre til sårbarheter i virksomheten din, og hvilke problemer dette kan medføre. Du må ha oversikt over hvilke verdier som finnes i virksomheten din, som for eksempel tekniske løsninger, kundelister, konfidensielle avtaler eller penger. Etter risikovurderingen er foretatt må du iverksette sikkerhetstiltak og sette opp et system for å håndtere og følge opp mulige angrep.
Ifølge bedriftene som deltok i Mørketallsundersøkelsen 2020 var de fleste årsakene til sikkerhetsbrudd på grunn av tilfeldigheter og uflaks. Over 20 prosent viser også til utilstrekkelige prosesser og for dårlige prioriteringer av sikkerhetsarbeidet.
Derfor er det viktig å tenke sikkerhet fra starten. Ved å ha en god kommunikasjon om dette allerede fra implementeringsprosessen, vil man kunne løse mange fremtidige problemer på en enklere måte. Din skytjenesteleverandør er ansvarlig for sikkerhetsinfrastrukturen rundt skyen. Sikkerheten i selve bruken av SaaS skytjenester ligger hos deg som kunde. Det er derfor viktig å ha et tett samarbeid med din skytjenesteleverandør slik at dere sammen kan finne gode rutiner på sikkerhet internt i virksomheten.
Konkrete sikkerhetstiltak du kan gjøre i dag
Ifølge Norsis er det mange som, ved skylagring, ikke sikrer klient (PC, mobil o.l.), bruker tofaktorautentisering eller regulerer den enkelte ansattes tilgang til dataene og programmene de har behov for. Sørg for å ha dette på plass.
I ERP-systemet Xledger har vi satt opp konkrete tiltak for å øke sikkerheten, og for at brukeropplevelsen skal bli så trygg som overhodet mulig. Dette er noen av tiltakene som er tilgjengelige i systemet, og noe du bør se på i dag.
Tofaktorautentisering
Har du ikke aktivert tofaktorautentisering ved innlogging til dine systemer, er dette et raskt og enkelt tiltak for å øke sikkerhetsnivået i virksomheten din. Mange av oss benytter forholdsvis enkle passord som lett kan hackes. Velger du å aktivere enda et trinn for innlogging, som for eksempel mobiltelefonen din, vil du få et ekstra sikkerhetslag. Et godt eksempel på dette er BankID eller MinID.
Som standard for alle nye brukere settes det opp en tofaktorautentisering (sikkerhetskode) ved innlogging i Xledger. Brukeren kan selv velge mellom å motta denne koden på sms, e-post eller benytte en Authenticator-app. Xledger støtter både Microsoft og Google Authenticator, og vi anbefaler å ta i bruk en av disse.
Passordsjekk
Alle nye passord som blir registrert blir sjekket mot et register bestående av 2000 databaser. Her finnes det mer enn 21 millioner unike passord som er hacket. Dersom ditt foreslåtte passord dukker opp her, vil du bli bedt om å lage et nytt.
Definerte brukerroller
Skyløsninger tilbyr stor fleksibilitet. Brukere vil ha tilgang til applikasjonen på alt fra PC til mobil og nettbrett, så lenge de har tilgang til internett. Det faktum at applikasjonen er tilgjengelig er bra, men dette utgjør også en risiko når det kommer til sikkerhet. Menneskelige feil utgjør en stor andel av utfordringene mange selskaper møter i dag. For å redusere risiko kan du gi dine ansatte definerte brukerroller i applikasjonen. På den måten kan du begrense og kontrollere hva hver enkelt ansatt har tilgang til.
I forretningsløsninger er dette en helt nødvendig funksjon for å sikre at data kun blir delt med de som skal ha tilgang til den. Det er viktig å definere hvilke tilganger hver enkelt ansatt trenger, samt holde en oppdatert oversikt slik at ansatte som slutter blir slettet og mister muligheten til å logge seg inn.
I Xledger er oppbyggingen av rollene satt opp for å sørge for sikkerhet fra bunnen av. Alle ansatte som registreres med en bruker i systemet vil få tilgang til én eller flere roller. Med rollebasert tilgangskontroll kontrolleres privilegiene for hver enkelt bruker. Rollene henger ofte sammen med arbeidsoppgaver – for eksempel Ansatt, Prosjektleder og Regnskapsleder. Dette er en løsning som er skalerbar. På denne måten slipper du å gi tilganger til hver enkelt ansatt – rollene er like for alle i systemet.
De definerte brukerrollene begrenser hvem som har tilgang til å gjøre pengeoverføringer og kan være et konkret tiltak for å forhindre økonomisk svindel.
Flernivågodkjenning
Som et ledd i å hindre økonomisk svindel er det også mulig å aktivere flernivågodkjenning av utbetalinger. Den er tilrettelagt for at betalinger over et angitt beløp må godkjennes på flere nivå før utbetalingen skjer.
Interne sikkerhetsrutiner
Dine ansatte kan være hovedmålet for cyberkriminelle. Det er derfor viktig at alle ansatte har hatt god opplæring i virksomhetens sikkerhetsrutiner. På den måten de er i stand til å forstå og raskt melde ifra om avvik fra normalen. Ledere og mellomledere må legge til rette for en kultur der ansatte føler de får gode råd og hjelp til hvordan de bør reagere dersom de opplever unormal aktivitet.
Sikkerhet i Xledger
Xledger er en forretningsløsning som brukes av tusenvis av selskaper i mer enn 50 land. Sikkerhet har naturligvis høy prioritet. Vi gjennomfører en rekke tiltak for at dataene til våre kunder forblir trygge. Xledger følger ISAE3402-standarden. Vi lagrer våre data i ulike datasentre i Norge, som er ISO27001-godkjente aktører. En dedikert IT-avdeling jobber aktivt med å overvåke eksisterende og nye trusler, og teknologier. Dette gir oss et godt grunnlag for utvikling av ny funksjonalitet som skal minimere risikoen for våre kunder.
Det utføres stadig tester av systemet, blant annet en årlig penetrasjonstest som gjennomføres av en ekstern aktør. Penetrasjonstesting blir gjennomført for å avdekke sårbarheter og sikkerhetshull i systemet gjennom en etisk hacking. På bakgrunn av disse testene får vi en rapport som viser hvordan det står til med sikkerheten, sett utenfra. Disse testene er svært viktige som et ledd i å være et skritt foran eventuelle sikkerhetsbrudd.
Interne kontroller av applikasjonen gjennomføres jevnlig, fra påloggingskontroller til overvåkning av datatrafikken.
Xledger en multi-tenant-løsning der alle brukere er på samme versjon av ERP-applikasjonen. Det vil si at vi kan fordele datamaskinressurser dynamisk mellom brukere, basert på brukernes behov. Oppgraderinger og programvarerettelser gjøres én gang for alle brukere. Alle vil ha den nyeste versjonen av programmet til enhver tid.
Både penetrasjonstesting og interne kontroller av systemet bør stå på agendaen når du skal velge din skytjenesteleverandør, eller ved en oppfølgingssamtale med din nåværende leverandør.
Ønsker du å lære mer om sikkerhet i Xledger er du velkommen til å ta kontakt med en av våre eksperter.
