Å bli hacket kan føles som å miste kontrollen over virksomheten på et øyeblikk. Daglig leder av Norwegian Adventure Company fikk kjenne på dette da selskapet hennes ble offer for et dataangrep. Historien hennes viser hvor raskt du kan bli angrepet, og understreker viktigheten av å ta IT-sikkerhet på alvor.
Oda Marie Buraas sitt selskap arrangerer reiser til nordlige destinasjoner som Nord-Norge, Arktis og kyst-Norge. De er avhengig av e-postkommunikasjon for å betjene kundene. Med en grundig kildekritisk holdning og to-faktor autentisering på plass, følte hun seg trygg på at virksomhetens digitale forsvar var solid. Hun stilte derfor ganske uforberedt den dagen selskapet ble utsatt for et dataangrep.
E-poster på avveie
Det begynte med at hun mottok en e-post som tilsynelatende var sendt fra henne selv. Det var i seg selv en ubehagelig opplevelse, men dette var bare starten. Oda ble snart kontaktet av bekjente som lurte på innholdet i de underlige e-postene de hadde mottatt fra henne. Det tok ikke lang tid før telefonen hennes var i konstant aktivitet, med bekymrede kontakter som lurte på hva som foregikk.
Oda forsto alvoret og tok grep. Hun logget seg av alle enheter i Office 365, endret passord og varslet IT-avdelingen sin. Analyser av situasjonen avslørte at noen hadde fått kontroll over Outlook-kontoen hennes, og manipulerte kommunikasjonen ved å opprette en skjult mappe for svarmeldinger.
Les også: Slik får du endelig kontroll på GDPR
Varslet Datatilsynet etter råd fra personvernrådgiver
På kontaktlisten hennes lå også personvernrådgiver Tom Bülow-Kristiansen i Adminkit, som hadde bistått Norwegian Adventure Company med GDPR. Han mistenkte at hun hadde blitt hacket og tak kontakt for å gi råd om hvordan hun skulle varsle Datatilsynet om avviket.
Buraas var ikke klar over at slike avvik skal varsles inn til Datatilsynet innen 72 timer. Toms råd til henne og andre i samme situasjon er å alltid varsle Datatilsynet når du mistenker at det er personopplysninger på avveie. Han understreker også hvor viktig det er å være bevisst på hvilke rettigheter den enkelte har.
«Jeg ser ofte at ledere, som Oda, sitter med unødvendig mange tilganger og rettigheter. De risikerer at større mengder data kommer på avveie ved et angrep, enn de som begrenser tilgangen til det som er høyst nødvendig for hver rolle.» forklarer personvernrådgiveren. Han understreker at det å få kartlagt hvem som sitter på hvilke personopplysninger er en viktig del av GDPR-arbeidet i bedriften.
Oda varslet Datatilsynet og tok samtidig initiativ til å informere alle berørte parter om det som hadde skjedd. Hun anbefalte alle som hadde fått e-post fra henne å endre passord og kontakte sine IT-ansvarlige.
Trenger du hjelp med GDPR? Book et møte med personvernrådgiver
Færre tilganger og bedre rutiner
Som en konsekvens av hendelsen innførte Buraas og teamet hennes nye sikkerhetsrutiner. Administrasjonsrettighetene i hennes brukerkonto ble kraftig redusert. Alle ansatte ble pålagt å logge av, endre passord og alltid bruke to-faktor autentisering.
Les også: Grete Roede mister ikke lenger nattesøvnen på grunn av GDPR
Råder alle til å få på plass gode sikkerhetsrutiner
Heldigvis for Oda fikk ikke dette angrepet noen store konsekvenser for selskapet. IT-avdelingen hadde ressurser internt til å rydde opp uten at de fikk noen ekstra utgifter. Hennes raske respons avverget også eventuelle skader på selskapets omdømme eller kundetilfredshet.
Oda understreker hvor viktig det er å være proaktiv når det gjelder intern sikkerhet og å ha nødvendige rutiner på plass. «Selv om jeg hadde 2-faktor på plass, alltid er kildekritisk og aldri klikker på rare linker, skjedde det likevel med meg. Det var litt flaut å sende den mailen til alle på kontaktlisten, de må jo tro at jeg ikke vet hva jeg driver med» innrømmer hun.
Gjennom denne prosessen ble det tydelig for henne at selv de mest forsiktige lett kan bli utsatt for dataangrep. Hennes råd til andre er å ha fokus på intern sikkerhet og å få på plass gode rutiner, slik at dere har en plan hvis noe skulle skje. «Jobb preventivt, slik at du slipper jobben med å rydde opp i etterkant», avslutter hun.
Historien hennes minner oss på hvor viktig det er å ta IT-sikkerhet på alvor, også i de mindre selskapene. Forebyggende tiltak, som opplæring av ansatte, regelmessig oppdatering av programvare og implementering av gode rutiner, kan være avgjørende for å beskytte dere mot potensielt kostbare konsekvenser av dataangrep. Som Buraas selv oppdaget, er det bedre å være føre var enn å måtte takle konsekvensene av et vellykket angrep i etterkant!
Les også: Tusenvis av norske bedrifter bryter personvernloven
