Hele seks av ti norske virksomheter tillater ansatte å bruke privat datautstyr for å ha tilgang til jobbens systemer for skylagring og e-post. Å bruke privatutstyr til jobb og jobbutstyr privat utgjør en stadig økende risiko. Virksomhetene må ha klare regler for denne bruken, advarer nå NorSIS.
– Spesielt i sommerferien bruker mange privat mobil eller PC for å sjekke jobbens e-post eller jobbens mobil for å laste ned private apper. Da er mange virksomheter mer sårbare for at ansatte har med seg ondsinnet programvare når de kommer tilbake fra ferie, sier seniorrådgiver i NorSIS, Ole Anders Ulsrud.
De har fått utført en undersøkelse blant norske ledere om hvordan de beskytter sin virksomhet mot angrep fra private mobiler og PC-er som blir brukt i jobbsammenheng eller virksomhetens PC-er og mobiltelefoner som blir brukt til private gjøremål.
Uskyldige apper kan gi store GDPR-bøter
Det kan være noe så enkelt som at ansatte laster ned en app på telefonen. Mange apper ber om tilgang til kontaktinformasjon, bilder, dokumenter, telefonlister, kommunikasjon og lignende for å virke best mulig.
– Dersom noe av dette inneholder virksomhetens personopplysninger som den ansatte deler uforvarende med apputviklerne, kan virksomheten bryte GDPR-reglene og risikere høye bøter, sier Ulsrud.
Lær deg og beskytt din bedrift mot angrep via private mobiler, eller jobbutstyr som brukes privat: Bestill Nasjonal Sikkerhetsmåneds opplæringskurs som er gratis for alle småbedrifter her
Skremmende mange tillater nedlasting av private apper på jobbutstyr
Hele tre av ti norske ledere oppgir at deres virksomheter tillater at de ansatte laster ned private apper og programmer på jobb-PC eller -mobil uten at det foreligger godkjenning.
– Dette er skremmende høye tall som det må gjøres noe med. Den stadig økende sammensmeltingen mellom jobb og privatliv er en angrepssektor som ofte er svært effektiv for de cyberkriminelle å benytte seg av, mener Ulsrud.
Et av temaene i stor kampanje
Hvert år arrangerer NorSIS i samarbeid med Nasjonal sikkerhetsmyndighet (NSM) og en rekke andre private og offentlige aktører Nasjonal sikkerhetsmåned. Dette er et EU-prosjekt som gjennomføres i en rekke land i hele Europa. I år er sikkerhetsutfordringene ved å bruke datautstyr både på jobb og privat et av flere aktuelle temaer som står på agendaen.
Tilbyr gratis opplæring for bedre datasikkerhet
– Denne økende utfordringen og hvordan virksomhetene skal håndtere dette har vi lagt inn i opplæringskurset for norske virksomheter som vi oppfordrer alle å gjennomføre i løpet av Nasjonal sikkerhetsmåned i oktober. Kurset er gratis for alle virksomheter med under 20 ansatte, og er utviklet av NorSIS. Et gjennomført kurs vil garantert gjøre den enkelte virksomhet mindre utsatt for mulig ødeleggende dataangrep, svindel og sosial manipulering, sier Ulsrud.
Ekstra utsatt for svindel om sommeren
Ifølge Peter Granlund, informasjonssikkerhetssjef i forsikringsselskapet If, som forsikrer mange norske virksomheter mot datakriminalitet, begynner ofte et cyberangrep med nettopp en e-post mot en bruker og dennes utstyr.
– Om arbeidsgiveren ikke eier eller har kontroll på sikkerheten i denne type privat utstyr, er risikoen stor for at sensitiv virksomhetsinformasjon lekker ut eller at ansatte har med seg skadelige koder når de kommer tilbake etter ferien, sier Granlund.
Han tror at risikoen for å bli svindlet i sommerferien er ekstra stor.
– Vi leser ofte e-post på mobilen. Det gir deg ofte ikke like lett tilgang til informasjon om avsender, for eksempel en websides fulle adresse. Kanskje vel så viktig er det at vi er i feriemodus, og ikke er så oppmerksomme på signalene om at det er en e-post med ondsinnet innhold, sier Granlund.
Bruker jobbens e-post til privat pålogging
I lederundersøkelsen fremgår det at det er PC-er og mobiltelefoner som vil utgjøre de største digitale truslene mot virksomhetene i årene fremover. Likevel er det svært mange som mangler rutiner for å sikre seg mot angrep.
– Som et eksempel vet vi at bruk av bedriftens e-post til ulike kontoer er noe som kan utgjøre en sikkerhetsrisiko. Likevel oppgir bare en av tre ledere (35 %) at de har rutiner for at de ansatte ikke skal bruke jobbens e-post til å opprette private brukerkontoer. Det er helt åpenbart at mange virksomheter synes dette er vanskelig. Derfor håper vi at flest mulig benytter seg av gratiskurset vi har utviklet i samarbeid med myndighetene for å bli litt sikrere, sier seniorrådgiver i NorSIS, Ole Anders Ulsrud.