När hackare bryter sig in i in hos storföretag, banker eller myndigheter blir det stora rubriker då värdet på deras förluster blir så högt. Små och medelstora företag är också utsatta för säkerhetsrisker och skadorna kan där bli minst lika förödande för företagen. Många intrång anmäls inte. Mindre organisationer kanske inte ens är medvetna om att de hackats.
Försäkringsbolaget If gav i mars ut en undersökning gjord bland drygt 600 småföretagare där 19 procent uppgav att de vet med säkerhet att de har utsatts för dataintrång och 47 procent svarade att de har tillräckliga kunskaper för att skydda sig mot attacker.
Företagarna presenterade i april en undersökning där bara 15 procent av företagarna uppgav att de krypterar data som sänds digitalt samtidigt som 76 procent angav att de använde molntjänster.
Svenska småföretag är underleverantörer till mycket forskning och utveckling, berättar Per Hellqvist säkerhetskonsult på Knowit Secure. De har innovativa tjänster och affärsmodeller som kan stjälas.
Läs mer: Stort test: Bästa sättet att säkra e-posten
– Du kan vara delmålet för attacken, snarare än slutmålet. Stöldbegärlig information kan vara kunders e-postadresser, kreditkortsinformation eller tillgång till större kunders databaser. Redovisningsbyråer är ett exempel, de är ofta små företag som hanterar affärskritiska data för sina kunder, säger han.
Faror med outsourcing
Dagens säkerhetskrav är inte riktigt anpassade till den lilla organisationens förutsättningar. Säkerheten ska uppfylla prestandakrav utan att tynga ned personal och affärssystem med administration. Säkerhetsprogram har kritiserats för att vara bloatware som tynger ned servern med onödiga funktioner, använda mer processorkraft och krocka med andra program.
I dag handlar säkerhet mindre om att sälja nya programversioner och mer om att erbjuda en tjänst och vara en partner som utför riskanalyser. Det gäller att tänka på helheten för säkerheten så att produkter och licenser fungerar bra ihop som en helhet. Att få översikt och rådgivning om säkerheten kan passa småföretagare bättre.
– Fler och fler små och medelstora företag använder sig av olika hostingtjänster för exempelvis e-post, säljsystem och hemsidor. Det är ett dilemma eftersom de oftast delar miljö med en massa andra och beroende på konfigurationen så kan alla kunder bli drabbade om en av hemsidorna på samma server har dålig säkerhet, säger David Jacoby, säkerhetsexpert på Kaspersky Lab.
Jonas Lejon, teknisk chef på IT-säkerhetsföretaget Triop, påpekar att det gäller att ha koll på vilka avtal man ingår och vad dessa säger i detalj. Hur lagras data? Vilka leverantörer och underleverantöer används samt hur följer outsourcingleverantören upp till allt som avtalas om? Han påpekar också vikten av att se över att regelbundna backuper, patchningar och säkerhetskontroller görs.
– Hur ser det ut med fysisk separation, är all information placerad i ett och samma datorcenter eller används flera? Gäller det även backup och loggning? Finns separation av roller hos outsourcingfirman så inte samma personer som administrerar systemet även sköter övervakning och loggning? säger han.
Personalen en riskfaktor
Personalen är ett hot, oftast utan att ens veta om det. De kan lägga upp piratkopierad mjukvara utan licens på nätverket, använda en och samma usb-sticka till att flytta filer mellan datorer eller registrera konton med jobbets e-postadress. De klickar på länkar i mejl eller öppna bilagor från avsändare de inte känner, de kan gå in på webbsidor och utsätta sig för trojaner, spionprogram, keyloggers, spambotar och annan malware.
I mindre organisationer får systemadministratören ofta göra även nätverksoperatörens och projektledarens jobb. Det stora ansvaret kan göra en sysadmin till en risk om personen gör ett misstag, utpressas eller själv vill skada arbetsgivaren genom att lägga in bakdörrar och läcka lösenord. Det är särskilt viktigt att inventera och byta lösenorden när en så betydelsefull anställd slutar i ett mindre företag.
En formell IT-policy berättar för de anställda vad som är tillåtet och ger alla en insikt i varför säkerhet är viktigt, inte minst företagsledningen. IT-säkerhet kan fungera smidigt om det finns kontinuitetsplaner och hanteringsrutiner i ett nödläge, backuper som är aktuella eller lagring off-site. Enligt Symantec har 10 procent av alla småföretag en formell IT-policy.
Konsumentprylar öppnar dörrar
Det är inte lätt att hålla reda på alla sårbarheter i mjukvaran som installeras på nätverket. Webbläsaren kan vara uppdaterad men ändå bli smittad på en site därför att multimediaspelaren har en sårbar version. Patchar och säkerhetsuppdateringar kan komma i konflikt med annan mjukvara på systemet eller inte gå att konfigurera. Därför är det viktigt att ta bort mjukvara som inte länge används. Det kan leda till dyr nedtid att få en uppdatering att fungera.
- Guide från IIS om hur du skyddar ditt företag på nätet
- Datainspektionens guide om hur ditt företag måste skydda personuppgifter enligt lagen
- Har din e-post blivit kapad och finns ute på nätet? Här kan du kontrollera.
