- For en utvikler som jobber med teknologi, burde det ikke finnes en eneste unnskyldning for ikke å vite hva som er de vanlige truslene og hvordan man håndterer dem, sier Paula Januszkiewicz, sikkerhetsekspert og CEO i CQURE Inc, til kode24.
Vi møtte henne på denne ukens Nordic Infrastructure Conference i Oslo.
De siste 17 årene har Januszkiewicz jobbet med penetrasjonstesting, "digital forensics" og hendelserepsons.
For rundt 13 år siden startet hun CQURE Inc., som i dag har over 50 ansatte fordelt over Polen, Sveits, Dubai og New York.
Trump-hacker Edwin van Andel til kode24: - Pentesting er gammeldags!
Stor økning i cyberangrep
Samtidig som store deler av verden måtte jobbe hjemmefra som følge av koronapandien, skøyt antallet cyberangrep i været.
FBI uttalte i 2020 at siden begynnelsen av koronapandemien, hadde cyberangrep økt med så mye som 300 prosent. Ifølge Interpol var økningen på hele 569 prosent.
- Selskapene vet ikke hvordan de skal respondere. Men angrep vil skje. Derfor må vi vite hva truslene er, for å minske dem, sier Januszkiewicz til kode24 i Oslo Spektrum.
- Hva er de største sikkerhetsutfordringene på hjemmekontoret?
- Den største utfordringen er om jobbdataen din blir brukt av familiemedlemmer eller andre. Men det er også å ikke filtrere eller følge med på hvilke prosesser som foregår på arbeidsstasjonen din. Eller at du ikke tar grep for å forhindre at det går an å kjøre ukjent kode, sier hun.
«Ansatte har kommet til oss og sagt: Vær så snill, overbevis sjefene våre om hvorfor cybersikkerhet er viktig»
Få deg VPN!
Januszkiewicz mener det er viktig å ha mulige trusler i bakhodet når ser på hvordan beskyttelsen håndheves.
- For eksempel hvordan man overvåker at phishing-mailer ikke starter nye prosesser. Det er i utgangspunktet ikke vanskelig å håndtere end point-sikkerhet. Men du må analysere og følge med, sier hun.
VPN er også et enkel grep som hun mener er en del av den obligatoriske cybersikkerhetskunnskapen alle ansatte burde ha.
- Men noen selskaper har bare en VPN på selskapets egne enheter, som ikke kan brukes på personlige enheter, sier Januszkiewicz.
Lær deg god sikkerhetsfornuft
- Det er ofte flere enheter på samme hjemmenettverk, noen av dem kan være dårlig beskyttede smartenheter. Hvordan kan man beskytte seg her?
- Ved å bruke sunn sikkerhetsfornuft, som innebærer kunnskap om at alt som omgir deg må bli godkjent av deg. Eller at om du er tilkoblet selskapet med VPN, så kan det være en inngang for hackerne, via det som kjøres på din maskin.
Et annet angrepspunkt kan være mangelen av multifaktor autentisering.
- Eller at du har multifaktor autentisering, men at noen tar over kredentialene dine, og får tilgang på selskapets ressurser. Så har du selvfølgelig sårbarheter og DDoS-angrep.
Mattis har vært på sikkerhetskonferansen Paranoia: - På tide å se til Nederland?
Alle ansatte må ta sikkerhetskurs
Hun mener det er et "must" for alle ansatte å få trening i sikkerhetsbevissthet. Ifølge henne innebærer et godt kurs kunnskap om nettverk- og WIFI-sikkerhet og passordhygiene. Hun påpeker at mange selskaper har startet med dette allerede.
- De selskapene som ikke har det, kommer til å gjøre det. Ansatte har kommet til oss og sagt: Vær så snill, overbevis sjefene våre om hvorfor cybersikkerhet er viktig. Sikkerhetsbevissthet starter på toppen av selskapet, sier Januszkiewicz.
For henne er det viktig at ledelsen i dagens selskaper regner cybersikkerhet for å være både en business- og operasjonell risiko.
- Dersom du ikke kan håndtere sikkerheten, betyr det at du ikke håndterer risikoen for selskapet godt nok. Da er noe galt.
- Dette er ikke bare en åtte til fire-jobb. De kriminelle sover ikke
Ikke dropp hjemmekontoret
- Er trusselen på hjemmekontoret så høy at det egentlig ville være sikrere å få ansatte til å jobbe fra kontoret?
- Nei. Det burde ikke bety noe. I dag har hjemmekontor blitt en del av hverdagen. I dag, særlig i teknologibransjen, leter man etter talent i utlandet som følge av mangelen på ansatte. Ideen om arbeid forandrer seg. Selvfølgelig er det fint å være på kontoret, men de som ikke vil, bør ikke bli regnet som en risiko for selskapet - tvert om en mulighet.
Januszkiewicz legger til at når vi opplever endringer slik vi gjør nå, for eksempel i arbeidemåte eller av applikasjoner, skapes det alltid muligheter for hackerne.
- Jeg tror at angrepene vil øke. Ikke alle selskaper vil håndtere dette bra, men jeg tror at vi lærer av våre feil og til slutt blir motstandsdyktige, sier hun.