Checklista för företagare: Så här skyddar du dig mot cyberattacker

Nätfiske och cyberattacker är ett bekymmer för alla företag. Du kan dock förbereda dig på dem. Och om det värsta skulle hända är det dags att agera.

Nätfiske och överbelastningsattacker förekommer hela tiden, men lyckligtvis fångar brandväggarna upp de flesta attackförsök. Till exempel Cybersäkerhetscentret upptäcker tusentals skadeprogram varje månad.

Enligt Fennias underwriter Artturi Mikkonen är hotnivån för attackerna fortfarande hög och situationen blir inte lättare.

– Det värsta är utpressningsprogram. När ett skadeprogram får tillgång till systemen försöker det samla in information som företaget använder i det dagliga arbetet, till exempel kunduppgifter. Därefter utsätts företaget för utpressning eller så läcks informationen ut. Det vanligaste scenariot är att utpressningsprogrammen krypterar företagets uppgifter och ”nyckeln” används för att pressa företaget på pengar, säger han.

Vilka är de viktigaste metoderna för att förebygga attacker för små och medelstora företag?

Listan är kort men effektiv: uppdateringar av hård- och mjukvara i realtid, brandväggar, säkerhetskopiering av affärskritiska data från produktionssystemen till separata system, flerfaktorsautentisering , utbildning av personalen, krisplaner och cyberförsäkring.

Utbilda personalen regelbundet

Uppdateringar, brandväggar, säkerhetskopiering och flerfaktorsautentisering är grundläggande faktorer som nästan alla företag har ordning på.

Däremot är utbildningen av personalen fortfarande bristfällig. Datasäkerhet och hot bör diskuteras regelbundet efter arbetstagarnas introduktionsfas. Dessutom måste anvisningarna vara tydliga. En av de mest riskfyllda perioderna är sommaren, då företaget kan ha anställt sommarjobbare.

Mikkonen säger att företagets personal inte bara är dess starkaste utan också dess svagaste länk.

– Dataläckor av olika slag orsakas lätt av mänskliga fel eller försummelser. Information kan till exempel skickas till personer som den inte borde skickas till. Det viktigaste är att se till att endast de personer som verkligen behöver tillgång till kritisk information i sitt arbete har tillgång till den, säger han.

Krisplaner måste finnas på plats

Tänk om något händer? Företaget måste ha en kris- och kontinuitetshanteringsplan på plats i händelse av en cyberattack. Vem ansvarar för att börja utreda situationen? Hur informeras personal, kunder, andra intressenter och myndigheter om attacken? Hur säkerställs kontinuiteten i verksamheten?

– Du bör reagera omedelbart på en cyberattack. Kontinuitetshantering är viktigt, och lagen kräver också att en attack anmäls till myndigheterna inom 72 timmar om personuppgifter har stulits eller om det har förekommit någon annan informationssäkerhetsincident som hotar de registrerades rättigheter, säger Mikkonen.

Företaget bör teckna en cyberförsäkring

Att öka personalens medvetenhet är en sak, men en annan viktig del av beredskapen är att komplettera skyddet med en försäkring.

Enligt Mikkonen har endast några få procent av företagen tecknat en cyberförsäkring, även om efterfrågan på dem har ökat sedan början av året. Med hjälp av till exempel Fennias cyberförsäkring kan företaget gardera sig mot kostnader och minimera skador som orsakas av skadeprogram, överbelastningsattacker, datastöld eller mänskliga misstag.

Läs mer om vad en cyberförsäkring kan ersätta och vad Datasäkerhetsassistans 24h innebär.

– Vanliga försäkringar täcker ofta inte de risker som är förknippade med digitalisering, eftersom de vanligtvis är utformade för att täcka andra typer av risker, såsom brand, bräckage och andra materiella skador. Avbrottsförsäkringen för företag är ett bra exempel på detta, säger Mikkonen.

Kontrollera avtalen med din servicepartner

Ett utlokaliserat IT-partnerskap innebär inte att man utlokaliserar problemet. Experten påpekar att en extern servicepartner levererar den tjänst som har avtalats.

– Det är inte säkert att till exempel informationssäkerhetsincidenter ingår i tjänsten eller så faktureras de separat. Företagare bör särskilt kontrollera ansvarsfrågorna i serviceavtalet och tjänstens innehåll, säger Mikkonen.