På mindre företag ligger ofta fokus på tillväxt och lönsamhet, men det är sällan it-säkerhet är en lika prioriterad fråga. Samtidigt är mindre företag mer sårbara för angrepp och dataintrång. Begränsade ekonomiska resurser, ofta avsaknad av en it-ansvarig och mindre säkerhetsmedvetenhet hos personalen gör mindre företag till det perfekta målet.

Testa din egen säkerhet på Säkerhetskollen.se

Använder dig som språngbräda

Enligt Karl Emil Nikka, it-säkerhetsspecialist, författare samt utsedd till Årets säkerhetsprofil 2021, används småföretag som en språngbräda för att komma åt de större företagen, angriparnas verkliga mål. Det hela kan börja med ett mejl, menar Nikka.

– Om du som anställd på ett litet företag råkar ut för ett nätfiskemejl kan angriparen stjäla dina inloggningsuppgifter och använda ditt mejlkonto för att attackera större företag. En annan vanlig metod är att ditt konto på sociala medier blir kapat.

Därefter kan angriparen manipulera kommunikationen med dina kunder och samarbetspartners, och använda den för att sprida virus eller utföra nätfiskeattacker i ditt namn. Därför är det viktigt att se över vilka medarbetare som har åtkomst till företagets konton och säkerheten på dessa, samt att tvåfaktorsautentisering är aktiverat på alla plattformar där funktionen erbjuds.

Anpassas efter din betalförmåga

 Utöver nätfiske och dataintrång har utpressningsattacker (ransomware-attacker) mot småföretag blivit allt mer sofistikerade. Nikka förklarar att angripare till och med läser årsredovisningar för att anpassa sina krav därefter.

– Genom att granska årsredovisningar kan de anpassa lösensummor efter din betalningsförmåga om du har ett litet företag. Angriparna är i själva verket ute efter att göra de stora vinsterna på större företag, men använder ditt företag som en ingång.

Det är viktigt att poängtera att utpressningsattacker alltid ska anmälas till polisen, och att en begärd lösensumma aldrig ska betalas. I värsta fall kan betalning leda till ytterligare utpressning eller attacker.

– Utpressningsattacker är ett samhällsproblem. Så länge företag betalar lösensummorna kommer problemet att kvarstå.

Att drabbas av en incident får både kortsiktiga och långsiktiga konsekvenser. Kostnaderna för att återhämta verksamheten efter en utpressningsattack är i sig omfattande. Det handlar om att återställa datorer, kontakta leverantörer, och utreda om personuppgifter kan ha läckt. Samtidigt påverkas intäkterna negativt under den tid verksamheten står stilla.

Säkerhet ger konkurrensfördelar

Nikka betonar att it-säkerhet är helt avgörande för företag oavsett bransch, och att ingen går säker.

– I och med att alla verksamheter idag förlitar sig på digitala system har risken för angrepp ökat dramatiskt, och konsekvenserna blir ofta mer omfattande än tidigare.

Det finns därför många skäl till att ta it-säkerheten på allvar. Vid årsskiftet träder dessutom Cybersäkerhetslagen (även kallat NIS2) i kraft, vilket innebär att småföretag som investerar i sin it-säkerhet får en klar konkurrensfördel.

– Om småföretag ska kunna fortsätta vara leverantörer till stora företag eller vinna nya affärer måste de höja sin it-säkerhet, eftersom större företag blir nu skyldiga att ha koll på säkerheten i hela sin leverantörskedja.

Så vad är lösningen? En kombination av säkerhetsåtgärder och kontinuerligt arbete, där företaget ser till att både skydda information och öka medvetenheten hos sina anställda. Nikka föreslår fem grundläggande säkerhetsåtgärder som alla småföretag bör vidta:

De fem viktigaste säkerhetsåtgärderna för ditt företag:

1. Använd lösenordshanterare och tvåfaktorsautentisering

Människor är dåliga på att skapa och hantera lösenord, vilket innebär att säkerheten när det gäller lösenord ofta brister. Lösningen är sällan en strikt lösenordspolicy, eftersom policyn måste ta hänsyn till att det är människor som ska efterleva den. I stället kan du förse alla medarbetare med en lösenordshanterare eller aktivera Single Sign On (SSO) där det är möjligt, så att medarbetarna endast behöver komma ihåg ett enda lösenord. Kombinera detta med tvåfaktorsautentisering (2FA) för att ytterligare säkra företaget.

2. Minska mejlande

Mejl är ett osäkert kommunikationssätt och en stor källa till nätfiske, och bör därför helst undvikas. Mejla bara om du måste, och använd hellre säkra kommunikationssätt, exempelvis Microsoft Teams eller Nextcloud Talk.

3. Säkerhetskopiera enligt 3-2-1-principen

All viktig data ska säkerhetskopieras regelbundet och kunna återskapas. För att verkligen säkra upp din data rekommenderas du att följa 3-2-1-principen: Spara tre kopior av datan varav två kopior sparas på två olika medium. Molnlagring är ett bra alternativ, men se till att backuper också finns offline för att skydda mot utpressningsattacker eller större incidenter som brand och översvämningar. Spara aldrig viktiga filer lokalt.

4. Kontinuerlig utbildning av personalen

It-säkerhet handlar inte bara om teknik utan också om medvetenhet. Det räcker inte med en årlig utbildning av medarbetarna – säkerhetsfrågor måste bli en naturlig del av vardagen. Det kan vara så enkelt som att lyfta ämnet varje vecka, prata om aktuella händelser, varningar från Digitala Varningsgruppen, eller varför inte fästa aktuella nätfiskemejl som en påminnelse på insidan av toalettdörren. Om ni har ont om idéer finns poddar inom ämnet, exempelvis Bli säker-podden. På så vis håller ni frågan aktuell och minskar riskerna att drabbas.

5. Lyhördhet för medarbetarnas behov

Policys och rutiner måste vara praktiska att följa, och det krävs lyhördhet i båda riktningar. Om medarbetarna upplever att en rutin är svår att efterleva eller att den försvårar deras arbete, måste det finnas en dialog kring hur rutinen kan förbättras, och utrymme att lyfta idéer och synpunkter. Att involvera medarbetarna själva i it- säkerhetsfrågan stärker säkerhetskulturen och gör att fler följer riktlinjerna.