Tidsödande och krångligt. Så upplever många säkerhetsrutiner och åtgärder för att öka IT-säkerheten för sitt företag. "Troligen behöver man lägga många fler arbetsdagar på att städa upp och reparera skadorna om det blir ett intrång", säger säkerhetsexperten Carl Önne på Myndigheten för samhällsskydd och beredskap, MSB.
Publicerad 08 dec. 2020
När alltmer av administration, kommunikation och informationshantering sker på våra datorer och mobiler så ökar också riskerna för att obehöriga kommer åt informationen eller saboterar.
Att bromsa digitaliseringen går inte. Istället ska vi hantera riskerna och gå vidare med digitaliseringens fördelar
– Att bromsa digitaliseringen går inte. Istället ska vi hantera riskerna och gå vidare med digitaliseringens fördelar, säger Carl Önne som är specialist på informationssäkerhet på Myndigheten för samhällsskydd och beredskap, MSB.
– Men man måste göra det med riskmedvetenhet och kunskap. Ett intrång eller bedrägeri kan leda till stora problem för egenföretagare och hela företagets överlevnad kan hotas, säger Carl Önne som ser många möjligheter att öka sin IT-säkerhet även utan att införskaffa särskild programvara eller genomgå omfattande utbildningar.
Carl listar tre punkter för ett grundläggande skydd för sitt företags och ens privata datorer och mobiler:
1: Håll dina program och operativsystem uppdaterade.
2: Hantera dina lösenord på ett säkert sätt.
3: Säkerhetskopiera.
Han går igenom punkterna mer i detalj nedan:
– Mjukvaror som du använder kan innehålla sårbarheter som kan utnyttjas, men tillverkarna är angelägna att de där luckorna lagas allteftersom de upptäcks. Inte minst för att deras trovärdighet riskeras om produkterna förknippas med osäkerhet och fara. Därför är det viktigt att uppdatera sina program och appar och på det sättet täppa igen luckor och minska riskerna för sårbarheter. Och klicka aldrig på en okänd länk eller installera någon okänd programvara som kan innebära risker!
– Om du använder samma lösenord för en sajt som blir hackad så kan lösenordet spridas och användas för inloggning på dina andra, kanske mer känsliga, system. Använd exempelvis inte samma kombination till webbmejl, Facebook och ekonomisystemets lösenord. Det är viktigare att lösenorden är långa, minst tolv tecken, än att du byter ofta. Lägg gärna in ett specialtecken och blanda stor och liten bokstav. Har du möjlighet att använda tvåfaktorsautentisering, en slags dubbel inloggning, så gör det!
– För att minimera risken att information försvinner så måste man se till att den finns kopierad någonstans. Du kan tappa mobilen, hårddisken kan gå sönder och du kan bli bestulen. Tänk dig själv om du blir av med dina kundlistor, fakturor, reskontra eller viktiga förteckningar och vad det skulle innebära. Det finns flera molntjänster som Google Drive, Apples iCloud, Microsofts OneDrive med mera. Vill man inte använda molntjänster så kan man alltid ha en egen hårddisk för regelbunden kopiering av filer.
Fokusera på hur du lagrar din information säkert istället för att fokusera på riskerna som ändras
Man kanske inte tycker att man har tid med backup och säkerhetsrutiner i sitt företagande. Hur bör man tänka?
– Man kan tänka: hur skulle jag skydda den här informationen om den var på papper? Och så skydda den digitala informationen på samma sätt. IT-riskerna som man bombarderas med kan det vara dagsnotering på. Om man ska jämföra med trafiksäkerhet så skiljer sig riskerna beroende på väderlek, men du måste alltid ha uppsikt och anpassad framförhållning. Fokusera på hur du lagrar din information säkert istället för att fokusera på riskerna som ändras och verkar väldigt omfattande och för svåra att förstå.
MSB har flera guider och vägledningar för ökad informationssäkerhet som innebär att skydda information utifrån krav på dess konfidentialitet, riktighet och tillgänglighet:
* Tillgänglighet: Informationen ska alltid finnas åtkomlig.
* Riktighet: Informationen ska alltid gå att lita på. Den ska inte vara manipulerad eller förstörd.
* Konfidentialitet: Endast behöriga personer får ta del av information.
Läs mer på msb.se/tanksakert och informationssakerhet.se.
Även om jag gör allt rätt med programvara och lagring så kan jag väl bli lurad av IT-bedragare på annat sätt?
– Javisst, i ett telefonsamtal eller chatt med en person som framstår som trovärdig är det uppenbarligen många som delar information på ett sätt som kan vara skadligt. Det kan vara betalkort- eller kontoinformation. Man måste vara beredd att hantera en sån situation utan att hindras av sociala normer. Förbered dig på att svara något i stil med att "den typen av information delar jag inte med mig av. Men jag kan motringa eller skicka uppgifterna med post", säger Carl Önne och tipsar om två omständigheter som är typiska för bedragare:
1: En bedragare utnyttjar ofta stress och säger att det är bråttom att agera.
2: En bedragare utnyttjar dina sociala färdigheter emot dig. Många känner sig obekväma med att ifrågasätta och verka misstänkta.
Jag har aldrig varit med om att en legitim person inte accepterar att man vill följa sina egna säkerhetsrutiner
– Jag har aldrig varit med om att en legitim person inte accepterar att man vill följa sina egna säkerhetsrutiner och att det kan ta tid att fatta vissa beslut, säger Carl Önne som har erfarenhet av att de som agerar på säkerhet när de upplever att den behövs har en rimlig säkerhetsnivå.
– Exempelvis om man känner sig orolig för att lösenordet på sitt trådlösa nätverk är för enkelt eller på drift så är det förmodligen det och då ska man byta det.
Som egenföretagare bör använda olika mobiler privat och för företaget
På hemsidan Säkerhetskollen.se sammanfattar Stöldskyddsföreningen praktiska tips på hur man skyddar sin digitala information.
– En grundläggande säkerhetsdetalj är att man som egenföretagare bör använda olika mobiler privat och för företaget om man kan det. Som privat användare kanske du använder appar och besöker sidor som verkligen kan äventyra ditt företags verksamhet. Detsamma gäller för datorer, säger Carl Önne.
Text: Johan Boström
2020-12-10