Det sier Henrik Brandt. Han er cyberekspert hos Crawford and Company som jobber med skadehåndtering for bedrifter som er utsatt for dataangrep.
E-postfilter stopper en del
– Gode e-postfilter stopper mange av forsøkene bedrifter utsettes for så eiere og ansatte ikke merker det, men mye slipper også gjennom, sier Arnstein Heimset. Han er risikoingeniør og jurist i Frende Forsikring.
– Når det havner i innboksen er det folks evne til å gjenkjenne svindelen som avgjør hvor galt det kan gå, sier han.
Alltid noen som lar seg lure
I en ny undersøkelse Sentio har gjort for Frende blant 602 bedriftsledere, sier 64 prosent at bedriften deres har vært angrepet eller forsøkt svindlet med ondsinnet e-post. Ytterligere tre prosent sier at de ikke har oversikt nok til å svare.
– De fleste vellykkede angrepene vi håndterer har trolig startet med at noen sender ut flere hundre tusen e-poster. De kriminelle vet at det alltid er noen som ikke har gode nok systemer, og som lar seg lure, sier Henrik Brandt.
– Dessverre blir angrepene mer og mer sofistikerte og det blir vanskeligere å se hva som er ekte og hva som er falskt, sier han.
Så mye koster et angrep
Hvor mye det koster en bedrift å gå i svindelfella avhenger av hvor stor bedriften er og omsetningen.
– Det siste året har mange saker ligget på mellom 100 000 og 200 000 kroner for små og mellomstore bedrifter. I sakene hvor omsetningen også ryker skal det lite til før saken koster mer enn en million kroner, sier Arnstein Heimset.
Det er mye billigere å forebygge enn å reparere. Selv om vi aldri kan være 100 prosent beskyttet er det viktig å gjøre grep for å gjøre jobben vanskeligst mulig for svindlerne.
– Tenk på det litt som å gjøre brannforebyggende tiltak i huset ditt. Du har røykvarsler, brannslukker og rømningsveier. For bedriften din kan dette være backup, programvareoppdateringer, sterke passord og flertrinnsverifisering, sier Arnstein Heimset.
Sikre bedriften før det er for sent
Frende-eksperten anslår at bare én prosent av alle norske bedrifter har såkalt cyberforsikring.
– Det er fortsatt ganske nytt, men fordelen hvis du først rammes er at du ikke står alene. De færreste små og mellomstore bedrifter har ikke egne IT-ressurser. Og hvis de har det, er det ikke gitt at de har spesialistkompetansen som kreves for å håndtere et angrep, sier Heimset.
Å miste tilgang til kunde- eller ordreoversikt, kassasystemet eller e-posten til bedriften er eksempler på hva kundene opplever.
– Mange tar nok ikke innover seg hvor fortvilende det er å stå der den morgenen du kommer til kontoret og ser at alle maskinene er låst og kryptert, eller at sensitive data og e-poster er stjålet, sier Henrik Brandt i Crawford and Company.
Hvis bedriften blir angrepet, er hurtig reaksjon svært viktig for å begrense tapet.
– Vi har sett mange bedrifter som har blitt nødt til å velge mellom å betale løsepenger og å gå konkurs. Så lenge bedriftene fortsetter å betale løsepenger kommer de kriminelle aldri til å slutte å angripe, sier Henrik Brandt.
Slik er den klassiske svindelmetoden
De fleste angrep starter med en e-post som lurer mottakeren til å gi fra seg informasjon om for eksempel brukernavn og passord.
– Det er menneskelig å gjøre feil, derfor må vi forebygge konsekvensene av feilene vi mennesker gjør, sier Brandt.
En god start er å ha en trygg og sikker backup, samt gode rutiner. Så vil ytterligere tiltak avhenge av størrelsen på bedriften.
– Men ikke legg alle eggene i en kurv. Mange stoler blindt på sky- eller systemleverandøren sin for stabil leveranse og backup, men det siste året har vi sett flere eksempler på at også leverandører har blitt angrepet. Da har gjerne konsekvensen blitt at alle lagrede filer er gått tapt, sier cyberekspert Henrik Brandt.
Slik svarer bedriftseiere om dataangrep
602 bedriftseiere har blitt spurt om bedriften deres har blitt angrepet eller forsøkt svindlet med ondsinnet e-post.
- Ja – 64 prosent
- Nei – 33 prosent
- Har ikke oversikt – 3 prosent
(Kilde: Frende Forsikring, undersøkelsen er utført av Norstat)