«Selskapet står overfor en kontrakt med to konkurrenter på oppløpsiden. Hvordan vet man at konkurrentene ikke har vært inne og tappet selskapet for sensitive opplysninger?».

- Det vet man ikke hvis man står uten overvåkingsverktøy, sier Fodstad.

De fleste dataangrep kommer fra utlandet.

- Naturlig nok, med bare fem millioner innbyggere i Norge, er det et større hackermiljø utenfor landegrensene, sier Fodstad.

Man vet derimot ikke hvem som står bak angrepene.

- Det kan likeså godt være naboen eller en konkurrent fra det norske markedet som har leid hjelp utenfra, sier Fodstad. 

Han råder flere bedrifter til å sette av mer ressurser for å sikre sensitive data.

- Alt som gir bedriften konkurransefortrinn kan kategoriseres som sensitivt. Akkurat hva det er, vet som regel bedriftene best selv, forklarer Fodstad.

Øke datasikkerheten

Ved å foreta en sikkerhetsanalyse vil bedriften få oversikt over hva som beveger seg på nettverket, og hvilke potensielle trusler den kan være eksponert for.

- Det finnes store mørketall. I noen tilfeller kan det være vanskelig å vite om man har vært utsatt for et angrep. Vi har flere eksempler på bedrifter som er sjokkert over hvor eksponert de faktisk var, forteller Fodstad.

Det er viktig at bedrifter har et bevisst forhold til hva som er sensitiv informasjon.

- Informasjon som andre kan utnytte eller misbruke bør sikres. Det gjelder også personopplysninger om kunder og ansatte, sier Fodstad.

Når man har klassifisert sine data, vil en risiko- og sårbarhetsanalyse kunne avdekke hvor eksponert bedriftens informasjon er. Ut fra dette ser man hvilket sikkerhetsnivå bedriften ligger på, og man har et godt utgangspunkt for å justere og optimalisere IT-sikkerheten.

- Vanligvis engasjerer man spesialiserte IT-konsulenter med de rette verktøyene for å avdekke sikkerhetsmanglene, sier Fodstad.

Man kartlegger hvordan bedriften har organisert infrastrukturen og vurderer i hvilket omfang det vil skade bedriften om informasjon kommer på avveie.

- Å være hundre prosent fri for risiko er umulig. Bedrifter bør heller forsøke å optimalisere forholdet mellom risiko og investering, og avgjøre hvor mye risiko man tåler å være eksponert for, sier Fodstad.

Det finnes sikkerhetsløsninger i alle prisklasser, også for små og mellomstore bedrifter.

Vedlikehold og forsikring

Norske bedrifter gjør et godt stykke arbeid når det kommer til IT-sikkerhet, men flere svikter når det kommer til å drifte, overvåke og utføre nødvendig vedlikehold på sikkerhetsutstyret, ifølge Fodstad.

- Endringer skjer svært raskt. Allerede i morgen kan hackere ha knekt koden for det mislykkede angrepet de gjorde i går, advarer han.

Det er umulig å forsikre seg mot all potensiell datakriminalitet. Derfor bør man også ha gode løsninger for hva man gjør når ulykken først er ute. Har man løpende avtaler med et IT-selskap, bør man sette seg inn i hva som inngår i supportavtaler, juridiske tjenester og om sikkerheten blir tilstrekkelig ivaretatt.

- Hva sier avtalen om håndtering av eksempelvis omdømme, responstid og gjenoppretning av data ved et angrep? Alt dette bør selskapet vite noe om, sier Fodstad.

Cyberforsikring er et relativt nytt begrep i det norske markedet. Med en slik løsning vil man ha tilgang til akutt hjelp fra et incident response team (IRT) døgnet rundt dersom man skulle ha mistanke om å være utsatt for et dataangrep.

- Da vil bedriftens kostnader være dekket gjennom forsikringen, fremfor å måtte engasjere ekspertise fra et IT-selskap, sier Fodstad.