KURSDOKUMENTASJON 3D INFORMASJONSSIKKERHET HVORDAN KAN DU BIDRA TIL EN SIKRERE DIGITAL HVERDAG? Senior manager Håkon Lønmo, BDO Den norske Revisorforening Agenda DEL 1 Sikkerhet og risiko DEL 2 En tryggere digital hverdag Informasjonsverdier Trusler Sårbarheter Hendelser Nettvettregler Hvordan gjenkjenne nettfiske Revisors rolle Illustrasjoner i presentasjonen der ikke annet er oppgitt: BDO. Side 2
3 DEL 1 Sikkerhet og risiko knyttet til informasjonsverdier - Relevant for deg som revisor? Side 4
Hva er egentlig sikkerhet? Side 5 Informasjonssikkerhet Konfidensialitet: Å sikre at informasjon og informasjonssystemer bare er tilgjengelig for dem som skal ha tilgang. Integritet: Å sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige. Tilgjengelig: Å sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt. Side 6
Hva er risiko? Side 7 Side 8
Informasjonsverdier Finansielle verdier Kontraktsforhandlinger Markedsstrategier Forskning og utvikling Sensitive transaksjoner Personopplysninger Sensitive kundeopplysninger E-post PC og telefon Digitale tjenester Side 9 Trusler Tyveri/innbrudd Utro tjenere Direktørsvindel Løsepengevirus (kryptering av filer) Utpressing Informasjonslekkasjer Industrispionasje Side 10
Sårbarheter Lav bevissthet Manglende rutiner Utnytter svakeste ledd Passord Sikkerhetshull i programvare Sosial manipulering Side 11 Hendelser Kilde: vg.no 18.04.2016 Kilde: e24.no 30.03.2018 Kilde: dn.no 19.10.2015 Kilde: digi.no 07.11.2017 Side 12
Globalisering gir økt sårbarhet Metabo Norge AS 10 ansatte Driftsinntekter 44 millioner (2017) Heleid av tyske Metabowerke Gmbh Spredning av datavirus fra salgskontor i Ukraina Kilde: digi.no 14.07.2017 Side 13 Internett glemmer aldri Kilde: dagbladet.no 30.05.2017 Side 14
Personvern Finnes det en skriftlig oversikt over alle personopplysninger virksomheten behandler? Finnes det en dokumentert risikovurdering av alle behandlinger? Finnes skriftlige rutiner for innsyn og sletting? Har dere skriftlige rutiner for internkontroll og er informasjonssikkerheten dokumentert? Gjennomføres det regelmessig sikkerhetsrevisjoner? Er det inngått databehandleravtale med virksomheter som behandler personopplysninger på virksomhetens vegne, eksempelvis IT-leverandører, morselskap? 3D Hvordan kan du bidra til en sikrere digital hverdag Side 15 DEL 2 En tryggere digital hverdag - Vårt felles ansvar! Side 16
Tenk over På jobb Hva du sier/skriver Hvor du sier/skriver det Hvem du kommuniserer med Kundemøter Privat På reise Sosiale medier Side 17 Nettvettregler 1. Følg rådene for sikker pålogging 2. Hold operativsystemer og programmer oppdatert 3. Ta sikkerhetskopi 4. Bruk brannmur og antivirus 5. Tenk før du klikker 6. Tenk over hva du deler 7. Ta ansvar vær åpen om hendelser 8. Vær en venn på nett 9. Unngå å falle for fristelser Side 18
1 Følg rådene for sikker pålogging Aktivér 2-trinns bekreftelse for alle brukerkontoer på nett der det er mulig. Lag unike passord for alle brukerkontoer. Ta gjerne utgangspunkt i en sang og legg til noe unikt for hver tjeneste. Skriv gjerne passordene ned på et papir som du lagrer på et trygt sted. De passordene du bruker ofte, bør du memorere. Bruk en passordmanager om du er komfortabel med det. Side 19 2 Hold operativsystemer og programmer oppdatert Sørg for at operativsystemet på alle dine enheter som datamaskin, mobil og nettbrett alltid er oppdatert. Sørg for at installerte programmer og apper også er oppdaterte. Slå på automatiske oppdateringer der dette er mulig. Side 20
3 Ta sikkerhetskopi Sørg for at du tar jevnlig sikkerhetskopi av de viktigste filene dine. Husk at dette må gjøres for alle enhetene dine. Bruk gjerne en lagringsenhet som kan være tilkoblet datamaskinen eller mobilen ofte, og som støtter automatisk kopiering. Dette kan gjerne være en skytjeneste. Bruk også gjerne en ekstern harddisk, som du kopierer manuelt til med jevne mellomrom og som du oppbevarer adskilt fra datamaskinene din, på et trygt sted. Side 21 4 Bruk brannmur og antivirus De fleste operativsystemer har dette innebygd, men man må selv forsikre seg om at det er skrudd på. Side 22
5 Tenk før du klikker Svært mye av svindel og virus når oss gjennom e-post. Ta deg tid til å tenke gjennom følgende: Har jeg forventet denne e-posten? Stemmer avsenderadressen? Ser selve meldingen troverdig ut? Ser lenker og vedlegg trygge ut? Klikk aldri på lenker i e-post og sms for å legge inn personopplysninger på siden du kommer til. Gå heller inn på virksomhetens nettside. Sjekk at forbindelsen er kryptert når du legger inn personlig og sensitiv informasjon på nett (i nettbanken, nettbutikker og andre sider hvor du har en brukerkonto). Adressen til nettstedet skal da starte med https i stedet for http, og ha en grønn hengelås i adressefeltet. Spiller innholdet i meldingen på følelser som tillit, frykt eller fristelser, samtidig som den prøver å få deg til å gjøre noe, så er dette kjente tegn på svindelforsøk. Side 23 6 Tenk over hva du deler Vurdér hvordan du fremstiller deg selv på ulike sosiale medier. Vær bevisst på hva slags personlig informasjon du publiserer. Forvent at alle kan se informasjonen du deler, både om jobb og privatliv. Ikke legg ut informasjon om venner eller kolleger uten tillatelse. Side 24
7 Ta ansvar vær åpen om hendelser Alle kan bli lurt. Fortell dem rundt deg om trusler og farer du har opplevd. Åpenhet sprer kunnskap og trygghet, uten å spre frykt. Åpenhet gjør det mindre skamfullt å være et offer for kriminalitet på nett. Rapportér sikkerhetsbrudd, hendelser og trusler du opplever på arbeidsplassen til nærmeste leder eller IT-ansvarlig. Å anmelde datakriminalitet er svært viktig for at politiet skal kunne bekjempe denne type kriminalitet. På nettvett.no kan du finne et forenklet skjema for anmeldelse av datakriminalitet. Side 25 8 Vær en venn på nett Vær kritisk og sørg for at du kan stå for det du legger ut! Publisér kun ting du ville sagt ansikt til ansikt. Opplever du at noen oppfører seg dårlig mot deg på nett? Ikke svar. Blokkér og rapportér! Hvis du blir trakassert, uthengt, ekskludert eller liknende på nett, ta vare på bevis, for eksempel ved å ta skjermbilde. Trusler og trakassering, på nett eller i annen form, er brudd på norsk lov, og bør meldes til politiet. Oppdager du at noen utsettes for mobbing, vær en venn, ta ansvar og si ifra. Side 26
9 Unngå å falle for fristelser Vær oppmerksom dersom: noe virker for godt til å være sant da er det gjerne det! du mottar tilbud på produkter som er tilnærmet eller helt gratis mot at du oppgir personlig informasjon. du mottar e-poster som oppgir at du har vunnet store pengebeløp eller at du har fått «tilbakeført» et pengebeløp du i utgangspunktet ikke kjenner til. Side 27 Nettfiske ID-tyveri Svindlerne er ute etter Passord Kredittkort Personopplysninger Kilde: BDO AS 2018 Side 28
Nettfiske Passord til e-post Kilde: BDO AS 2018 Side 29 Nettfiske Nettbanksvindel Kilde: danskebank.no 2017 Side 30
Telefonsvindel Kilde: tv2.no 26.11.2017 Side 31 Løsepengevirus - vedlegg Kilde: BDO AS 2018 Side 32
Løsepengevirus - lenke Fra: Telenor Mobil [mailto:epost@telnor.no] Sendt: 7. februar 2017 04:14 Til: Emne: Faktura Fra Telenor Norge AS, Mobil 4719078395896 Kilde: ba.no 07.02.2017 Side 33 Løsepengevirus - lenke Kilde: tv2.no 15.10.2015 Side 34
Sesongbasert svindel Kilde: nrk.no 12.07.2017 Side 35 Revisors rolle Nær kontakt med virksomhetens ledelse Tillitsforholdet kan misbrukes av svindlere Må sikre at ikke kundeinformasjon kommer på avveie Oppbevaring av dokumentasjon og brev i minst 10 år (revl. 5-5) Refleksjon rundt sikring av virksomhetens (informasjons-)verdier Har virksomheten verdier med et spesielt beskyttelsesbehov? Har virksomheten vært utsatt for sikkerhetsrelaterte hendelser? Fremkommer det tydelige mangler ved virksomhetens sikkerhet eller beredskap? Har virksomheten nylig gjennomført store endringer som kan påvirke sikkerhetsrisiko? Side 36