IT- sikkerhet 29. august 2024

Hva gjør du dersom regnskapsforetaket ditt blir hacket for en kvart million? Og hvilke tiltak kan du som regnskapsfører ta for å verne om deg og dine kunder?

Vi er tilbake med RN Innsikt og vi startet høsten med tema IT-sikkerhet.

INNHOLD I WEBINARET

💰 Hva gjør du dersom regnskapsforetaket ditt blir hacket for en kvart million kroner? 

⛔ Hvordan kan du hindre at din egen bedrift mot å bli hacket og hvilke tiltak kan du som regnskapsfører gjøre

🔎 Vi går gjennom to reelle caser fra i sommerens slik at vi kan ta lærdom av disse.

Case:

👀 Hva gjør du når regnskapsforetaket ditt blir hacket for en kvart million kroner? (regnskapnorge.no)

👀 Svindlere overtok aksjeselskapet til Kristina:

Svindler bedrifter (NRK Dagsrevyen 28.08.24)

Hun nøt sydenferien – mens kriminelle tok over selskapet (nrk.no 28.08.24)

  • Hva har skjedd? 
  • Hvordan kan dette skje? 
  • Hva kan gjøre for å forhindre slikt fremtiden?
  • Hva kan du som regnskapsfører gjøre? Vi gir deg noen forebyggende tips.

DELTAKERE

🙋‍♂️ Bjørn Kienholz Bjercke, ansvarlig for IT sikkerhet i Regnskap Norge.

🙋‍♂️ Morten Malhotra-Gunro, salg- og produktsjef i Regnskap Norge.

 

Praktisk informasjon

Dato: 29. august, 10:00 - 11:00

Pris: Gratis

NB. Webinaret ga ikke oppdateringstimer

Ved spørsmål - ta gjerne kontakt

  • Vi tenker det er lurest at 2FA/MFA (To faktor / Muti faktor) alltid er på. 

  • Ja, dersom dere har generelle spørsmål eller står i en pågående situasjon kan vi komme med råd fra vårt medlemsenter.  

  • Nå er jeg litt usikker på hva du spør om men om det er kvalitetskontrollen av Statsautoriserte regnskapsførere som også er medlemmer av Regnskap Norge, er det vi som holder i det, men Revisorforeningen og Finanstilsynet har også deres for for kvalitetskontroll. 

  • I dette tilfelle ble både kundens e-post system hacket og regnskaps kontorets regnskap system. Her kan du lese hvordan du kan stoppe spoofing (hacking av e-post system).

  • Årlig og kanskje oftere. For små bedrifter kan en "skrivebords test" være tilstrekkelig, med gjennomtenkte potensielle scenario tas med som underlag. Dersom bedriften er av en viss størrelse, si 10 ansatte, eller flere vil vi anbefale å opprette et beredskaps gruppe som sammen tester og gjennomgår på lik linje som en brannøvelse. Det viktige er at alle i bedriften er klar over at det finnes en beredskaps plan. At alle har mulighet for å gi vurderte innspill til beredskapsplanen samt forstå potensielle tenkte risikoer og hva som skal igangsettes av hvem når liknende scenario oppstår. Altså kort svar, selve beredskaps planen er verdt lite, men planleggingen og testingen av beredskapsplanen kan redde bedriften ut av store problemer en dag. 

  • Ansiktsgjenkjennelse har et mye høyere antall målepunkter enn fingeravtrykk. Så på en måte er ansiktsgjenkjennelse tryggere. Selv om tallene viser at ansiktsgjenkjennelse gir en 1 til 1 milliard sikkerhet, vil det si at ca. 8 personer på kloden kan misbruke den. Disse er høyst sannsynlig relatert til deg som søstre og brødre, far og sønn, mor og datter, tvilling søsken, etc. Begge metodene er trygge nok fordi begge regnes som den andre faktoren i tillegg til passord i 2FA/MFA.

  • Dagens versjon av beredskapsplanen i KS komplett er under utbedring, men vi vil gjenta det viktigste med beredskapsplanen som er at den må være tilpasset bedriftens egne tenkte scenario eller tidligere erfaringer og ikke minst øving, planlegging, og deling av informasjonen med de ansatte som er det viktigste. 

  • Ja, jeg er noe enig, men det kan være gode penger å tjene på å ta på seg betalingsoppdrag spesielt i forhold til lønns utbetalinger eller komplekse utbetalinger.

  • Det er meget vanskelig å se siden hackere ofte bruker offentlige tilegnelige sider på nettet for å utføre et slikt angrep. Det er ikke så vanskelig å få satt på en sperre for spoofing med litt IT kompetanse eventuelt hjelp av en konsulent å implementere DMARK. Les mer i denne artikkelen.

  • I dagens første scenario var det både e-mail spoofing og regnskapssystemet. 

  • Dette strider mot våre anbefalinger da privat e-post ofte brukes som innloggings identifikasjon på sosialmedia, netflix, spotify ect. Det finne mange tiltenkte scenario hvor dette kan medføre utfordringer. Noen åpenbare er: reklame e-post som bør avskilles privat/jobb, private kommentarer på sosiale medier som kan tolkes som kommentar fra firma, og dersom du blir utsatt for et cyber angrep har du ingen kommunikasjons kanal utad dersom du kun har jobb e-post. 

  • Offentlige nettverk er helt uproblematisk så lenge du bruker dedikert VPN og den er aktivert eller en betalt VPN tjeneste som du får kjøpt flere steder på nette. Bruk av offentlige og dårlig sikret nettverk (potensielt også hjemmenettverket ditt eller på besøk hos noen) er ikke anbefalt uten VPN aktivert på både mobil og PC. 

  • Hvis vi snakker om betalingsfiler som oppstår når en faktura er godkjent for betaling i systemet. Dette skjer etter at RF og kunden har godkjent fakturaen(ene). Denne filen blir da sendt til bank. Noen har da lagt opp til at betalingsfilen skal godkjennes med pålogging i nettbanken. Mens andre har lagt opp til at godkjenningen skjer i regnskapssystemet. Hvis jeg forstår spørsmålet riktig. For meg blir det litt søkt å tenke at noen er i stand til å manipulere data som er generert gjennom godkjenning i system. Dette går gjennom sikre kanaler mellom regnskapssystemet og banken. Hvis man skal stoppe en mulig svindel må det gjøres i godkjenningen i forkant av at dannelsen av betalingsfilen. 

  • Det er meget vanskelig å se da hackere ofte bruker offentlige tilegnelige sider på nette for å utføre et slikt angrep, men det er ikke så vanskelig å få satt på en sperre for spoofing med litt IT kompetanse eventuelt hjelp av en konsulent å implementere DMARK. Les mer i denne artikkelen.

  • Dette er et veldig generelt spørsmål. Vi tilbyr vår medlemmer en kollektiv profesjonsansvarsforsikring. Profesjonsansvarsforsikring (formueskadeforsikring) beskytter dersom du som regnskapsfører holdes erstatningsansvarlig for et økonomisk tap som en kunde eller tredjeperson er påført.

    Det er viktig å påpeke at uaktsomhet er en forutsetning for å komme i ansvar og for dekning under en ansvarsforsikring.

    Det er tre grunnleggende betingelser for at en skadevolder skal bli erstatningsansvarlig:

    1. Et ansvarsgrunnlag

    2. Et økonomisk tap

    3. Det må være årsakssammenheng mellom den skadegjørende handling og tapet. Årsakssammenhengen må være adekvat, det vil si at skadefølgen er tilstrekkelig nær og påregnelig. Dette betyr at en hver sak blir behandlet individuelt basert på hendelsesforløpet. Når det gjelder betalingsoppdrag er det viktig at sikkerhetsforskriftene følges.

  • Ja, du har forstått dette helt rett og ja, dette bør vel de endre på. 

  • Ja, om du/dere har tilgang til ending av domene opplysningene.

  • Ja, vi er enig. E-post er en gammel teknologi som har sett sine glans dager gå forbi. Nå må vi alle bare bli enig oss i mellom hva som kan overta globalt. Kanskje Verji er svaret. 

  • IT sikkerhet er og har aldri vært en "one pack fits all". Det er mange faktorer som kan påvirke og vi opplever at det er menneskefaktoren som oftest blir satt på prøve. Vi ser det er mye skyløsninger på alt vi behøver i dag som legger både brannvegg og antivirus over på leverandøren. I tillegg til god VPN løsning så ville det lønnet seg for dere å holde de ansatte oppdatert på de nyeste truslene som phishing, og trygge passord og 2FA. Hos Regnskap Norge poster regelmessige artikler og holder kurs.

  • Ja, men da går du kanskje glipp av mulig lukrativ business. 

  • Dette er en sikkerhet / nytte vurdering. Mange har i dag private telefon nummer og doble sim-kort i telefonene. dette gjør at vipps og BankID ikke er tilknyttet kontornummeret. E-post filter blir bedre og bedre og for første gang på flere år opplever vi at vi får mindre irrelevant e-post. Sikkerhetsmessig er vi ikke bekymret for brukernavn som ofte er telefon nummer eller e-post adressen, men heller trygge passord strategier og alltid 2FA/MFA.