IT-sikkerhet for små bedrifter: De vanligste feilene, og hvordan du fikser dem

/ Aktuelt / Av

Mange små bedrifter tror de er for små til å være interessante for angripere. Det er ofte en dyr misforståelse. I praksis blir små virksomheter ofte rammet fordi de har enkle hull i hverdagen, ikke fordi noen gjennomfører avanserte Hollywood-angrep.

Det betyr også at mye kan forbedres med ganske enkle grep. Du trenger ikke et stort IT-team for å bli vesentlig tryggere, men du trenger noen tydelige rutiner.

Kort svar: hva går oftest galt?

  • Programvare og enheter blir ikke oppdatert i tide.
  • Passord gjenbrukes, og tofaktor er ikke aktivert.
  • Backup finnes enten ikke, eller blir aldri testet.
  • Ansatte får for mye tilgang.
  • Mistenkelige e-poster blir ikke fanget opp tidlig nok.
  • Bedriften mangler en enkel plan for hva som skjer hvis noe går galt.

Det er nettopp disse feilene som ofte åpner døren for phishing, konto-overtakelse, ransomware og kostbar nedetid.

1. Oppdateringer blir utsatt for lenge

Når oppdateringer blir liggende, blir kjente sårbarheter også liggende. Mange små bedrifter utsetter oppdateringer fordi de er redde for avbrudd, men i praksis er det ofte mer risikabelt å vente for lenge enn å planlegge korte vedlikeholdsvinduer.

Hva du bør gjøre:

  • Aktiver automatiske oppdateringer der det er forsvarlig.
  • Ha en fast rutine for PC-er, telefoner, rutere, NAS og annet utstyr.
  • Ikke glem programmer, nettlesere og tillegg, ikke bare Windows eller macOS.

2. Svake passord og manglende tofaktor

Dette er fortsatt en av de vanligste inngangene til problemer. Når ansatte bruker samme passord flere steder, eller enkle passord uten ekstra beskyttelse, holder det ofte med ett datalekkasjefunn for å få tilgang til flere kontoer.

Hva du bør gjøre:

  • Bruk en passordbehandler.
  • Krev unike passord for alle viktige tjenester.
  • Aktiver tofaktorautentisering, spesielt på e-post, adminbrukere, regnskap og skylagring.

Hvis dere trenger et bedre system for dette, kan det også være nyttig å lese vår guide om passordhåndtering på tvers av enheter.

3. Backup finnes på papiret, men ikke i praksis

Mange tror de har backup fordi filer ligger i skyen eller på en ekstern disk. Problemet er at backup først teller når den faktisk kan gjenopprettes. Ved ransomware, feil sletting eller maskinvarefeil er det fort for sent å oppdage at løsningen ikke fungerte som man trodde.

Hva du bør gjøre:

  • Bruk gjerne 3-2-1-prinsippet som tommelfingerregel.
  • Ha minst én kopi som er skilt fra den daglige driften.
  • Test gjenoppretting jevnlig, ikke bare lagring.

Hvis dere vil rydde i dette først, kan dere også se vår guide om backup av viktige data.

4. Ansatte får for mye tilgang

En vanlig småbedriftsfeil er at alle får tilgang til nesten alt, fordi det virker enklest. Det fungerer helt til noen klikker feil, slutter i jobben, eller en konto blir kompromittert.

Hva du bør gjøre:

  • Gi ansatte tilgang bare til det de faktisk trenger.
  • Skill mellom vanlige brukere og administratorer.
  • Fjern tilganger raskt når noen bytter rolle eller slutter.

5. E-post og phishing blir undervurdert

For mange små bedrifter starter sikkerhetsproblemer i innboksen. En falsk faktura, en kontoadvarsel eller en lenke som ser troverdig ut, er ofte nok. Her handler mye mer om rutiner og årvåkenhet enn om dyre verktøy.

Hva du bør gjøre:

  • Avklar hvordan ansatte skal varsle om mistenkelige meldinger.
  • Lær opp ansatte til å stoppe opp ved hastverk, press og rare lenker.
  • Vær ekstra forsiktig med vedlegg, betalingsendringer og innloggingsforespørsler.

Hvis dere vil vise ansatte konkrete eksempler, kan dere bruke våre mange artikler om svindel på e-post som treningsgrunnlag.

6. Ingen enkel beredskapsplan

Det er ikke realistisk å tro at alt alltid går bra. Det som ofte skiller et lite avvik fra et stort problem, er om bedriften vet hva som skal skje de første timene.

Hva du bør ha på plass:

  • Hvem som skal kontaktes hvis en konto eller PC virker kompromittert.
  • Hvordan dere isolerer en enhet eller stopper videre spredning.
  • Hvor backup finnes, og hvem som kan gjenopprette.
  • Hvordan kunder eller samarbeidspartnere skal informeres hvis det trengs.

7. Overvåkning og logging er fraværende

Små bedrifter trenger ikke nødvendigvis tunge enterprise-løsninger, men de trenger nok innsikt til å kunne oppdage noe unormalt. Hvis ingen følger med på innlogginger, endringer eller varsler, blir hendelser ofte oppdaget for sent.

Et godt minimum er:

  • innloggingsvarsler på viktige kontoer
  • oversikt over adminbrukere
  • grunnleggende logging i e-post- og skytjenester
  • rutiner for å sjekke avvik, ikke bare samle data

Hva bør en liten bedrift prioritere først?

  1. Skru på tofaktor på alle viktige kontoer.
  2. Ta kontroll på passord og adminbrukere.
  3. Sørg for at backup faktisk virker.
  4. Oppdater PC-er, telefoner og nettverksutstyr.
  5. Lag en enkel plan for phishing, kontolås og datatap.

Du trenger ikke gjøre alt på én dag. Men hvis dere ikke gjør disse tingene, blir sikkerhetsarbeidet fort mer teoretisk enn praktisk.

Vanlige spørsmål

Er små bedrifter virkelig et mål?

Ja. Mange angrep er automatiserte og treffer virksomheter med svake rutiner, ikke nødvendigvis store selskaper med kjent navn.

Må vi kjøpe dyre sikkerhetsløsninger først?

Ikke nødvendigvis. Ofte gir gode grunnrutiner som tofaktor, oppdateringer, backup og tilgangskontroll mer effekt enn å kjøpe enda et verktøy.

Hva er den vanligste feilen?

Det varierer, men kombinasjonen av svake passord, manglende 2FA og manglende opplæring på phishing går igjen veldig ofte.

Trenger dere hjelp til å rydde opp i grunnsikkerheten?

Hvis dere vil gå fra diffuse sikkerhetsbekymringer til konkrete tiltak, kan vi hjelpe med å prioritere hva som faktisk bør gjøres først. Se Datahjelperne Pluss eller ta kontakt.

Opprettet av Vidar 17. februar 2025, oppdatert av Joakim Reistad (KI) 12. mai 2026.