Tekniska hjälpmedel, affärssystem och webbaserade tjänster har revolutionerat redovisningsbranschen. Arbetet går snabbare och smidigare, integrationen med kunderna är enklare. Vi är mobila och kan få fram data på nolltid, var vi än befinner oss. All denna enkelhet har förstås ett pris, en baksida. Med öppna system och tillgång till data via webben ökar risken för att obehöriga tar sig in. Frågan är inte om, utan när. Och motorvägen in i systemen heter Internet.

Björn Ekelund driver företaget Utredningsgruppen. De jobbar med säkerhet, allt från person- och inbrottsskydd till datasäkerhet. Björn kommer här att ge en snabblektion i vad du kan göra och hur du bör tänka för att minimera riskerna.

– Redovisningsbranschen har seglat upp som ett nytt, potentiellt attackområde för datahackers. Redovisningsbyråer sitter på en massa affärsinformation i system som inte är supersäkra. Alla leverantörer säger förstås att deras system är säkra, det ingår i deras jobb. Systemen idag är så stora och komplicerade, det är klart att det sker misstag i utvecklingen. Jämför med bilbranschen, trots att bilar byggts i över hundra år så har varje ny modell en massa barnsjukdomar när de lanseras.

I redovisningsbranschen är många småföretagare med några få anställda – varför skulle någon vara intresserad av deras data? Är det inte storföretag som till exempel Telia som är måltavlor för intrång?

– All information är intressant och har ett värde. Vi måste sluta tänka på VEM som skulle vara intresserad utan istället utgå från ATT någon troligen är det. Det kan vara företags- eller personuppgifter man vill åt. Eller att systemet är så pass stort att en presumtiv förövare tror att det borde finnas intressant information där. Man måste fråga sig vad det kommer att kosta om man blir av med information eller om någon förstör. Vad händer med ditt varumärke den dagen kunden googlar sig själv och hittar sin bokföring på nätet? Idag kan du ladda ner färdig programvara för att utföra hackerattacker, du behöver alltså inte ens vara speciellt kunnig i programmering.

Björn Ekelund

Vad ska jag tänka på om jag använder molntjänster som tillhandahålls av annan leverantör?
– Det första man måste titta på är i vilket land data sparas. Är det i Sverige så gäller svensk lagstiftning och den är ofta bättre än i andra länder. Handlar det om företagshemligheter skulle jag inte rekommendera att lägga det utomlands. Äger leverantören sin egen molntjänst eller köps den från en tredje part? Som kund bör man alltså ta reda på var och hur data kommer att hanteras. Vidare måste man kolla leverantörens rutiner när det gäller back-up och hur loggar sparas. Här är du lite i händerna på leverantörer, du har ingen egen kontroll. Du måste också tänka på något så simpelt som ett fungerande bredband. Ju mer som läggs i molnet, desto sårbarare och mer beroende är vi av bredbandet. Ha gärna en mobil lösning i reserv som du kan koppla in om din ordinarie leverantör skulle få problem. Ett moln utan internet funkar inte.

– Ett stort problem är att dataintrång ofta inte rapporteras, du får inget veta eftersom det i dag inte är ett brott att inte rapportera, fortsätter Björn. Det företaget riskerar att förlora i gott renommé är högt, därför försöker de flesta hålla detta inhouse. Det är synd, ju mer som kommer upp till ytan desto lättare kan vi stoppa dataintrång. Hackare delar information friskt mellan varandra, det är därför de är så duktiga. När företag väljer att istället stoppa huvudet i sanden så hjälper man hackarna. Om vi lyfter frågan och börjar prata om det, delar information, desto duktigare blir vi på att säkerställa våra system. Att vara utsatt för en hackerattack behöver inte betyda att man varit slarvig. Hackarna ligger helt enkelt flera steg före.

Att kartlägga ett företag inför ett dataintrång är inte svårt. De flesta av oss är väldigt villiga att dela med oss av information, och kanske till och med lite aningslösa.
– En riktad attack följer ofta samma mönster, säger Björn. Först kartläggs företaget och dess rutiner. Man tar reda på vilka som jobbar där, deras internetvanor och e-postadresser. En klassiker är faktiskt att titta i pappersåtervinningen. Den kan vara en fantastisk informationskälla. Själva attacken kan sen ske via bifogade e-postfiler eller sociala medier. Hackaren riktar in sig på en person som har stor insyn i företaget, till exempel ekonomichefen eller VD-sekreteraren. Väl inne ger man sig själv admin-rättigheter och börjar leta efter intressant information. Det mesta hackaren gör går ”under radarn”, många företag vet inte ens om att det skett. Om inte loggarna är påslagna eller brandväggen rätt konfigurerad så lämnas inga spår. Det är som en tjuv som tar sig in i huset med nyckel. De kanske tar något men du märker det inte förrän långt senare.

Men är inte folk idag så upplysta att de inte klickar på bifogade filer och konstiga länkar?
– Jag ska ge dig ett exempel. Tänk dig att ekonomichefen på ett företag spelar golf, han kanske till och med har ett förtroendeuppdrag i golfklubben. Han får ett mejl som ser ut att komma från golfklubben, kanske med en uppmaning att kolla den bifogade filen. Då har han inte en tanke på att det är något skumt eftersom avsändaren är betrodd. Att ”spoofa”, alltså skicka mejl och låtsas vara någon annan, är jättelätt. Det finns program på nätet där man kan ange vilken e-postadress avsändaren ska ha, man bifogar en smittad fil och vips är hackaren i mål.

Nu är det inte bara datasystem som kan vara säkerhetsrisker. Alla tekniska prylar som har en egen ip-adress kan hackas eftersom de är åtkomliga från internet. Kameran i konferensrummet som gör att du kan skypa med kollegor på annan ort, det smarta larmet som du kan styra med hjälp av din mobiltelefon eller routern som ger företaget åtkomst till nätet.

– När en apparat har en egen ip-adress är den åtkomlig på nätet. Den stora risken är att dessa prylar inte har något virusskydd. Min absoluta uppmaning är att åtminstone byta förinställda lösenord. Det kan räcka att fel person vet vilken leverantör du har på ditt smarta larm, googla fram lösenordet och ta sig in. Eller få åtkomst till kameran när ni pratar affärshemligheter. När man börjar tänka som tjuven har man en chans att föregå.

När Utredningsgruppen inleder ett samarbete med en ny kund börjar de alltid med att göra en riskanalys.
– Vi tittar först och främst på vad som är skyddsvärt hos företaget. Vad skulle det kosta om vital information försvinner eller förstörs och vad gör man när något händer. Vi tittar också på företagets rutiner när det kommer till krishantering. Folk som vet vad de ska göra vid en eventuell kris fungerar alltid bättre om det värsta är ett faktum. När vi stänger ett uppdrag så lämnar vi tillbaka all information till kunden. Vi sparar ingenting av säkerhetsskäl. Det är vårt sätt att hantera informationssäkerhet. Inte ens vi kan vara 100 procent säkra att vi aldrig får ett dataintrång.