Hvis det er én ting teknologioppstartsselskapet ditt bør ta med seg fra 2025, så er det at ingen virksomhet er for liten til å være et mål for nettkriminelle. Faktisk er små og mellomstore bedrifter (SMB) nå mer attraktive mål for løsepengevirus enn eldre virksomheter, takket være deres begrensede ressurser og verdifulle kundedata.

Oppstartsselskaper mangler ofte kunnskapen eller ressursene de trenger for å ta gode beslutninger tidlig i virksomheten. Vi tok kontakt med en IT-sikkerhetsekspert som ofte jobber med teknologioppstartsselskaper, for å få innsikt i hva bedrifter trenger å vite når de akkurat har startet opp.

Gary Power, driftsdirektør og direktør for kundetjenester i Power Consulting(nytt vindu), har 25 års ekspertise i den utkontrakterte IT-bransjen. Power Consulting jobber tett med virksomheter i alle størrelser i alle bransjer, og leverer tjenester som administrerte IT-tjenester, IT-strategisk planlegging, og cybersikkerhetsrevisjoner og -tjenester.

Vi snakket med Gary for å forstå hvor teknologioppstartsselskaper gjør feil tidlig i virksomheten sin.

Virksomheten din er ikke for liten for cybersikkerhetstiltak

Ved å bruke vårt Data Breach Observatory (Observatorium for databrudd), sporet Proton lekket forretningsdata på det mørke nettet for å forstå hvem hackere rettet seg mot og hvordan virksomheter ble utsatt for brudd. Vi avdekket 794 brudd, med til sammen over 300 millioner lekkede poster, og det ble tydelig at mindre organisasjoner i økende grad er utsatt for risiko.

Bedriften din kan dra nytte av å undersøke hvordan og hvorfor andre virksomheter har blitt påvirket av databrudd. Innsikten fra Data Breach Observatory, samt våre cybersikkerhetsanbefalinger for teknologioppstartsselskaper, finnes i vår nyeste e-bok, The breaches that broke 2025 (Bruddene som knuste 2025).

Last ned e-boken

Enten håndteringen av påloggingsinformasjonen deres kom til kort, eller de unnlot å bruke beskyttelsestiltak som ende-til-ende-kryptering, ser det ut til at små og mellomstore bedrifter gjør avgjørende feil i sikkerhetspraksisen sin. Og hvis små bedrifter forblir sårbare for cybertrusler, vil det til syvende og sist skade næringer og innovasjon over hele verden ved å begrense forretningsvekst.

Gary bemerker at en viktig del av å beskytte virksomheten din tilstrekkelig er å endre tankegangen din når det gjelder sikkerhetstiltakene du benytter deg av.

«I begynnelsen stiller grunnleggere vanligvis reaktive spørsmål som ‘Trenger vi dette?’ eller ‘Er dette overdrevet for vår størrelse?’ Etter hvert som de modnes, skifter spørsmålene til ‘Hva vil faktisk hindre oss i å bli brutt?’ og ‘Hvordan skalerer vi sikkert uten å bremse virksomheten?’»

I stedet for å hoppe over trinn etter hvert som virksomheten din blir etablert, bør du investere i cybersikkerheten din fra begynnelsen av. Tross alt, som Gary sier: «De mest suksessrike grunnleggerne innser at sikkerhet er en muliggjører, ikke en hindring.»

Eldre verktøy er ikke automatisk sikre

Når det er på tide å velge verktøyene, slik som e-post-, stasjon– og passordapp-løsningene virksomheten din vil bruke, utgjør valget ditt en stor forskjell. Gary advarer mot å anta at populære og moderne løsninger automatisk vil være det sikreste alternativet.

«Den største blindsonen er å anta at sikkerhet er ‘implisitt’ fordi de bruker moderne verktøy eller skyplattformer. Grunnleggere tror ofte at Microsoft 365, Google Workspace eller AWS automatisk er lik sikkerhet. I virkeligheten stammer de fleste brudd fra feilkonfigurering, svake identitetskontroller, dårlig tilgangshygiene og mangel på overvåking – ikke eksotiske hackingteknikker

Dette høres kanskje ikke positivt ut, men det er det: Det er mye vanskeligere å forutsi og forhindre sofistikerte hackingteknikker enn det er å bygge sterke praksiser for identitetsadministrasjon og overvåking i nettverket ditt. Problemene Gary fremhever kan angripes ved å bruke følgende:

Menneskelige feil er en alvorlig trussel

Det spiller ingen rolle om verktøyene dine er sikre hvis de ikke brukes sikkert. Menneskelige feil er faktisk en av virksomhetens største cybersikkerhetstrusler. Angrepsflater vokser eksponentielt takket være kompleksiteten i moderne bedriftsnettverk, noe som krever at teammedlemmer oppretter dusinvis av kontoer med unike passord og potensielt får tilgang til disse kontoene fra sine personlige enheter.

«En annen stor feil er å undervurdere menneskelig risiko: nettfisking, gjenbruk av påloggingsinformasjon og uadministrerte enheter er vanligvis inngangsdøren.»

Disse risikoene kan tilskrives manglende bevissthet om cybersikkerhet og uklare forventninger til hvordan eller om bedriftens nettverk kan nås via teammedlemmenes personlige enheter. Heldigvis kan de enkelt håndteres med en todelt tilnærming med retningslinjer og utdanning:

«Tidlige beslutninger blir permanente standarder», sier Gary. «Identitetsmodeller, dataplasseringer, administratortilgang og enhetsstandarder er utrolig vanskelig å rulle tilbake senere – spesielt når kunder, investorer og regulatorer er involvert. Sikkerhetsgjeld forrenter seg akkurat som teknisk gjeld. Det er langt billigere og mindre forstyrrende å sette opp gode autovern tidlig enn å ettermontere kontroller etter et brudd, en mislykket revisjon eller et avslag på cyberforsikring

Sikkerhetsgrunnlag er viktigere enn verktøy

Verktøy er ikke det eneste hensynet bedrifter må ta etter hvert som de kommer på markedet. IT-infrastrukturen din vil diktere hvor sikkert teammedlemmer kan jobbe, hvor godt du kan oppdage risikoer, og hvor raskt du kan redusere problemer.

Gary forklarer hvordan ekspertene hos Power Consulting nærmer seg det å konfigurere IT- og cybersikkerhetsinfrastruktur for oppstartsselskaper. «Vi fokuserer på det grunnleggende fremfor skinnende verktøy.»

  • Konfigurer sterke retningslinjer for identitet og tilgangsadministrasjon, inkludert MFA og «minste privilegium», som betyr at folk bare skal ha tilgang til systemene de trenger.
  • Sikre endepunktene dine, inkludert ansattes personlige enheter, fra dag én. Programvare for enhetsadministrasjon kan hjelpe deg med å holde oversikt over hvem som logger på nettverket ditt og hvor.
  • Bruk sentralisert loggføring og overvåking slik at problemer som uautorisert tilgang eller kontobrudd ikke går ubemerket hen.
  • Forbered deg på en hendelse med riktige verktøy for sikkerhetskopiering og gjenoppretting, slik som uforanderlige sikkerhetskopier (som ikke kan endres etter at de er opprettet) eller beskyttelse på et annet sted der kritiske data sendes og lagres borte fra bedriftens hovedsted.

Ved å bygge virksomheten din på et solid grunnlag, investerer du til syvende og sist i en tryggere virksomhet for fremtiden. Tiden du bruker på å bygge en sikker infrastruktur er verdt pengene du vil lagre og risikoen du vil unngå i det lange løp.

Ta deg tid til å konfigurere riktig

Gary anbefaler å fokusere på identitetsarkitekturen din, fordi dette er området med størst sikkerhetspåvirkning. Hvert teammedlem har en digital identitet som gir dem tilgang til dataene og verktøyene de trenger i bedriftsnettverket ditt, og å konfigurere dette godt utgjør hele forskjellen på sikt.

«Dårlig identitetsarkitektur er det vanskeligste å angre på – delte kontoer, svak MFA-adopsjon og for mange administratorer skaper langsiktig risiko», forklarer Gary. «Ustrukturert dataspredning er et annet stort problem; når sensitive data først er spredt over personlige stasjoner, e-postinnbokser og uadministrerte SaaS-apper, er det smertefullt å gjenvinne kontrollen. Til slutt fører mangel på dokumentasjon og eierskap tidlig til forvirring og blindsoner etter hvert som teamene vokser.»