Den digitale hverdagen krever bevissthet

Data er verdifullt for bedriftene – og for kriminelle. Som regnskapsfører skal du ivareta sikkerheten rundt kundedata. Økt bevissthet om IT-sikkerhet er nøkkelen. 

Hans Christian Ellefsen forteller om ansvaret regnskapsfører har for å ivareta sikkerheten rundt kundedataen som forvaltes.

Regnskapsbransjen bruker stadig flere avanserte digitale løsninger i sin leveranse. Vi samhandler mer på tvers i virksomheten og med kunder, data utveksles automatisk mellom systemer for å øke nytteverdien, og vi behandler større datamengder enn noen gang. Data blir mer og mer verdifullt for bedriftene, men dessverre også for kriminelle. 

Regnskap Norges samarbeidspartner NORSIS (Norsk senter for informasjonssikring) publiserte i januar en oversikt over de viktigste digitale trusler og trender i Norge. Phising, løsepengevirus og falske utpressingskrav kommer høyt opp på listen. Felles for risikoene vi blir utsatt for, både privat og på jobb, er at angriperne blir mer og mer avanserte i sin fremgangsmåte.

Det blir vanskeligere å avdekke når du faktisk blir utsatt for et angrep. Åpenbart er offentlige etater og store børsnoterte selskaper mest utsatt for angrep i volum, men vi ser en klar trend i at angrepene som blir fremsatt ukritisk rammer store som små virksomheter. 

Sikring av kundedata 

Som autorisert regnskapsfører har du et spesielt ansvar for å ivareta sikkerheten rundt kundedata du forvalter. IT-sikkerhet er regulert gjennom eksempelvis regnskapsførerloven, GRFS og personopplysningsloven. Tap av omdømme hvis data skulle komme på avveie eller tapes, er også en viktig faktor.

Lovene eksisterer med god grunn, og Regnskap Norge oppfordrer på det sterkeste at arbeidet med IT-sikkerhet tas på alvor i den digitale hverdagen. Arbeidet med IT-sikkerhet er overkommelig hvis det gjøres målrettet. Risikovurderingene regnskapsfører gjør på egen virksomhet bidrar til å tiltakene innføres der risikoene er størst. 

En skulle tro at sikkerhet er godt ivaretatt ved bruk av skytjenester hos profesjonelle leverandører. I stor grad er dette også tilfelle, men vi har sett eksempler på hvor sikkerhetsfunksjoner er en tilleggsmodul som må aktiveres av kunden, eller at sikkerhet må konfigureres av kunden for å ha effekt. Det gjelder altså å spørre leverandøren en gang for mye enn en gang for lite om IT-sikkerhet i løsningene du benytter. 

Bevissthet hos alle virker best 

Sikkerhetseksperter har i alle år utviklet sikkerhetsløsninger for å redusere risikoen for angrep. Flere gode verktøy er utviklet, men sikkerhetssystemene ligger for ofte teknologisk sett ett hakk bak angriperne. Det viktigste tiltaket en virksomhet kan gjøre for å redusere risiko er å øke bevisstheten til hver og enkelt av oss rundt IT-sikkerhet. 

Som regnskapsførere er vi pliktoppfyllende mennesker som ønsker å yte rask og god service til kundene. Søkelyd på rask kundeservice kan dessverre av og til medføre at det kan gå litt fort i svingene – for eksempel ved at vi ukritisk responderer på eposter. En bevissthet i bakhodet mens du jobber er det beste sikkerhetstiltaket vi i Regnskap Norge kan se for oss. Eksempler på hvor bevissthet er avgjørende for å ikke bli angrepet er: 

• Får du en epost om utbetaling av beløp i valuta til utlandet, tilsynelatende fra din kunde, ta en telefon til kunden for å bekrefte ektheten av forespørselen. Kunden setter pris på at du passer godt på pengene deres. 
• Får du en epost fra banken om å oppdatere kundeopplysninger i et webskjema, ikke gjør dette via lenken i eposten, men gå direkte inn i nettbanken og se om henvendelsen er reell. Nei, kontoer blir ikke lukket om du ikke responderer med en gang. Ei heller spør bankene om person- og firmaopplysninger via epost. 
• Får du en epost fra din egen epostkonto om at du er filmet og må betale bitcoins for å unngå publisering, slett denne med en gang. Det er ingen realitet i dette. 
• Sjekk reell avsenders epost. Storebrand bruker for eksempel ikke kundeservice@forsikringstorebrand.no. Hold musepeker over epostadressen og se om epostadressen virker kjent. Hvis du er i tvil, logg direkte på webløsningen på vanlig måte eller ring selskapet. 
• Se nærmere på URL (webadressen) for å se om du er på en falsk nettside. Eksempelvis www.forsikringstorebrand.no. Se også etter HTTPS:// i URL for å se at dette er en sikker nettside.
  
• Det samme gjelder for falske undersøkelser. Se på URL på nettsiden for å se om de som samler inn informasjon er reelle og kjente. 

Noen angrep blir dessverre vellykkede. Ett eksempel er løsepengevirus. Her har en medarbeider typisk trykket på en tilsynelatende troverdig lenke som laster ned en låsemekanisme. Den digitale låsen kan kun åpnes ved å betale bitcoins. Det viktigste, i tillegg til å ikke trykke på uvanlige lenker, er å unngå å oppbevare kundedata på egen PC, og uansett sørge for gode rutiner for sikkerhetskopiering. Å betale bitcoins bør ikke være et alternativ for å kunne jobbe videre med kunden din.  

Et vanskelig fagområde 

IT-sikkerhet er et fagområde mange regnskapsførere føler seg ukomfortabel med å håndtere i hverdagen. Heldigvis er det mulig å redusere risikoen for angrep til et akseptabelt nivå ved å gjøre målrettede tiltak, bruke riktige verktøy, sørge for opplæring av ansatte og eventuelt samarbeide med profesjonelle aktører når dette er nødvendig.

Når regnskapsbransjen digitaliseres ytterligere, er det innlysende at IT-sikkerhet blir en sentral del av risikovurderingen og at kjennskap til trusler og trender vil påvirke utformingen av sikkerhetstiltak. 

Gratis sikkerhetsopplæring for mindre virksomheter 

NORSIS arrangerer hvert år en nasjonal sikkerhetsmåned i oktober. Regnskap Norge støtter dette tiltaket, og anbefaler å benytte tilbudet om online sikkerhetsopplæring.

Opplæringspakken er gratis for bedrifter med mindre enn 20 ansatte, og NORSIS tilbyr en hyggelig lav pris for de som er større.

I tillegg til å anbefale regnskapsvirksomheter å ta denne opplæringspakken, oppfordrer vi til å motivere deres kunder til å gjøre det samme. Vi har i den forbindelse utarbeidet en eposttekst du kan benytte overfor dine kunder. 

Les mer om Nasjonal sikkerhetsmåned 2020 her.

Bestill opplæringspakke her.