close
Share with your friends

COVID-19 skaper nye sikkerhetsutfordringer

Økt aktivitet blant trusselaktører stiller høye krav til IKT-sikkerhet. Disse områdene bør du som virksomhetsleder være ekstra oppmerksom på.

Økt aktivitet blant trusselaktører stiller høye krav til IKT-sikkerhet.

Tilpasning av IT-miljø og planverk

For å begrense smittespredning har mange virksomheter bedt sine ansatte om å jobbe fra sine egne hjem. For mange virksomheter er dette en ny praksis som vil by på nye utfordringer. Det er viktig å sikre at IT-systemene klarer å håndtere et større press enn til vanlig slik at de ansattes tilgjengelighet til IT-systemene opprettholdes. Dette innebærer virksomhetens infrastruktur støtter fjernaksess og at virksomheten har tilstrekkelig med kapasitet og lisenser til å dekke det økende antallet av brukere som samtidig benytter seg av fjernakess. I tillegg må brannmurer, antivirus, applikasjoner og operativsystemer være fullstendig oppdatert.

Virksomheten må også tilse at beredskaps-, kontinuitets- og gjenopprettingsplaner er oppdaterte, testet og kommuniserte til de ansatte. Risikoen for manglende tilgjengelighet til nøkkelpersonel er høyere som følge av økt risiko for sykefravær og karantener. Det har blitt viktigere enn noen gang å sikre at planverkene håndterer usikkerhet rundt ansattes tilgjengelighet.

Håndtering av sensitiv informasjon

Koronavirusutbruddet stiller ledelse og HR-avdeling i en vanskelig situasjon hva gjelder deling av helseopplysninger internt og eksternt. På den ene siden skal personopplysninger være konfidensielle, mens på den andre siden er man som arbeidsgiver forpliktet til å begrense smitterisiko. Virksomheter må vurdere hva som er strengt nødvendig å dele av personopplysninger om egne ansatte for å oppfylle denne plikten. Det blir viktig at ledelse, HR-avdeling og personvernansvarlige samarbeider godt for å håndtere dokumenter som inneholder informasjon omkring sykefravær og karantenebestemmelser.

Phishing og andre cyberangrep

Utbruddet av coronaviruset har ført til betydelig større aktivitet blant trusselaktører som ønsker å utnytte den uoversiktlige situasjonen. Mange hendelser innebærer bruk sosial manipulasjon. Trusselaktøren forsøker å lure en ansatt til for eksempel å klikke på en lenke eller oppgi informasjon.

– Mange er urolige for pandemiens utvikling og det finnes et enormt informasjonsbehov i befolkningen. Denne søken etter informasjon vil aktører utnytte ved å trigge menneskets nysgjerrighet. Kriminelle aktører har anledning til å spille på menneskers frykt ved sende skadevare eller ondsinnede lenker forkledd som informasjon fra myndigheter, helseorganisasjoner eller lignende. At aktører nå benytter phishing i denne perioden er lite overaskende, da mennesket er mer mottakelig for manipulasjon under press, frykt og redsel. sier Andreas Orset, rådgiver i KPMGs tjenester innen cybersikkerhet.

KPMG Cyber

Din virksomhet bør ha svar på følgende spørsmål:

  • Har vi testet infrastrukturen og klarert miljøet for en høyere belastning enn til vanlig? Hva gjør vi om våre systemer ikke klarer å håndtere den økte belastningen? Har vi en plan B? Har vi testet sikkerhetsfunksjoner mot våre mest kritiske tilganger?
  • Har vi klassifisert informasjonen vår og fastsatt hvilke regler som gjelder avhengig av informasjonens grad av sensitivitet? Har vi gjennomført risikoanalyser den siste tiden?
  • Hva gjør vi dersom større deler av virksomheten, blir syk eller av andre årsaker ikke kan jobbe over en lengre periode? Hvordan vil det påvirke IT-sikkerheten?
  • Har vi gitt de ansatte tydelig informasjon og veiledning for å håndtere eventuelle systembrudd eller cyberangrep?
  • Har vi kommunisert retningslinjer for hvordan vi håndterer personopplysninger ved utstraks bruk av hjemmekontor? Eksempelvis knyttet til sykefravær, karantene eller reiser?


Ikke nøl med å kontakte oss om du har spørsmål eller behøver rådgivning rundt ovennevnte. KPMGs cybersikkerhetsavdeling har omfattende erfaring med et bredt spekter av IKT- og sikkerhetsproblematikk. Vi støtter med alt fra penetrasjonstesting og teknisk bistand til strategisk sikkerhetsarbeid og etablering eller revisjon av planverk og styringssystemer for IKT-sikkerhet.