Informasjonssikkerhet i frivillig sektor

En stadig skjerping av trusselbilde innen datakriminalitet stiller krav til organisasjoner. Frivillig sektor er særlig utsatt. Les våre råd her.

Picture of Oddvar Sæth

Oddvar Sæth

PUBLISERT

11.05.2023

LESETID

4. min

Frivillig sektor, organisasjoner og forbund er særlig utsatt

Datakriminalitet er et stadig større problem i samfunnet – både for oss som privatpersoner, og ikke minst for norske virksomheter.

- Vi må våkne opp, bedrifter må ta langt større ansvar, sa direktør for Nasjonal Sikkerhetsmyndighet, Sofie Nystrøm, da hun la fram deres siste rapport Sikkerhetsråd- et motstandsdyktig Norge.

En av truslene som trekkes frem er risiko og økt bruk av innsidere. Det er utro tjenere som får tilgang til informasjon de ikke skal ha. Mangel på systemer og strategier for å sikre seg mot dette er en av farene det pekes på.

Frivillige organisasjoner er ifølge NSMs britiske søsterorgan, National Cyber Security Centre, særlig utsatt for datakriminalitet.

Hvorfor er disse mer utsatt enn andre?

I en rapport fra NCSC peker de på 5 faktorer som kan forklare økningen i denne sektoren:

  1. Frivillige organisasjoner er attraktive for kriminelle som har rene økonomiske motiver, søker å hente ut sensitiv informasjon eller skape mest mulig uro og usikkerhet.
  2. Frivillige organisasjoner har fokus på det arbeidet og den tjenesten de skal utføre, og kan derfor være mindre motivert for å bruke penger (som ofte kommer via gaver), til andre formål enn kjernevirksomheten sin. Dermed brukes det færre ressurser på f.eks. datasikkerhet.
  3. Frivillige organisasjoner har en større andel av deltidsarbeidende og frivillige – disse har i mindre grad kapasitet til å være oppdatert på sikkerhetsprosedyrer og retningslinjer.
  4. Frivillige organisasjoner har større grad av «ta med din egen enhet»- det vil si at ansatte og frivillige bruker sine egne mobiler, PC-er og annet utstyr. Dette er mindre sikkert.
  5. Frivillige organisasjoner har ofte begrensede ressurser å bruke på forsikring mot datakriminalitet.

 

Hva bør organisasjoner og forbund gjøre for å øke informasjonssikkerheten?

I likhet med informasjonsstyring generelt kan vi overordnet si at organisasjoner må ha kontroll på 4 områder:

Informasjon, teknologi, mennesker og prosesser

Informasjon

Data servers resting on clouds in blue in a cloudy sky

Det første enhver organisasjon bør gjøre er å skaffe oversikt over hvilke data og informasjon man har, og hvilken risiko disse utgjør dersom de kommer på avveie. En kategorisering av informasjonen etter skadepotensiale og sensitivitet er helt avgjørende. Hvis man ikke vet hva slags informasjon man sitter med, kan man heller ikke vite hva man har mistet dersom det skjer et datainnbrudd.

Teknologi

Concept of sending e-mails from your computer-1

En av farene NSM peker på er gammel teknologi eller manglende oppdateringer. Det er velkjent at kriminelle utnytter sikkerhetshull og svakheter som ofte finnes i utdatert teknologi. Oppgraderinger og oppdateringer av systemer og programvare er derfor helt kritisk for å øke sikkerheten. I tillegg bør det alltid stilles krav til leverandører av teknologi i forhold til hvordan disse jobber for å sikre teknologien de har levert.

I tillegg finnes en rekke verktøy dedikert for sikring av informasjon og vern mot datakriminalitet. Sørg for at slike verktøy er implementert, eksempelvis kryptering, brannmurer, informasjons – og dokumentsystemer med mulighet for å begrense tilganger, varsle administrator ved mistenkelig adferd, logge hendelser på bruker – og dokumentnivå osv.

 

Prosesser

Rutiner, retningslinjer og prosedyrer for håndtering av informasjon er viktig for å sørge for en felles måte å behandle den dataen man besitter. Hvis alle jobber ulikt med dette, har man mindre kontroll og oversikt, som igjen øker risikoen for uønskede hendelser.

I tillegg til ordinære rutiner for behandling av informasjon og data, er det viktig å ha på plass prosesser og rutiner for hvordan man skal håndtere et datainnbrudd. En beredskapsplan med klare steg kan spare organisasjonen for både økonomiske og sosiale tap. Innen frivillige organisasjoner og forbund, hvor tillit er en kritisk ressurs, bør dette være et fokus helt opp til øverste nivå.

 

Mennesker

startup-849805_640-1

Vi kan sikre oss med god oversikt, nyeste teknologi, gode rutiner og prosesser – men det er vi mennesker som må ta ansvar for å etterleve rutinene, bruke teknologien rett og ikke minst være sunt kritiske til potensielle sikkerhetstrusler.

Organisasjonen skal legge til rette, men vi som enkeltindivider må ta ansvar. Vi må lese og kunne organisasjonens sikkerhetsprosedyrer og være våkne og bevisste når vi får e-poster som virker litt utenom det vanlige. Vi må tenke to ganger før vi installerer ukjent programvare, og heller spørre fem ganger ekstra enn én gang for lite.

 

Med et kontinuerlig fokus på disse områdene mener vi du er bedre rustet til å motstå angrep, og takle eventuelle hendelser som måtte oppstå. Og det blir garantert ikke færre trusler fremover – vi har for eksempel ikke vært inne på den store snakkisen, nemlig AI og de potensielt store endringene det vil medføre innen datakriminalitet. Men det er et tema for en egen artikkel.

 

Bruker du SharePoint og M365?

Les artikkelen: Dette bør du gjøre for å øke sikkerheten i M365 og last ned vårt gratis cheat-sheet med anbefalte sikkerhetsinnstillinger i M365

Relaterte innlegg

artikkel

Slik kan riktig bruk av metadata effektivisere dokumenthåndteringen

Hvordan kan riktig bruk av metadata effektivisere dokumenthåndteringen? Hvorfor er metadata en bedre måte å organisere dokumenter på enn mappestruktur?

Les mer
Read more
artikkel

10 egenskaper en moderne løsning for dokumenthåndtering bør inneholde

Et brukervennlig dokumenthåndteringssystem har mange egenskaper for å unngå dokumentkaos. Her er 10 egenskaper vi mener bør være med i et slikt system.

Les mer
Read more
artikkel

7 byggesteiner i en god IM-strategi

Disse 7 byggesteinene er helt avgjørende å ha på plass når du skal lage en IM-strategi for 2024.

Les mer
Read more