Ansatte på hjemmekontor og sterk økning i dataangrep utgjør en betydelig risiko for norske bedrifter og offentlige institusjoner. Løsningen er å snu trusselen mot de ansatte til en fordel.
– De aller fleste lekkasjene forårsakes av de ansatte, forklarer Tormod Ree, CEO i Ava Security.
Dette kommer i motsetning til den allmenne oppfattelsen om sikkerhetsbrudd i datasystemer: at det gjerne er et sofistikert datavirus som klarer å hente ut den sensitive informasjonen. Statistikken forteller nemlig at 90 prosent av lekkasjene er forårsaket av menneskelig feil eller uforsiktighet.
Samtidig viser nyhetsbildet at stadig mer sensitiv informasjon havner i feil hender.
Millionbeløp
– Slike lekkasjer kan få store konsekvenser for bedrifter, og gjerne dreie seg om økonomiske tap opptil hundretalls av millioner, beskriver Ree.
De som er ute etter informasjonen er oftest profesjonelle aktører som ønsker økonomisk vinning. Disse vil enten forsøke å selge informasjon, drive utpressing, eller bruke informasjonen for å selv hente ut verdier.
– Andre ganger kan datasikkerheten handle om samfunnskritiske funksjoner, eksempelvis i offentlig sektor, hvor det er statlige aktører som er interessert i informasjonen eller påvirke på annen måte, forklarer Ree.
Mennesker er det svakeste leddet
– Bedrifter har historisk vært veldig flinke til å bygge brannmurer og holde individer utenfor systemene. Nå ser man at dette ikke lenger er like effektivt, spesielt med den økende graden av hjemmekontor, forklarer Ree videre.
Med hjemmekontor blir det mer utfordrende å ha fysisk kontroll på flyten av data, og sikkerheten er sterkere knyttet til sluttbrukerne – de ansatte i bedriften.
Ava Security har derfor en annen innfallsvinkel, med løsningen Ava Reveal. Løsningen, som består av både programvare og rådgivningstjenester, hjelper bedrifter med å beskytte seg mot datalekkasje.
– Lekkasjen kan være av et mangfold av data – sensitiv informasjon, forretningshemmeligheter, eller datasett med personopplysninger. Uansett handler det om at virksomheten ønsker å ha kontroll på informasjonen, og at den ikke havner i feil hender.
Ree fortsetter å forklare at sikkerhetsløsningen tar utgangspunkt i tre innfallsvinkler rundt datasikkerheten: brukeren, bedriften, og kontroll på transaksjon av filer.
– Vi begynner med de daglige brukerne – de ansatte.
Løsning for å snu trussel til fordel
Mange anser brukerne som en trussel, men Ava mener ansatte kan snus til å bli den største fordelen.
– Ansatte sliter nå med å forholde seg til alle retningslinjene. Hvilke lenker kan man bruke? Hvordan skulle fildeling foregå? Hvilke nettverk er trygge og ikke trygge?
Ava Reveal inneholder derfor en hendelsesbasert opplæring for de ansatte, hvor brukerne får fortløpende informasjon om hendelsene på egen PC. De kan dermed få direkte tilbakemelding på skjermen om de prøver å dele filer via ikke-godkjente skytjenester, forsøker å kopiere personopplysninger inn i en e-post, og lignende hendelser.
Andre innfallsvinkel er rettet mot bedriftens egne rutiner, forklarer Ree.
– Vi hjelper bedriftene å følge opp og etterleve de retningslinjene de ofte har på plass for datasikkerhet, men som ofte kun finnes på papiret og ikke etterleves i praksis. Dette gjør at de også kan etterleve eventuelle eksterne krav om compliance, eller aktuelle reglement rundt personvern.
Et tredje tiltak handler om en kontinuerlig kontroll av transaksjon av data, informasjon og filer.
– Dermed kan vi stoppe dette før informasjonen kommer på avveie, ved at programvaren automatisk stanser overføringen eller opplastingen.
I sum kan Ava altså lære opp ansatte, hjelpe bedriftene med å ha riktige tiltak, og stoppe lekkasjene når de observerer at det skjer.
I et datalandskap med stadig mer sofistikerte angrep, og mer informasjon på avveie, ser Ree likevel en positiv utvikling i bevisstheten rundt datasikkerheten.
Økt bevissthet
– Vi ser en trend i at virksomhetene forstår nødvendigheten av å involvere ansatte i prosedyrene, og at det ikke kun sikres av programvare på bakrommet. I tillegg ser vi at IT-sikkerhet er noe som er integrert i alle ledd av bedriften: det er tema i toppledelsen, og en del av den styrende agendaen.
Ava Security leverer også pakker innen fysisk sikkerhet, og Ree ser at de mest sikkerhetsbevisste kundene er flinke på å kombinere datasikkerhet på nett med fysiske tiltak.
– Fremtidens angrep vil gjerne være hybride angrep – en blanding av nett og den fysiske verden – og det er derfor vi ønsker å tilby begge deler. Uansett gjør vi det vi kan for å bidra til økt datasikkerhet, sier Ree avslutningsvis.
Av Morten Risberg