Undervurderer cyber-trusselen
Alt for få bedrifter i HORECA-bransjen tar trusselen om datakriminalitet på alvor. Det kan bli en dyrekjøpt undervurdering.
At cyberangrep kan gi store økonomiske tap, er hevet over enhver tvil. Men langt fra alle norske bedrifter tar gode nok grep for å forhindre angrep. Det mener forsikringsselskapet Codan, som sett nærmere på temaet. Og kanskje blir du overrasket over hvor vanlig det faktisk er.
For datakriminalitet er den tredje vanligste typen kriminalitet. Likevel er få bedrifter innen HORECA-bransjen forsikret mot cyberangrep. Det til tross for at små og mellomstore bedrifter er utpekt av Norsk senter for informasjonssikring (NorSIS) til å være i faresonen.
– Et dataangrep kan lamme hele driften og forårsake store tap, sier Stefan Langva, administrerende direktør i Codan Forsikring, som forteller at mange norske bedrifter årlig betaler ut store summer til kriminelle.
– Det er ikke uvanlig at slike angrep kan koste en bedrift 150 000 kroner, men summene kan også bli langt høyere, fortsetter Langva.
NB: Saken fortsetter under bildet.
Stort omfang
I fjor ble det gjennomført 22 000 dataangrep i Norge, hvorav 5000 av disse ble karakterisert som alvorlige. Når skaden først er skjedd, kan det fort bli dyrt. Hvert år betaler bedrifter høye summer i løsepenger for å få tilbake data.
Langva opplever at norske bedrifter innen HORECA-bransjen ikke tar trusselen på alvor, spesielt gjelder dette mindre bedrifter.
– Det er langt større sannsynlighet for å rammes av cyberangrep enn av brann. På lik linje med at du må ha brannvarslings- og slukkeutstyr, må bedriften også ha grunnleggende IT-sikkerhet på plass og forsikring mot dette, sier han.
NB: Saken fortsetter under bildet.
Rammet Nordic Choice
Et av selskapene som ble rammet under et internasjonalt dataangrep i fjor er Nordic Choice Hotels. Undersøkelser i ettertid tyder på at hotellkjeden ble et «tilfeldig» offer, men det har uansett ført til enda bedre beredskap.
– Da vi ble rammet, så dette ut som et «ransomware» angrep, det vil si rent økonomisk motivert uten å være målrettet mot oss, vår bransje eller noen spesifikk gruppe. I etterkant har konsensus fra norske og utenlandske myndigheter blitt at dette i realiteten var et antatt statsstøttet angrep mot et annet land, hvor vi og mange andre ble uskyldige ofre, forteller Didde Christensen, VP på Technology i Nordic Choice, til Hotellmagasinet.
Grepene Nordic Choice har gjort handler like mye om å beskytte at viktig informasjon går tapt, enn risikoen for å tape penger.
– For oss er det utrolig viktig å sikre at informasjon vi har om gjester, det være seg kontakt- eller kredittkortinformasjon, ikke kommer uvedkommende i hende. Vi har kontinuerlig fokus på bevisstgjøring, opplæring og ulike tiltak for å ivareta god sikkerhet til beste for våre gjester, ansatte og samarbeidspartnere. Dette gjør vi i tett samarbeid med våre driftsleverandører, ulike interesseorganisasjoner og offentlig myndighet, fortsetter Christensen.
Flere blir «direktørsvindlet»
I 2017 økte andelen av tilfeller med såkalt direktørsvindel. Dette skjer ved at hackere finner ut hvilke medarbeidere som har fullmakt til å utbetale penger, og sender e-post til disse for å be om utbetaling av en høy sum, ofte forbundet med et reelt prosjekt.
– De kriminelle skaffer seg god innsikt i bedriftens detaljer, og sender typisk slike e-poster når en økonomisk beslutningstaker er utilgjengelig, for eksempel ved reiser. All kommunikasjon gjøres over e-post, sier Bjarte Malmedal, rådgiver i NorSIS.
Malmedal har følgende råd til norske bedrifter for å unngå denne typen svindel:
– Det viktigste direktøren kan gjøre er å sørge for at bedriften har prosedyrer som kan fange opp denne type svindel. Det bør være kontrollmekanismer som forhindrer at en enkeltperson kan bli lurt til å foreta slike utbetalinger. De kriminelle er ofte svært dyktige. Både til å samle inn informasjon om bedriften og til å manipulere og lure den ansatte.
Det er bedriftens ansvar
For at en forsikring skal dekke et cyberangrep, må bedriften ha på plass grunnleggende IT-sikkerhet og rutiner. En bedrift har ansvar for at data lagres sikkert. Dette omfatter:
- Brannmur
- Oppdatert programvare
- Anti-virusprogram
- Backup av data
- Å begrense skadeomfang
Slik håndterer bedriften et cyberangrep:
- Tid er essensielt. Ha gode rutiner der ansatte varsler med én gang de opplever noe som kan antas å være et cyberangrep.
- Isoler datamaskinen: Ta den ut av docking, koble fra nettverket, skru av Wifi og ta ut stikkontakter.
- Jo raskere bedriften melder fra til forsikringsselskapet, jo mindre blir konsekvensen og tapet. Bedriften har ingenting å tape på å ringe for tidlig.
- Forsikringsselskapet bistår med teknisk og juridisk eksperthjelp, og med krisebistand hvis bedriften står overfor en mulig omdømmekrise. Codan Forsikring utbetaler ikke løsepenger til kriminelle.
Kilde: Codan Forsikring