Öka it-säkerheten i dina molnbaserade tjänster

Som leverantör av en molnbaserad lösning arbetar vi på Xledger aktivt med att digitalisera och effektivisera vardagen för svenska och internationella företag. It- säkerheten är självklart alltid i fokus. I denna artikel kommer vi att titta på hur företag kan lösa några av utmaningarna kring säkerhet.  

Tänk dig följande scenario:  

Du är chef för ett företag och en av dina anställda i ekonomiavdelningen får ett e-postmeddelande från dig där du begär en pengaöverföring. Det är en överföring av ett högt belopp och det är brådskande, så det måste ske snabbt. E-postmeddelandet är formulerat som du normalt skriver och den innehåller all information som är nödvändig för att genomföra överföringen. Meddelandet avslutas med din signatur för att förstärka intrycket av att det rör sig om en viktig överföring. Din trofasta anställda ser därför ingen grund till att det inte skulle vara från dig och genomför betalningen i god tro. På mycket kort tid är betalningen fördelad på flera konton utomlands och det är nästan omöjligt att spåra den. Med några få klick har ditt företag tappat betydande belopp som du förmodligen aldrig kommer att se igen.  

Detta är en verklighet som flera företag troligen kommer att möta i framtiden och som du behöver förstå för att kunna agera snabbt. Ekonomiskt bedrägeri är inte nytt – men det är ett ständigt ökande hot. Det här är bara en av många utmaningar som företag står för idag så det är mycket viktigt att ta cybersäkerhet på allvar.  

Att tänka på cybersäkerheten är viktigare än någonsin  

Under 2020 uppgick kostnaderna för cyberbrott i Sverige till över 30 miljarder kronor. Det var en fördubbling jämfört med 2019 men eftersom många svenska företag inte rapporterar in alla cyberbrott är mörkertalet betydligt större. Användandet av molntjänster har ökat kraftigt de senaste åren. Coronapandemin och behovet av ett hemmakontor har gjort att molnbaserade tjänster är mer relevanta än någonsin. När stora delar av svenska befolkningen arbetar hemifrån utnyttjar cyberbrottslingar de som är den svagaste länken i företaget – människorna.  

Enligt en undersökning från Sifo visar det sig att 9 av 10 anställda på svenska företag är en säkerhetsrisk. Undersökningen visade också att det till stor del beror på att den anställda är långsam med uppdateringar, har osäkra lösenord eller laddar ned program från okända företag. Detta visar på att det finns ett behov av ökad kunskap om it-säkerhet i svenska företag. Det är viktigt med god översikt kring företagets värderingar och kännedom om vad man kan bli utsatt för. Vilka konsekvenser i form av höga kostnader och stora skador ett eventuellt angrepp kan medföra.  

Som användare av molntjänster är det viktigt att ha ett medvetet förhållande till säkerhet, både för företaget och de anställda. I interaktionen mellan dig och din molnleverantör är det viktigt att du är medveten om de utmaningar som kan uppstå. 

Samspel mellan kunder och leverantör av molnbaserat affärssystem 

Implementeringen av en omfattande molnsäkerhetsstrategi är avgörande för att minska cyberrisken. Molnet erbjuder många fördelar när det gäller it-säkerhet men dessa försvinner snabbt om ingen grundlig förberedelse har gjorts.  

Oavsett om du använder molntjänster idag eller om du funderar på att ta steget upp i molnet, måste du göra en riskbedömning av verksamheten. Syftet med en riskbedömning är att kartlägga olika scenarier som kan leda till sårbarheter i din verksamhet och vilka problem detta kan orsaka. Du måste ha en översikt över de tillgångar som finns i ditt företag, det kan vara till exempel tekniska lösningar, kundlistor, konfidentiella avtal eller pengar. Efter att riskbedömningen har genomförts måste du genomföra säkerhetsåtgärder och skapa ett system för att hantera och följa upp eventuella attacker. 

Enligt en Sifo-undersökning berodde majoriteten av säkerhetsintrången på brister i säkerheten och att företagen inte hade prioriterat it-säkerhet inom bolaget. Därför är det viktigt att tänka på säkerheten från start. Genom att ha en bra kommunikation om detta redan vid implementeringsprocessen kommer man att kunna lösa många framtida utmaningar på ett enklare sätt. Din molntjänstleverantör ansvarar för säkerhetsinfrastrukturen runt molnet. Säkerheten för den faktiska användningen av SaaS molntjänster ligger hos dig som kund. Det är därför viktigt att ha ett nära samarbete med din molntjänstleverantör så att ni tillsammans kan hitta bra rutiner för säkerhet internt i företaget.  

Ett bra säkerhetsskydd är kostsamt och dessutom är det svårt för varje enskilt företag att välja rätt skydd för sina behov. Säkerhetsskyddet behöver vara hållbart över tid och hålla en hög säkerhetsnivå vilket är dyrt. Vid val av molntjänst kan företag ta del av högsta säkerhetsskydd till en liten kostnad.  

Konkreta säkerhetsåtgärder du kan vidta idag 

I Xledger ERP har vi satt upp konkreta åtgärder för att öka it-säkerheten och för att användarupplevelsen ska vara så säker som möjligt. Det här är några av de åtgärder som finns i systemet och något du bör titta på idag. 

Tvåfaktorsautentisering

Har du inte aktiverat tvåfaktorsautentisering vid inloggning till dina system är det ett snabbt och enkelt sätt att öka säkerhetsnivån i din verksamhet. Många av oss använder relativt enkla lösenord som kan bli hackat enkelt. Om du väljer att aktivera ett annat steg för inloggning, till exempel din mobiltelefon, får du ett extra lager av säkerhet. Ett bra exempel på detta är BankID eller MinID. 

Som standard för alla nya användare ställs en tvåfaktorsautentisering (säkerhetskod) in när du loggar in i Xledger. Användaren kan välja mellan att ta emot den här koden via SMS, e-post eller med en Authenticator-app. Xledger stöder både Microsoft och Google Authenticator, och vi rekommenderar att du använder en av dessa. 

Lösenordskoll  

Alla nya lösenord som registreras kontrolleras mot ett register som består av 2 000 databaser. Det finns mer än 21 miljoner unika lösenord som har hackats. Om ditt föreslagna lösenord visas här kommer du att bli ombedd att skapa ett nytt. Om du hittar ditt lösenord i registret bör du byta det omgående.  

Definierade användarroller 

Molnlösningar erbjuder stor flexibilitet. Användare har tillgång till applikationen på allt från dator till mobil och surfplatta, så länge det finns tillgång till internet. Faktum är att molnbaserade applikationer ger tillgänglighet vilket är bra, men det kan också innebära en risk när det gäller säkerhet. Mänskliga fel står för en stor del av de utmaningar som många företag står inför idag. För att minska risken kan du ge dina anställda definierade användarroller i applikationen. På så sätt kan du begränsa och kontrollera vad varje anställd har tillgång till. 

För många är detta en absolut nödvändig funktion för att säkerställa att data endast delas med de medarbetare som borde ha tillgång till den. Det är viktigt att definiera vilken åtkomst varje enskild medarbetare behöver, samt hålla en uppdaterad översikt så att anställda som lämnar raderas och förlorar möjligheten att logga in. 

I Xledger är rollernas struktur inställd för att säkerställa hög säkerhet från grunden. Alla anställda som är registrerade hos en användare i systemet har tillgång till en eller flera roller. Med rollbaserad åtkomstkontroll kontrolleras varje användares behörighet. Rollerna förknippas ofta med arbetsuppgifter – till exempel anställd, projektledare och redovisningschef. Detta är en skalbar lösning. Du behöver inte ge åtkomst till varje enskild anställd – rollerna är desamma för alla i systemet. 

De definierade användarrollerna begränsar vem som har tillgång till pengaöverföringar och kan vara en konkret åtgärd för att förhindra ekonomiskt bedrägeri. 

Godkännande på fler nivåer 

Som ett led i att förhindra ekonomiskt bedrägeri är det också möjligt att aktivera betalningsgodkännande på flera nivåer. Betalningar över ett visst belopp kräver godkännelse på flera nivåer innan betalningen sker. 

Interna säkerhetsrutiner 

Dina anställda kan vara huvudmålet för cyberbrottslingar. Det är därför viktigt att alla anställda har fått utbildning om företagets säkerhetsrutiner. På detta sätt kan de förstå och snabbt rapportera avvikelser från det normala. Chefer och mellanchefer måste skapa en kultur där anställda känner att de får goda råd och hjälp om hur de ska reagera om de upplever onormal aktivitet. 

It-säkerhet i Xledger 

Xledger är ett affärssystem med fler än 100 000 användare på över 10 000 företag i mer än 50 länder. Säkerhet är en hög prioritet. Vi genomför ett flertal åtgärder för att säkerställa att våra kunders data förblir säkra. Xledger uppfyller ISAE3402-standard och vi lagrar vår data i olika ISO 27001-godkända datacenter. Dessutom har vi en dedikerad IT-avdelning som aktivt arbetar för att övervaka befintliga och nya hot och tekniker. Detta ger oss en bra grund för att utveckla ny funktionalitet som minimerar risken för våra kunder.  

Tester av Xledger utförs kontinuerligt, inklusive ett årligt penetrationstest som utförs av en extern part. Penetrationstestning utförs för att upptäcka sårbarheter och säkerhetshål i systemet genom etisk hacking. Baserat på dessa tester får vi en rapport som visar hur säkerheten i Xledger ser ut. Dessa tester är mycket viktiga för att vara ett steg före säkerhetsöverträdelser.  

Utöver det genomför vi även regelbundna interna kontroller av applikationen, från inloggningskontroller till övervakning av datatrafiken. 

Xledgers affärssystem är en multi-tenant-lösning där alla användare brukar samma version av ERP-applikationen. Det innebär att vi kan distribuera datorresurser dynamiskt mellan användare, baserat på användarnas behov. Uppgraderingar och programvarukorrigeringar sker samtidigt för alla användare vilket medför att alla har tillgång till den senaste versionen av programmet hela tiden.  

Både penetrationstestning och interna kontroller av systemet bör vara på agendan när du väljer din molntjänstleverantör eller i en uppföljningsintervju med din nuvarande leverantör. 

Om du vill lära dig mer om säkerhet i Xledger är du välkommen att kontakta oss.