Trygghet og kvalitet er de viktigste bærebjelkene hos Entreprenør Harald Nilsen AS, enten det bygges leiligheter, forretningsbygg eller skoler. Da er det en selvfølge at også datasikkerheten har høy prioritet.
– Tiltakene som vi har iverksatt handler i bunn og grunn om få på plass en god sikkerhetskultur i bedriften vår, og på den måten ta vare på både egne og kunders verdier. Det sier daglig leder hos Entreprenør Harald Nilsen AS, Halvdan Heggheim.
Mange rammes
Bedriften hans er et godt eksempel på en av Serit Etleles kunder som tar datasikkerheten på høyeste alvor. Hver eneste dag rammes store og små bedrifter av løsepengevirus og andre typer dataangrep. Det skjer mye oftere enn de fleste kanskje tror, for de færreste av oss har vel lyst til å fortelle omverdenen at vi har blitt lurt, eller har blitt utsatt for datasvindel uten at vi engang oppdaget det selv.
Den største trusselen
Heggheim er langt fra alene når han sier at dataangrep og hacking, som i verste fall setter systemer ut av drift, er den største sikkerhetstrusselen for bedrifter. Bransjen hans har i mange år fokusert på å utvikle gode HMS-systemer. Nå er det viktig for entreprenøren å være i front også når det kommer til informasjonssikkerhet. Derfor har bedriften gjort en rekke tiltak for å beskytte sin virksomhet.
– Vi vet veldig godt hvilke lover og forskrifter, kundekrav og forventninger som gjelder i bransjen vår. Datasikkerhet har ikke vært prioritert på samme måte som HMS. Nå ser vi behovet, vi ser jo alle hvordan dataangrep rammer bedrifter hardt, sier Heggheim.
(saken fortsetter under bildet)
Et absolutt krav
Å ivareta kunders eller byggherrenes krav og forventninger på forsvarlig vis, er dessuten et helt nødvendig og absolutt krav. Data skal beskyttes på en forsvarlig måte.
– Harald Nilsen er god på bygging, og ikke så god på IT. Vi var tidlig ute med å få med oss en ekstern IT-aktør som gir oss råd og vink. Som kan bistå oss når våre interesser i IT-hverdagen skal ivaretas. Det er viktig at en IT-leverandør, som et minimum, skal følge vår policy for informasjonssikkerhet. Samtidig må dette være en aktiv sparringspartner når våre sikkerhetsløsninger skal evalueres og eventuelle forbedringer skal på plass, fastslår Heggheim.
Phishing-mail
Omtrent halvparten av sikkerhetsbruddene i norske virksomheter skyldes menneskelige feil. Det er kun et klikk eller to, og en nedlastning av et ukjent vedlegg i en e-post, i et Facebook- eller en SMS, som skal til for at hele IT-systemet til bedriften kan bli kryptert og satt ut av spill. Sikkerhetssjef i Serit Eltele, Steinar Opdahl, nevner løsepengevirus som en av de virkelig store digitale truslene mot både små og store bedrifter.
– De fleste av oss har sikkert både fått tilsendt og hørt om phishing-mail, som sendes ut via e-post eller sms. Målet til avsenderen er å få tilgang til brukerinformasjon for å kunne hente ut data fra systemer. Det skjer ved at du blir forsøkt lurt til å oppgi informasjon du ellers ikke ville gitt fra deg. For eksempel finansielle opplysninger, som bankkort og annen betalingsinformasjon eller brukernavn og passord. Husk på at en seriøs aktør vil aldri be noen oppgi passord til nettbank eller annen sensitiv informasjon via en lenke på e-post eller sms!
Alle bedrifter er potensielle mål
Og tenker du at din bedrift ikke er et attraktivt mål for nettkriminelle, så må du tenke om igjen, ifølge Opdahl. Alle bedrifter har verdier som kan misbrukes på en eller annen måte.
– Det er ikke engang sikkert at det er akkurat din bedrift som er målet for dataangrepet, men din bedrift kan være en kanal inn til en annen bedrift eller samarbeidspartner. Informasjonssikkerhet viktig uansett om du er liten eller stor eller hva du driver med, sier han.
Sikkerhetskultur bygges av ledelsen
Halvdan Heggheim sier at for Entreprenør Harald Nilsen AS handler sikkerhetsfokuset i bunn og grunn om få på plass en god sikkerhetskultur i bedriften, og på den måten ta vare på både egne og kunders verdier. Denne kulturen er det ledelsen som bygger.
– Det må på plass en felles intern forståelse av trusselbildet og for hvordan trusselbildet påvirker målene våre. Ansatte bør ha nok kunnskap om både datasikkerhet og trusler til å kunne gjenkjenne mulige dataangrep og forsøk på svindel. I tillegg bør de være i stand til å gjøre gode preventive tiltak ut fra sin arbeidssituasjon, som for eksempel fornuftig håndtering av passord, sier Heggheim, og nevner totrinns-verifisering som et av flere viktige tiltak.
Viktig erkjennelse
– Totrinnsverifisering tok vi i bruk før Covid-19 og hjemmekontor-situasjonen. Tilgangsstyring i interne systemer er et annet godt prinsipp. Det er ikke alle som trenger tilgang til alt. Når det er sagt, er det aller viktigste tiltaket hos oss er likevel å erkjenne utfordringene og få på plass et internkontrollsystem for informasjonssikkerhet som baseres på internasjonale standarder. Dette er også noe vi jobber med å få på plass, sier Heggheim.
Steinar Opdal beskriver entreprenøren som en kunde som har tatt i bruk de beste tekniske tiltakene for å beskytte sine verdier.
– Som et generelt tips til alle virksomheter vil jeg si at grunnleggende kunnskap internt, bruk av totrinnspålogging, sterke passord, virusbeskyttelse, gode backup-løsninger og åpenhet om feil langt på vei beskytte bedrifter mot angrep. Dette er tiltak som er fullt mulig for alle bedrifter å få på plass.
