En mann med briller og hodetelefoner rundt halsen sitter ved et skrivebord med flere dataskjermer som viser kode i et kontormiljø.

Sikkerhet i økonomisystemer

RegnskapAI og teknologi
Sist oppdatert

Brukervennlighet, effektivitet, pris – dette er gjerne det første vi tenker på når vi skal velge et nytt system. Men sikkerhet? Det havner gjerne lenger ned på listen. Samtidig utsettes norske virksomheter for cyberangrep hver eneste dag. Når systemet samler fakturering, betalingstilgang og sensitive data på ett sted, har du ikke råd til å gamble.

    1. Hvorfor økonomi og regnskap krever mer

    Mens generell IT-sikkerhet handler om å holde uvedkommende ute, har økonomisystemer flere tilleggsdimensjoner. I tillegg til å tilby et sikkert «hvelv» må systemet ha fleksibel rollestyring, dokumentere alle handlinger, og oppfylle krav fra lovverk og bransje for hvordan data rapporteres, håndteres og lagres.

    Dette er noen av faktorene som gjør økonomisystemer spesielt utsatt:

    Samlet risiko: Siden alt ligger ett sted – fra lønn og bank til produkter, ansatte og prosjekter – vil et angrep eller en systemfeil raskt kunne ramme hele virksomheten.

    Mange kokker: Systemet er ikke lenger forbeholdt økonomiavdelingen. Prosjektledere, timelønnede, regnskapsfører og systemleverandør kan alle ha en form for tilgang – og hver tilgang er en potensiell svakhet.

    Lang lagringsplikt: Dataene har ikke bare en verdi her og nå, men må sikres for oppbevaring i mange år frem i tid for å oppfylle lovkrav.

    Fakta: Trusselen mot virksomheter
    Norske virksomheter står overfor en stadig mer sammensatt trussel i det digitale rom – fra løsepengevirus og bedrageri til tap av sensitiv data med juridiske og forretningsmessige konsekvenser. Selv om det ikke er praktisk mulig å sikre virksomheter fullstendig, er grunnleggende forebygging, bevissthet og god sikkerhetshygiene ofte effektivt i å forhindre kriminell utnyttelse.

    Utdrag fra Cyberkriminalitet 2025, Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet

    2. Ansvarsfordeling, ikke ansvarsfraskrivelse

    Overgangen til skybaserte tjenester løser mange tradisjonelle sikkerhetsutfordringer, som gamle servere og manglende oppdateringer. Men det kan skape en farlig misforståelse: at sikkerheten er outsourcet.

    I praksis er ansvaret todelt:

    Leverandørens ansvar: Infrastruktur, fysisk sikring av datasentre, kodesikkerhet og oppetid.

    Ditt ansvar: Hvem som får tilgang, hvordan ansatte håndterer data, og hvilke systemer dere kobler på.

    Enkelt sagt: Leverandøren garanterer for styrken i hvelvet, men dere bestemmer hvem som får nøkkel.

    3. Slik vurderer du løsningens sikkerhetsnivå

    Det er lett å si at sikkerheten er ivaretatt. Det er vanskeligere å dokumentere det. Her er fire områder som viser om en løsning faktisk holder mål:

    Kontinuerlig testing

    Tradisjonell årlig sikkerhetsrevisjon er ikke lenger nok. Modne teknologimiljøer betaler eksterne, godkjente sikkerhetseksperter for å forsøke å finne svakheter i systemet kontinuerlig. Dette sikrer at hull tettes før de kan utnyttes av andre.

    Sertifiseringer og tredjeparts revisjon

    Spør om leverandøren kan dokumentere sikkerhetsnivået gjennom uavhengige sertifiseringer som ISO 27001 eller ISAE 3402. Det er ikke en garanti i seg selv, men det viser at noen utenfra har etterprøvd rutinene – og at leverandøren tar det seriøst nok til å la seg vurdere.

    Kryptering i alle ledd

    Data må være uleselige for utenforstående både når de sendes over nettet og når de ligger lagret. Be om bekreftelse på at dataene er sikret selv ved fysisk tyveri av lagringsmedier.

    Dataflyttbarhet

    Hva skjer med dataene dine hvis leverandøren rammes av et alvorlig angrep – eller går konkurs? En ofte oversett sikkerhetsmekanisme er muligheten til å hente ut alt i standardformater og komme seg videre.

    4. Intern kontroll

    De fleste sikkerhetsbrudd skyldes ikke tekniske feil hos leverandøren, men svakheter i interne rutiner. Tre områder er særlig kritiske:

    Arbeidsdeling

    For å motvirke underslag og interne feil må systemet støtte reell arbeidsdeling. For eksempel bør ikke samme bruker ha mulighet til både å opprette en leverandør, endre kontonummer og godkjenne utbetaling. Systemet bør loggføre alle slike endringer automatisk.

    Tilgangsstyring etter behov

    Unngå at nye ansatte får vide tilganger ukritisk. En streng styring der ansatte kun ser det de trenger for å utføre jobben, begrenser skaden hvis noe går galt.

    Totrinnsbekreftelse (2FA)

    Dette er det mest effektive enkelttiltaket mot at uvedkommende tar over en brukerkonto. Det bør være et absolutt krav at økonomisystemet støtter 2FA – og at det er obligatorisk for alle brukere med tilgang.

    5. Integrasjoner og eksporter

    Økonomisystemet står sjelden alene – data kan flyte inn fra banker og kassasystemer, eller ut til rapporter og andre systemer. Hver kobling er nyttig, men også en potensiell svakhet.

    Integrasjoner som bakdør

    Koblinger mot eksterne løsninger skjer via tilgangsnøkler. Hvis disse havner i feil hender, eller hvis et integrert system blir angrepet, kan det gi uvedkommende tilgang til data i systemet ditt. Dere må ha oversikt over hvilke systemer som er koblet på til enhver tid, og jevnlig fjerne koblinger som ikke er i bruk.

    Regneark-fellen

    Sikkerheten i økonomisystemet blir irrelevant i det øyeblikket sensitive data eksporteres til et ukryptert regneark og sendes på e-post. Velg et system med gode nok verktøy innebygget, slik at behovet for lokal lagring og manuelle filoverføringer reduseres til et absolutt minimum.

    6. Den sårbare mellomfasen: Når du bytter løsning

    Å bytte system innebærer alltid en sårbar overgangsfase. Sitter du med en eldre løsning som føles trygg, men som henger etter på sikkerhet, er risikoen enda høyere.

    Det gamle systemet som risiko

    Det gamle systemet skal fases ut, og vedlikeholdet prioriteres ofte ned. Men så lenge systemet er tilgjengelig via nett, er det sårbart. Angripere kan bruke svakheter i det gamle systemet som en bakvei inn.

    Data under flytting

    Flytting av data innebærer ofte at store filer med hele bedriftens historikk sendes mellom konsulenter og leverandører. Disse filene må behandles som ferskvare og slettes umiddelbart etter import – de skal aldri bli liggende i en «Nedlastinger»-mappe.

    Arkivfellen

    Etter byttet velger mange å beholde lesetilgang til det gamle systemet «for sikkerhets skyld». Dette blir ofte en sovende sikkerhetsrisiko som ingen passer på. Eksporter heller nødvendig historikk til et sikkert arkiv, og avvikle den gamle løsningen fullstendig.

    Sjekk selv: Har dere kontroll i dag?

    Uansett om du vurderer å bytte system eller bare vil sjekke status: Svarer du ja på ett eller flere av disse punktene, har dere noe å ta tak i.

    Deling av tilgang: Hender det at ansatte bruker hverandres innlogging, eller at dere har en fellesbruker som flere kjenner passordet til?

    Regneark-risikoen: Lastes lister med sensitive personopplysninger eller lønn ned lokalt på PC-er, før de sendes videre på e-post?

    Passord: Bruker ansatte trolig samme passord på jobbinnloggingen som de bruker privat?

    Spøkelsesbrukere: Har tidligere ansatte eller innleide konsulenter fortsatt en aktiv bruker i systemet fordi ingen har stengt den?

    Usikker pålogging: Er det mulig å logge inn i dagens system kun med passord, uten bekreftelse via tofaktor?

    Det glemte systemet: Har dere tilgang til gamle løsninger som ikke er i aktiv bruk, men som fortsatt er åpne hvis man har riktig lenke?

    Et moderne system løser ikke disse problemene automatisk – men det gir deg en god mulighet til å etablere nye, trygge rutiner fra dag én.

    En skjeggete mann med briller smiler til kameraet i moderne kontormiljø, mens en person med caps jobber i bakgrunnen.

    Prøv Tripletex gratis i 14 dager!

    Over 160.000 bedrifter bruker Tripletex, og det er ikke uten grunn! Prøv du også – uforpliktende og kostnadsfritt.
    Prøv gratis
    Se priser

    Siste nytt fra Tripletex

    En mann sitter og smiler ved skrivebordet i et moderne kontorlokale med store vinduer og flere dataskjermer, selvsikker etter å ha tatt seg tid til å velge riktig regnskapsprogram for virksomheten sin.
    Regnskap
    Sist oppdatert

    Slik velger du riktig regnskapsprogram

    En praktisk guide for deg som leder en bedrift i vekst. Få 12 tips til hva du bør se etter når du skal bytte regnskapsprogram.

    To personer fra Tripletex sitter ved et bord med laptoper, smiler og snakker sammen, med store vinduer og et bylandskap i bakgrunnen.
    For regnskapsførereAI og teknologi
    Sist oppdatert

    Hvordan spare tid i Tripletex med AI?

    AI vil ikke erstatte deg som regnskapsfører, men å ta i bruk AI når du jobber i Tripletex vil gjøre deg langt mer effektiv og konkurransedyktig. Finn ut hvordan!

    Kristian Bakke går gjennom kontorlandskap med grønne planter. Snakker om skattemeldingen og årsoppgjør
    Skatt
    Sist oppdatert

    Skattemeldingen: Kun én av tre utnytter denne fordelen

    Bruker du fortsatt ulike systemer for regnskap, lønn og årsoppgjør? Du er ikke alene, men det er ikke nødvendigvis et godt tegn.

    Prøv Tripletex gratis

    Ingen betalingsdetaljer

    Prøveperioden utløper automatisk