Take IT Away Blog

Her finder du "take aways" omkring IT, så som IT-sikkerhed, Tips & Tricks, Office365, Cloud, Outsourcing og mere teknisk nørderi. God fornøjelse.

Alle artikler

Opdateret! 13 Gode Råd om IT-sikkerhed (Som Du Kan Implementere Nu og Her)

 hacker-1

Kan du gætte hvor mange danske virksomheder, der blev udsat for et cyberangreb sidste år? 

Ifølge en analyse af data- og cybersikkerhed er svaret hele 68%! 

Dansk Erhverv har i november 2017 lavet en tilsvarende undersøgelse. Her er hele 73% af de adspurgte virksomheder enten blevet ramt eller forsøgt ramt af et cyberangreb. De forskellige typer angreb dækker over: 
  • Phising
  • CEO-fraud
  • Anden malware
  • Hacking
  • Ransomware
  • Denial of service 

Men måske tænker du: 

"Ja, men hvilken slags angreb, er der tale om?".

Det viser grafen her: 

Virksomheder_ramt_af_cyberangreb

 

Hele 28 % af virksomhederne har oplevet et succesfuldt angreb, hvor hackere fik adgang til systemet eller en mail med malware blev åbnet. 

Desværre finder 65% det sandsynligt eller meget sandsynligt, at de bliver ramt her i 2018. 

 

cyberangreb

 

Og tro det eller ej:

mange virksomheder har  stadig ikke det optimale sikkerhedsniveau eller en plan for at sætte ind, hvis de bliver ramt. På trods af at antallet af hackerangreb desværre er støt stigende. Og på trods af at konsekvenserne af IT-kriminalitet kan være direkte lammende for virksomheden. 

 IT-nedbrud-vælter-virksomheden

 

Hackerne er blevet flere og mere snu og dermed oplever virksomhederne flere angreb og indbrud. Og mens du forhåbentlig går på sommerferie lige om lidt, så gør hackerne det ikke. 

Derfor er det vigtigt, at I har styr på IT-sikkerheden i din virksomhed. 

Så her får du 13 gode råd om IT-sikkerhed, som du kan implementere nu og her, så du kan gå på sommerferie med ro i maven. Flere af disse råd kan lyde både indlysende og banalt, men desværre viser erfaringerne, at det mange steder ikke er tilfældet.  

 Ja tak. Bedre IT-sikkerhed nu >>

 

OK, lad os gå i gang: 

1. Husk at logge af - og undgå at skylde kage til kontoret

En af de simple interne sikkerhedsprocedurer er at huske at logge af eller låse din skærm, når du forlader computeren. Også når du bare lige skal ud og hente en kop kaffe. 

Det sikrer, at uvedkommende ikke får adgang til din filer.

Og det forhindrer også, at du bliver ramt at den klassiske "jeg-giver-kage-kontorhumor", hvor din kollega logger ind på din mail og sender en "Jeg giver kage i morgen"- mail ud til alle på kontoret. 

Vi har vist alle prøvet at forlade computeren uden at låse skærmen. 

 

log-of-your-computer

 

2. Brug altid sikkerhedssoftware - i den betalte version

Du skal altid benytte sikkerhedssoftware på din computer, der indeholder:

  • antivirusprogram
  • spamfilter
  • phisingfilter
  • antispyware
  • firewall
  • trafikfiltrering
  • automatiske softwareopdateringer

Programmet sørger for at beskytte din enhed mod virus og forhindrer hackere i at tilgå dine filer, din mail m.m. Sørg for at opdatere sikkerhedsprogrammet jævnligt for at få den mest optimale beskyttelse. Det er bedst, hvis programmet opdateres automatisk og gerne dagligt.

Her er den klare anbefaling at betale for sikkerhedssoftware, da de gratis programmer ikke har Internet Security med. Det betyder, at de gratis programmer IKKE blokerer for hjemmesider, der er utroværdige. 

Ikke godt...

Når du vælger sikkerhedssoftware med Internet Security, så blokerer programmet automatisk for internetsider, der står registreret som mere eller mindre suspekte. 

Der findes flere løsninger,  der stopper angreb allerede ved indgangen til virksomheden og inden det rammer den enkelte medarbejders computer.

 

end-protection 

Et eksempel kunne være Microsoft System Center Endpoint Protection (SCEP i daglig tale) eller Heimdal Security. 

Arbejder du i en større virksomhed med mange computere kan det være en fordel med en løsning, der styres centralt. Det vil sige, at der fra ét sted skubbes opdateringer ud. Det kan sikres via din IT-afdeling eller ved at outsource din IT til en IT-partner. 

Derudover bør I løbende scanne alle jeres systemer, for at sikre at der ikke ligger noget virus eller malware. 

 

3. Opdater dine programmer og systemer jævnligt

IT-kriminelle lever af sårbare IT-systemer. De ved desværre lige hvordan de skal udnytte huller i din virksomheds styresystemer, og det gør din virksomhed sårbar over for angreb. 

Men heldigvis forbedrer leverandører af styresystemer og programmer løbende deres software, så det bliver sværere at hacke sig ind i dem. 

Opdater derfor dine programmer og dit styresystem jævnligt. Bruger du programmer som Adobe, Java, Microsoft osv. så sig ja til opdateringerne, når de kommer. Opdateringerne er nemlig med til at sikre, at sikkerhedshuller i systemet lukkes.

Indrøm det bare...

Har du lige som jeg undladt at opdatere et program, fordi det passer dårligt ind i din arbejdsdag eller tager tid fra noget andet? 

Dårlig idé. Jeg ved det godt. Sørg for at få opdateret, så sikkerhedshullerne lukkes. 

I mange programmer kan du slå en automatisk opdatering til. Spørg din IT-ansvarlige, hvis du er i tvivl om hvordan. 

 opdater-din-programmer

 

4. Anvend kun software, der supporteres af leverandøren

Har du programmer eller software, der ikke længere supporteres af leverandøren, så stop straks med at bruge det. 

Gammelt out-dated software udgør en trussel.

 opdater-dit-software

 

 5. Fjern unødvendige programmer

I forlængelse af ovenstående...

Har du eller dine kollegaer mon et par programmer eller to installeret, som I ikke længere bruger? Sørg for at fjerne disse, så I ikke har uopdaterede programmer liggende, der både optager plads og kan udgøre en sikkerhedsrisiko.

Lav jævnligt en gennemgang af dine installerede programmer for at se, om der er noget, som du ikke længere har behov for. 

En god idé er kun at installere programmer, som du har brug for. 

Og installer aldrig programmer, du får tilsendt uopfordret fra andre. 

fjern-gamle-it-programmer

  

6. Klik ikke på suspekte links

Du skal aldrig klikke på links, du modtager fra kilder du ikke kender. 

Du kender det sikkert godt: 

En mail der hurtigt forsøger at få dig til at fikse et problem via et link er som regel phishing. Det kan f.eks. være at din konto bliver lukket ned, at du ikke længere kan modtage mails eller at du ikke længere kan tilgå dine bankoplysninger. 

Nedenstående mail fik jeg i sidste uge. 

Her forsøger afsenderen af udgive sig for at være fra Microsoft, og vil have mig til at bekræfte min konto: 

spam-mail

Det der først springer i øjnene er sproget, som sikkert er oversat via Google translate eller lignende service med ord som "vedligeholdelse problem" og "kontoholdet" . 

Det næste er afsenderadressen, som ikke kommer fra Microsoft men fra fusemail. Tjek altid om afsenderen er den, som de udgiver sig for at være. 

I stedet for at klikke på linket, kan du altid logge ind på originale website til den tjeneste du bruger (mail, bank, telefon m.m.) og tjekke din konto. 

Tjenester som banker sender ifølge Computerworld aldrig links i deres mails. 

 

7. Vær opmærksom på sociale medier

Og det fortsætter:

Sociale medier så som Facebook er en rigtig legeplads for IT-kriminielle. Klik ikke på links du modtager over Facebook, Messenger eller andre sociale netværk, hvis du ikke er 100% sikker på at det ikke indeholder virus. 

1000vis er blevet ramt ved, at de har modtaget et link til en video fra en i deres netværk. Linket ligner et link til en YouTube-video. Når du klikker på linket, rammer du en hjemmeside, hvor du skal installere et plug-in for at se videoen. Og det er dette plug-in, der får virussen plantet og spredt videre i dit netværk på Facebook. 

Derfor: 

Installer aldrig plug-ins fra ukendte afsendere. 

Er du uheldigvis kommet til det, skal du slette plug-innet, genstarte din browser og lave et nyt password til Facebook. 

Her har jeg selv fået en besked via Messenger fra en bekendt, som normalt ikke ville skrive til mig. (Filen er nu fjernet, men da jeg fik beskeden, var der et youtube-icon.)

  

 some-spam-2

 

8. Udvis sikker adfærd online

Det er en god idé at bevare en vist portion skepsis, når du surfer rundt online. 

Støder du på hjemmesider, hvis indhold strider imod god etik, så som at opfordre dig til at købe varer eller services, du ikke helt kan bestemme oprindelsen af, så vær opmærksom. Uoriginalt (piratkopieret) software har ofte sikkerhedsbrister, der gør at IT-kriminelle kan få adgang til din computer, og dermed dine data og filer. 

 

9. Krypter din virksomheds trådløse netværk

Efterhånden er trådløst netværk en uerstattelig del af vores hverdag, både på arbejde og hjemme, specielt da vores arbejdsdag ved mange tilfælde fortsætter derhjemme. 

Du har forhåbentlig kryptering aktiveret og beskytter dit netværk mod uautoriseret brug?

Men spørgsmålet er:

Har du den rigtige krypteringsmetode på plads for at beskytte dine data, og hvordan ved du, hvilken kryptering der er den "bedste" at bruge?

Bær over med mig, for nu kommer der først lidt historik: 

Det hele startede med trådløs sikkerhed kaldet WEP (Wired Equivalent Privacy). Dengang, for mange år siden var WEP "standard" for trådløs sikkerhed. Det varede indtil den blev ”knækket”.

WEP's efterfølger blev WPA (Wi-Fi Protected Access) og der den nye standard for sikring af trådløse netværk blev født. Den var bedre, men langt fra et perfekt produkt.

Behovet for endnu en trådløs krypteringsstandard til at erstatte WPA var en realitet og vi fik WPA2. WPA2 er den aktuelle standard for Wi-Fi-sikkerhed og derfor bør du vælge WPA2 indtil en nyere standard bliver tilgængelig. For nyligt har vi set at selve WPA2 blev kompromitteret og at en ny udgave af WPA, udgave nr. 3 (WPA3) sættes snart i brug. 

Men overraskende nok: 

På trods af at WEP blev knækket, at den er for gammel og forfalden, så eksisterer den stadig på ældre netværk, der ikke er opgraderet til nyere sikkerhedsstandarder.

Tilbage til sikkerhed på Wi-Fi.

Det at du vælger den rigtige krypteringsstandard er en vigtig indstilling i dit trådløse netværks sikkerhed. Men betyder det at dit netværk er uigennemtrængeligt for IT-kriminelle hvis du bare bruger en robust kryptering? En ting er sikkert, det er ikke det eneste du skal kigge på.

Der er et par andre vigtige faktorer som du kan kigge på, så dit netværk bliver mere  robust og sikkert. Så kan du sige, at du har gjort alt hvad du kan for at sikre dit netværk:

Find ud af om din trådløse netværksrouter har en af de nyeste (ikke nødvendigvis den allersidste) og bedste firmwareopdateringer, så hackere ikke kan udnytte en sårbarhed eller " router bug". 

Og det næste er logik for burhøns:

Husk at have en stærk adgangskode til dit trådløse netværk. 

Adgangskoden til dit trådløse netværk (PSK under WPA2) er lige så vigtig som at have stærk kryptering. Hackere kan bruge specialiserede hacking-værktøjer til at forsøge at ”afsløre” adgangskoden til dit trådløse netværk.

Det er ganske simpelt: 

Jo enklere adgangskoden er, jo større er chancerne for, at det kan blive kompromitteret.

Sidst men ikke mindst:

Hvad så med navnet på dit trådløs netværk?

Det kan godt være, at det er ikke så vigtigt, men faktum er, at dit trådløse netværks navn også kan udgøre et sikkerhedsproblem. Det letter arbejdet for ondsindede mennesker som vil overtage dit netværk, især hvis det er et generisk eller meget almindeligt. Den bedste måde at sikre netværket på er, at give det et anonymt navn. 

For at opsummere: 

  • Hav kryptering aktiveret
  • Brug den nyeste sikkerhedsstandard
  • Sørg for at have en af de nyeste firmwareopdateringer
  • Hav en stærk adgangskode der er svær at gennemskue.
  • Vælg navnet på dit netværk med omhu

Din virksomhed skal have lukkede trådløse netværk, så udefrakommende ikke kan tilgå dem og jeres data. Med et krypteret netværk forhindrer du uønsket adgang til netværket. 

 

krypteret 

 

10. Sikkerhedskopier altid virksomhedens data - backup

Hvis din virksomhed mister vigtige data, eller hvis de slipper ud, kan det have store konsekvenser for troværdigheden, økonomien og firmaets position i markedet. Kundeoplysninger, personaleoplysninger, økonomi, patenter, produkthemmeligheder m.m. bør altid sikkerhedskopieres. Alt det, som din virksomhed ikke kan tåle at miste, skal I sørge for, at der rutinemæssigt bliver taget backup af. 

Force majeure så som brand, vandskade, IT-angreb eller misvedligeholde af hardwaren kan føre til store datatab, lang nedetid og utilfredse kunder og medarbejdere.

Ikke godt. 

Derfor skal du have en stærk backup. Backuppen kan placeres flere steder, så som på eksterne drev eller i en cloudløsning. 

Tjek også jævnligt at backuppen virker. Dette skal din IT-afdeling eller IT-partner have styr på. 

  server

 

11. Hav en plan klar ved sikkerhedsbrud

Det kan have store økonomiske konsekvenser, hvis I ikke kan tilgå vigtig data i længere tid. Derfor bør din virksomhed have en tydelig plan for, hvad der konkret skal gøres, hvis I mister data fx. på grund af ransomware. 

Stil dig selv disse spørgsmål:

  • Hvordan bruger I sikkerhedskopien?
  • Hvor hurtigt får I sikkerhedskopien op at køre? 
  • Hvad skal den enkelte medarbejder gøre, hvis der er mistanke om et IT-angreb? 
  • Hvem ringer I til? 

 

 Ja tak. Bedre IT-sikkerhed nu >>

 plan

 

12. Del ikke flytbare medier

En god sikkerhedsregel er også ikke at dele flytbare medier, så som harddiske og USB-nøgler med andre. Disse kan nemlig nemt smittes med virus, når de bruges på andre enheder. 

 

13. Brug altid et sikkert password

Alle i virksomheden skal bruge sikre passwords som log-in til både deres computer samt til diverse online tjenester og applikationer. 

Brug altid et password, som andre ikke kan gætte. De sikreste passwords er typisk:

  • lange
  • indeholder både store og små bogstaver
  • indeholder tal og symboler
  • svære at gætte 

Skift dit password regelmæssigt, gem det væk, udlever det ikke til andre og brug aldrig det samme password til forskellige tjenester og programmer. 

Argh, jeg ved godt, at det er irriterende at skulle udskifte dit password, når du nu lige kan huske det. 

Du skal bare lave et langt og stærkt password, du altid kan huske. 

Det lyder nemt. Og det er det også. 

Du har vel nogle sange, du enten elsker eller som bare insisterende sætter sig fast på hjernen? 

Brug en af disse og wupti, du har et langt password, som ingen kan gætte - og som du altid selv kan huske. 

Gør sådan:

  • Brug titlen eller en linje fra din yndlingssang
  • skift en af vokalerne ud med et tal.

Hvis nu din yndlingssang var "Se den lille kattekilling", så kunne det se sådan her ud:

SeDenLilleKattekilling = S3D3nLill3Katt3killing

Se hvordan du gør i videoen herunder. Selv bedstefar og bedstemor kan finde ud af det. 

sikkert_password

 

Uddan dine medarbejdere i IT-sikkerhed

En af de vigtigste ting for at opnå sikker IT er at uddanne dine medarbejder i IT-sikkerhed. 

Din virksomhed bør have en sikkerhedspolitik og bør som minimum uddanne alle medarbejdere i hvad de kan gøre for at mindske risikoen for inficering af virksomhedens IT-systemer med virus eller malware.

Det betyder blandt andet, at medarbejderne skal forholde sig kritisk til de ovennævnte punkter, så som installation af programmer, e-mails, vedhæftede filer og links, falske hjemmesider, sociale netværk og chat. 

 

Lad-os-løfte-din-forretning

 

Så hvordan sikrer du, at I har styr på sikkerheden? 

Tag fat i din IT-ansvarlige. Eller team up med en professionel IT-partner. 

Din virksomheds data er med til at holde den konkurrencedygtig, så IT-sikkerhed bør have høj prioritet.  

Ja tak. Bedre IT-sikkerhed nu >> 

 

13 gode råd om IT-sikkerhed

Relaterede artikler

Hvilket SSL-certifikat skal jeg vælge?(En Step-by-Step Guide)

  Hvilket SSL-certifikat skal jeg vælge? (En Step-by-Step-guide) Alle websites skal i dag have et SSL-certifikat - et sikkerhedscertifikat - tilknyttet deres website, så informationen imellem den og serveren er sikker og krypteret. SSL-certifikater benyttes for at beskytte sensitiv information så som:

Sådan undgår du "ikke sikker" advarslen i Google

Hvorfor vises mit website som "ikke sikker" i Google? Hvis dit website eller din webshop vises med en "ikke sikker"-advarsel og en advarselstrekant i browserbaren, så skyldes det, at du ikke har et sikkerhedscertifikat (et SSL certifikat) tilknyttet dit website. Og det kan Google ikke lide. Hvis du stadig kører dit website over HTTP (HyperText Transfer Protocol) og ikke over HTTPS (HyperText Transfer Protocol Secure), vil Google udstede sikkerhedsadvarslen "ikke sikker" som alle besøgende vil se. Det skyldes, at du ikke har en krypteret https forbindelse. Det er ikke ligefrem noget som Google eller dine besøgende kan lide. Tværtimod! 

Hvordan virker et SSL-certifikat?

En sikker, krypteret forbindelse Dit website skal sikres med et sikkerhedscertifikat - et såkaldt SSL-certifikat - ellers er forbindelsen mellem dit website og serveren usikker. SSL-certifikatet sørger for en sikker og krypteret forbindelse imellem et website og en webserver.