29 Nov IT-säkerhet i rollen som inköpare – Ett stort ansvar
Inköpare har en viktig roll för ett företags IT-säkerhet då man både har en relationsbärande roll och mycket information som passerar genom inköp som till exempel avtal och information om affärer. Denna information kan vara värdefull och till stor nytta för en cyberbrottsling. En stor utveckling har skett när det gäller cyberbrott bara de senaste åren och vi behöver därför vidta nya åtgärder för att skydda oss.
Varför har inköpare ett stort ansvar vad gäller IT-säkerhet?
Inköpare är ansvariga för relationerna till leverantörer och värdefull information passerar därför inköp, vilket är en viktig aspekt ut IT-säkerhetsynpunkt.
Tänk dig om du vore en “hacker” och fick välja fritt vems mailbox du kunde kapa på ett bolag. Vem och vilka hade du då valt och varför?
Prioriteringen hade troligtvis hamnat i nedan turordning:
- VD; ytterst ansvarig med åtkomst till allt.
- Ekonomichef; åtkomst till ekonomi och känsliga uppgifter.
- Säljchef, inköpschef & inköpare; här passerar mycket värdefull information. Att kunna upprätthålla en hög IT-säkerhet i rollen som inköpare är därför väldigt viktigt.
Cyberbrottsligheten ökar och har blivit smartare
Cyberbrottslingar vill ofta vara lönsamma, ett exempel på en lönsam affär är att bevaka kommunikation. Så om en cyberbrottsling får tag på en inköpares mailbox som hanterar mycket information och kommunikation om affärer kan de få tillgång till information som vem som sätter upp avtal, nyckelinformation och första fakturan som kanske går via inköparen. Det mest effektiva sättet för en cyberbrottsling att få betalt är att fejka en faktura med rätt information. Att få tillgång till en inköpares mailbox med information om en hel affär med avtal och all information kring bolagen som gör affären kan få stora konsekvenser.
I rätt läge kan en kapare stoppa flödet i din mail och byta ut information antingen i avtalet eller i första fakturan så att betalningen går till ett annat bankkonto.
Utveckling IT-attacker de senaste åren
När man pratar om cybersäkerhet brukar man prata om två olika typer av attacker. Riktade attacker och oriktade attacker.
Oriktade attacker är de som går ut överallt, tex. någons mailbox blir kapad och det går ut till alla kontakter. En riktad attack är däremot svårare att skydda sig emot. Vid en riktad attack kommer den som gör en riktad attack att forska först kring dina svaga punkter och IT-system. Det som gör det komplext med IT-säkerhet och som gör att cyberbrottslingar ibland lyckas är att du måste skydda alla vägar in, en brottsling behöver bara hitta en väg.
Cyberbrottslingar har inte längre bråttom
En förändring som skett de senaste åren är att för bara några år sedan när de första riktigt stora attackerna ägde rum var att brottslingar då hade väldigt bråttom, de kom in i ett system och försökte på bara några minuter kryptera om information och sedan hoppas på att få något betalt. Den tiden har passerat då många kunde installera om datorn, återställa från backup och så hade man klarat sig. Numera är det ofta så att cyberbrottslingar tar sig tid, de vill ha ut så mycket som möjligt av varje potentiell möjlighet. Detta innebär att de får tag i mer information och kan utföra attacken mer effektivt. Ofta letar de efter en sak- era backuper. När de hittat backuperna och tagit över dem kan de ta resten av er IT-miljö. Genomsnittsattcken för några år sedan var tre dagar, genomsnittsattacken nu är 99 dagar.
Covideffekten – cyberbrottslighet ökat mellan 400-1000%
När covid kom och alla flyttade hem sina kontor ställde detta extremt stora krav på IT-leverantörer. I samband med utbrottet av Covid-19 ökade cyberbrottsligheten någonstans mellan 400-1000
Hotlandskapet – Olika typer av Cyberattacker (Bild lånad av Microsoft)
IT-säkerhet för inköpare & andra: Hur skyddar man sig då?
Tekniska skyddet
Här tenderar vi att investera mycket mer. Brandväggar, virusskydd m.m. Det är givetvis väldigt bra att arbeta aktivt med detta område och investera i bra lösningar då det minskar träffytan för attacker. Många bolag jobbar idag kanske enbart med att sätta upp skydd i form av virusskydd och brandväggar när det är viktigt att inkludera en lösning som innebär att även upptäcka och svara på attacker.
Mänskliga skyddet
För att veta vad man ska vara vaksam på behöver man veta just vad man behöver vara vaksam på, här behövs alltså utbildning och information samt policys. Det är också viktigt att våga fråga om vi tycker något verkar märkligt. Det finns också en insiderrisk, en trend som växte under Covid. Här har hackare kunnat värva personer som de sett i sociala medier uttrycker ett missnöje mot sin arbetsgivare genom att erbjuda ersättning för att komma in i företagets system.
Det dagliga arbetet
- Det viktigaste att tänka på sitt dagliga arbete är att ingen kommer åt din mailkorg, här är multifaktor autentiering bara att arbeta med.
- Var försiktiga med var ni loggar in.
- Dela filer med länkar och nycklar. Detta förlänger tiden och kostar mer pengar att försöka få åtkomst till. Dessutom kan man stänga länken så att informationen inte är tillgänglig längre än nödvändigt.
- Ingen automatisk vidarebefordring mail.
- Undvik svaga lösenord eller samma lösenord på flera tjänster
Tips för att sätta bra lösenord:
– Något som kan vara bra att tänka på är längd, tänk att göra en hel mening- detta är svårare att kunna knäcka.
– Det är också bra att ha en lösenordshanterare där man har ett lösenord in och sedan finns resten av dina lösenord där inne.
Tänk på: I hemmakontoret är det också viktigt att tänka på att vi gått ifrån arbetsplatsens brandväggar och delar nätverk med resten av vår familj.
Vi hoppas att du fått några tips på varför IT-säkerhet är så viktigt i rollen inköpare och vad man behöver tänka på!
__________________________________________________________________________________________________
Artikeln är en summering av webinariet “Cybersäkerhet och IT-relaterade inköp” Här kan du se hela webinariet
Tips: Vill du se fler av våra tidigare webinars klicka här, eller delta på ett webinar live
För dig som vill fördjupa dig ytterligare i ämnet it-säkerhet och inköp, läs följande: