Top
GP Økonomi / Bransjeaktuelt  / Digitale trusler og virkemidler

Digitale trusler og virkemidler

Om truslene relatert til regnskapsbransjen og kundene, og hva regnskapsbedriftene kan gjøre for å redusere risikoen.

31.01.19

Skrevet av  Hans Ellefsen

Del

NorSIS (Norsk senter for informasjonssikring) utga nylig sin rapport «Trusler og trender 2018–2019 ». Rapporten tar for seg de mest fremtredende digitale trusler som kan påvirke de systemene vi bruker i det daglige.

Som tidligere år, er kunnskap om digitale trusler hos den enkelte medarbeideren den viktigste risikoreduserende faktoren. Angrepene blir mer og mer sofistikerte, så det er ikke rart at flere opplever å bli rammet.

Hva er målet til de som angriper?

Økonomisk vinning har til alle tider vært primærmålet til de kriminelle. Den reduserte tilgjengeligheten til fysiske kontanter gjør at penger nå må nås digitalt; enten ved å hacke seg inn til bankkontoer og andre digitale verdier, eller ved å kidnappe IT-systemene og be om løsepenger (ransomware).

Utbredelsen av kryptovaluta har også muliggjort anonymitet, som når man har benyttet kontanter. Dette har gitt en ny kanal for overføring av verdier til den kriminelle. Det NorSIS ser, er at beløpene som ønskes overført ikke er veldig høye. På denne måten kan betaling virke som en enklere løsning enn å prøve å redusere skadeomfanget.

Målet kan også være å skade bedriften uten å få direkte økonomisk vinning. En stat, bedrift eller person kan ha som mål å lage hindringer for at bedriften fungerer normalt i håp om at de går ut av markedet. Dette kan medføre store økonomiske tap for bedriften som rammes, og kan skyve på konkurranseforholdet i bransjen.

Noen angrep har ingen mål i seg selv, men utføres på en bred målgruppe for å lage trøbbel for dem som rammes. Motivasjonen for å gjøre dette er vanskelig å forstå, og er rett og slett rampestreker utført av voksne.

Hvordan angripes du?

NorSIS har i sin rapport angitt de vanligste truslene i 2018. Disse var:
• ledelses­ og direktørsvindel (CEO-svindel)
• uhell, uaktsomhet eller vanvare
• ID-tyveri
• svindel
• utpressing
• krenkelser eller mobbing
• sabotasje
• sikkerhet på reise
• spionasje

Ledelses- og direktørsvindel i vekst

Den første erstatningssaken mot en regnskapsfører relatert til ledelses- og direktørsvindel har kommet opp. Svindelen går ut på at regnskapsfører tilsynelatende får en e-post fra daglig leder hos sin kunde, hvor kunden ber om en overføring av valuta til utlandet i forbindelse med inngåelse av en kontrakt.

Ordlyden i e-posten er gjerne i en tone som forventes fra kunden. Det regnskapsfører og daglig leder ikke vet er at svindlere har tatt kontroll over daglig leders e-post og fulgt med over tid hvordan denne personen kommuniserer med omverdenen. I den aktuelle erstatningssaken var også Karmøy-dialekten på plass.

Da er det kun beløpsstørrelse, mottaksland og andre detaljer som kan hinte til regnskapsfører om at noe er galt. Er transaksjonen uvanlig, må regnskapsfører ringe daglig leder og få bekreftet gyldigheten av transaksjonen, selv midt i sommerferien når svindelen ofte skjer.

Uaktsomhet, vanvare og svindel

Skade som følge av uaktsomhet og vanvare utløses ofte gjennom et phising-angrep. Her mottar du en e-post fra en tilsynelatende kjent aktør med en tilsynelatende ekte forespørsel, eksempelvis fra en bankforbindelse eller systemleverandør. Et klikk på lenken og en «innlogging» kan imidlertid gjøre at maskinen blir hacket, og den som sendte e-posten har nå kontroll over ressursene på maskinen, herunder betalingsløsninger med videre. Phising kan også medføre at maskinen blir låst, og at det bes om løsepenger gjennom kryptobetaling for å låse opp maskinen.

Beste måten å forhindre phising-angrep er å se nøye på avsenders e-post og hvor lenken peker. Eksempelvis vil ikke en e-post fra RNregnskapnorge.no med lenke til regnskapnorge.surveyqw34.com være anbefalt å trykke på. Hvis du er i tvil, ring selskapet som angivelig har sendt e-posten.

Svindelforsøk kan også starte gjennom en falsk e-post hvor sentral informasjon prøves innhentet slik at vedkommende får tilgang til systemer og via disse til digitale verdier. Også her må generell aktsomhet være det viktigste tiltaket mot svindelforsøket.

ID-tyveri

Når en identitet er stjålet, kan kriminelle utgi seg for å være en annen person, som en kunde av en regnskapsfører, for å få tilgang til digitale verdier. NorSIS sier at den som rammes av ID-tyveri i mange tilfeller er i nær relasjon til offeret. Dette innebærer at det kan være lett for vedkommende å supplere informasjon som gjør henvendelsen troverdig. Nok er gang er det uvanligheten i transaksjonen som gjør at regnskapsfører bør reagere og ringe personen direkte – for en bekreftelse av gyldigheten av transaksjonen.

Risikovurdering og intern kontroll

En regnskapsfører skal foreta risikovurdering av virksomheten sin og etablere tilstrekkelige interne rutiner og kontroller for å redusere risikoen. Digitale trusler må inngå i disse risikovurderingene og her er rapporter, slik som fra NorSIS, en god kilde til innholdet i vurderingen. Bevissthet om trusler, intern kontroll og sikkerhetskopier må være på plass for å redusere hendelser og sikre rask tilbakeføring til normal drift om noe uønsket skulle skje.

Oppdater systemer løpende – bytt standardpassord

En viktig årsak til at bedrifter blir hacket, eller på annen måte svindlet, er at de kriminelle utnytter sikkerhetshull i eldre operativsystemer, nettlesere, nettverksløsninger, og til og med i printere. Det å oppdatere operativsystemer og applikasjoner løpende, samt å bytte standardpassord på nettverkskomponenter og skrivere, gjør det vanskeligere for kriminelle å nå inn til systemene dine. Kanskje har du allerede her redusert risikoen betraktelig.

Etabler en sikkerhetskultur

Regnskap Norge har over noen år samarbeidet med NorSIS, og spesielt med seniorrådgiver Hans Marius Tessem. Tessem kjenner derfor meget godt vår bransje og risikobildet. Tessem holder kurs og foredrag for oss, og vi setter stor pris på det samarbeidet vi har etablert.

Som sagt innledningsvis er medarbeideres bevisstgjøring om sikkerhetstrusler den viktigste preventive aktivitet for å redusere risiko for å bli angrepet. NorSIS arrangerer hvert år «nasjonal sikkerhetsmåned» i oktober. Formålet med denne aktiviteten er å øke bevisstheten i organisasjoner om trusler og tiltak, samt å etablere en god sikkerhetskultur i bedriften.

Besøk NorSIS sine hjemmesider for å få mer informasjon om hva dere kan gjøre internt i virksomheten for å øke bevisstheten.

Skill det private digitale livet og jobben

Det er ikke uvanlig at arbeidsgivers IT-systemer og e-postsystem også benyttes i privat sammenheng. Lederen av regnskapsførervirksomheten bør da forstå at eksponeringen mot digitale trusler øker. En god policy er å skape et klart skille mellom privat og jobb. På den måten vil du kunne halvere risikoen for å gjøre noe i vanvare som påvirker jobben, IT-systemene og kunderelasjonen.

Sikker kommunikasjon hindrer ledelses- og direktørsvindel

Den beste sikringen mot ledelses- og direktørsvindel er å etablere en dedikert og sikker kommunikasjonskanal mellom regnskapsfører og kunde. Med ende-til-ende-kryptering vil eksempelvis instrukser om overføringer av valuta til utlandet kunne verifiseres som ekte – gjennom kanalens sikkerhetsløsninger.

Regnskap Norge har en fordelsavtale med Rosberg og deres løsning Verji, som reduserer risiko for ledelses- og direktørsvindel.

Cyberforsikring reduserer skadeomfanget

Regnskap Norge har også inngått en fordelsavtale med Tryg innen cyberforsikring. Forsikringen kan redusere skadeomfanget ved et digitalt angrep eller en annen digital hendelse, og bidra til en god prosess tilbake til normal drift.