it sikkerhed

Danske virksomheder er nogle af de mest digitale i Europa, men i takt med den øgede digitalisering stiger truslen fra cyberkriminalitet og IT- nedbrud. Beredskabsstyrelsen og DI udkom i 2017 med en undersøgelse, der kortlagde den aktuelle trusselvurdering, set fra virksomhedernes side. I undersøgelsen havde 225 offentlige og private virksomheder svaret på, hvilke trusler der med størst sandsynlighed kommer til at forårsage en krise i virksomheden indenfor de kommende to år. 66 af virksomhederne svarede, at risikoen for cyberkriminalitet, som årsag til en krise, er størst. På andenpladsen kommer IT-nedbrud. Og denne opfattelse er ikke blot taget ud af den blå luft. Tværtimod var netop cyberkriminalitet og IT-nedbrud årsagen til, at 63 af virksomhederne, indenfor de sidste to år, havde oplevet en krise.
IT-sikkerhed er ikke kun i virksomhedens egen interesse. Kriser som disse forringer virksomhedernes konkurrencedygtighed, hvilket igen skaber et dårligere erhvervsmiljø i Danmark og en mindre skatteindtægt for staten. For at forhindre dette har Erhvervsministeriet igangsat en indsats, hvor især de små- og mellemstore virksomheder kan få hjælp og rådgivning til at øge deres IT-sikkerhed. Således er der i perioden 2018-2021 afsat 18 mio. kr. til formålet.
Læs mere om initiativet her

right arrow1  Hvorfor er især små- og mellemstore virksomheder dårlige til at prioritere it-sikkerhed?

Vi har spurgt vores erfarne IT-konsulent, Rasmus Lauenstein, hvorfor det er, at især små- og mellemstore virksomheder ’hænger lidt i bremsen’, når det kommer til IT-sikkerhed - på trods af det nuværende trusselniveau.
Han forklarer, at årsagen hertil skal findes i flere problemstillinger. For det første har små- og mellemstore virksomheder ofte ikke ressourcerne og opgaverne til at ansætte en fuldtidsmedarbejder indenfor IT. Når der ikke er en medarbejder, der er selvskreven til opgaven, ender den ofte mellem to stole og bliver nedprioriteret i en travl hverdag. Mange mindre virksomheder tænker desuden, at cyberkriminalitet ikke rammer dem – at kriminelle går efter de større virksomheder. Men alle kan potentielt rammes – uanset størrelse.
Herudover pointerer Rasmus Lauenstein, at problematikken omkring IT-sikkerhed ikke bare handler om, at man implementerer nogle værktøjer, der gør det nemmere at arbejde med IT-sikkerhed, hvorefter projektet kører af sig selv. Værktøjerne er kun en facilitator, der hjælper med IT sikkerheden. Det er en dynamisk process der skal tilpasses efter behov. Det er reelt en tankegang, der skal implementeres i virksomhedens ”DNA”.

”Vi er så vant til, at det skal være så nemt. Der skal ikke være nogle personlige koder på computerne, fordi alle virksomhedens ansatte potentielt skal kunne tilgå dem. Vi skal alle have adgang til alle koder, så der ikke opstår flaskehalse. På den måde er der dog ingen i virksomheden, der reelt set har et overblik over, hvem der har adgang til hvilke systemer”.

Selvom denne tankegang er vanetænkning i mange virksomheder, så ser vi også små forandringer, der tyder på, at virksomhederne langsomt er ved at vågne op.

right arrow1  Den nye persondataforordning sætter nye krav

Den nært forestående nye persondataforordning (GDPR), der går i luften den 25. maj 2018, sætter nye og skrappere krav til, hvordan virksomhederne behandler og opbevarer personfølsomme data. Det kan medføre bødestraffe på mellem 2-4% af virksomhedens bruttoomsætning, hvis virksomhedens ikke er comliant ved skæringsdatoen. Denne trussel synes umiddelbart større for virksomhederne, end truslen for cyberkriminalitet, for i hvert fald ser vi, at virksomhederne langsomt begynder at få mere fokus på deres IT-sikkerhed og igangsætte initiativer til at understøtte arbejdet. Det er bestemt et skridt i den rigtige retning.

right arrow1  Få professionel rådgivning

Det er dog sjældent, at virksomhederne selv kontakter IT-konsulenter som Rasmus for at få hjælp til deres IT-sikkerhed. Det er oftest Rasmus selv, der spørger ind til kundens processer omkring IT-sikkerhed, når han alligevel hjælper dem med andre IT-services, og derigennem finder ud af, at virksomheden ikke har en politik på området. Det er en skam, for konsekvenserne ved at vende det blinde øje til IT-sikkerhed er stor – nogle gange uoprettelig. Hvorimod det er IT-konsulentens job at vejlede omkring IT-sikkerhed.
”Vi fungerer jo som kundernes eksterne IT-medarbejder, der yder support og hjælp ved behov, og vi kan derfor sagtens bistå virksomhederne i arbejdet med IT-sikkerhed og rådgive dem til, hvad de konkret bør gøre. Men vi kan ikke gøre hele arbejdet. Vi kan udpege de områder, hvor virksomheden bør sætte ind i forhold til deres IT-sikkerhed, og hvor de relativt nemt kan forbedre deres IT-sikkerhed - selv ved simple trin. Herudover kan vi sørge for, at virksomhederne har den rigtige teknologi til at understøtte arbejdet. Det, vi ikke kan gøre, er at holde medarbejderne i ørerne til daglig og sørge for, at de følger vores anvisninger. Her skal virksomhederne selv på banen”.

right arrow1  Trin til bedre IT-sikkerhed

Ifølge Rasmus Lauenstein er der især 5 indsatsområder, som kan bringe virksomheder et langt stykke af vejen henimod en bedre IT-sikkerhedspolitik:

 

checked box Kortlæg sikkerhedsbristerne

For det første bør I spørge jer selv, om alle virksomhedens medarbejdere bør have adgang til alt? Er I klar over, hvilke personer der sidder med adgang til hvilke systemer, abonnementer, licenser, enheder osv.? Kortlæg de adgange, I har internt i virksomheden, og hvem der har koder hertil. Brug eventuelt en password vault til at gemme alle adgangskoder sikkert.
Der er nogen om snakken, når formaningerne lyder på, at adgangskoder helst skal skiftes hver 3. måned. Herudover øger I sikkerheden, hvis I bruger forskellige koder til de forskellige systemer, programmer og brugerkontier. I sikrer desuden, at tidligere ansatte ikke har adgang til jeres data og services, når de ikke længere arbejder i virksomheden.
Adgangskoderne skal være tilpas ulogiske, så der ikke er nogen uvedkommende, der kan gætte sig frem til dem. Find en fast systematik i virksomheden, hvor I hver 2-3 måned udskifter samtlige adgangskoder.

checked box Undgå usikre netværk

I virksomheden har I højst sandsynligt jeres eget WiFi med kode. Når man bruger en kode til sit netværk forhindrer man, at uvedkommende kan bruge nedværket og ’sniffe’ den trafik, I sender frem og tilbage. Men hvis koden samtidig er tilgængelig for alle – måske står skrevet et synligt sted, hvor både medarbejdere, kunder, pakkeposten og rengøringspersonalet kan se den, så er det ikke svært for uvedkommende at logge på netværket og få adgang til jeres data og kommunikation. Skift koden til netværket med jævne mellemrum, og skildr ikke åbenlyst med den. Herudover bør I have et separat login til gæster og andre personer, som ikke skal have adgang til jeres data og oplysninger.
I dag, hvor arbejdstiderne er flydende, og der er mulighed for hjemmearbejdsdage, at arbejde på vej hjem i toget, at arbejde fra det offentlige bibliotek eller hotelværelset via arbejdscomputeren, er det især vigtigt at huske på, at man helst skal undlade at arbejde fra netværk, der ikke kræver kode til at logge på. Selvom et netværk med kode stadigvæk kan være usikkert, er det muligt for ejerne at ændre i protokollerne, så trafikken ’tunnelleres’, og det derved kun er ejerne, der kan se trafikken. Problemet kan løses ved, at virksomheden tilbyder de ansatte en større datapakke på arbejdstelefonen, så medarbejderne kan bruge telefonens netværk til at gå online.

checked box Opdatér jeres computer

Det kan tage tid at installere opdateringer på computeren – tit kommer de ubelejligt midt i en arbejdsopgave, du sidder koncentreret med. Det er derfor meget nærliggende at trykke ’installer senere’, når du får en notits om, at der er nye opdateringer klar. Men det er nødvendigt at tage opdateringerne seriøst. Det er netop her, at hackere har frit lejde – fordi de finder fejl i computernes styresystemer, hvor de kan snige sig ind og få adgang til fortrolig information.
Hvis der er et problem med, at medarbejderne ikke får installeret opdateringerne på computeren regelmæssigt, så kan det skrives ind i ansættelseskontrakten, at hver medarbejder har ansvaret for at holde sin computer, telefon og tablet opdateret til enhver tid. Sørg for, med jævne mellemrum, at tjekke op på, at medarbejderne rent faktisk overholder denne procedure.

checked box Hav klare procedurer omkring data/pengeoverførelser og klik på suspekte links

Alene indenfor de sidste par år har vi, igennem medierne, hørt om flere tilfælde, hvor IT-kriminelle har franarret virksomheder store pengesummer eller data igennem forskellige phishingmetoder. Vi kender selv til falske e-mails, der lokker med en glemt formue fra en ukendt afdød onkel. I de tilfælde er det som regel ikke svært at spotte en svindelmail på grund af en ’liiiidt’ for usandsynlig historie eller dårlig oversættelse og grammatik. Derimod kan man i sager om eksempelvis ’Spearfishing’ se en skræmmende præcision. Ved Spearfishing overvåger IT-kriminelle virksomhedens ansatte og ved præcis hvem, der står for pengeudbetaling og godkendelser heraf. Når de så sender en anmodning om pengeoverførsel, under dække af at være direktøren, så aner medarbejderen ikke uråd, fordi det foregår som normalt.

For at undgå denne slags hændelser kan I etablere en fast rutine, når det fx handler om overførsel af store pengebeløb eller data. Måske en tre-delt autorisation, så overførslen skal godkendes af tre medarbejdere, eller som minimum forudsætte et telefonisk opkald fra direktøren.
Det er især igennem e-mails, at virus og malware kommer ind på computeren og spreder sig til hele netværket. Links i mails skal du altid være påpasselige med at klikke på. Tjek mailen igennem for sjuskefejl og kør cursoren henover linket for at se, om url’en viser en suspekt adresse. Det er sikre tegn på, at det er en ondsindet mail, du har fået.
Men der skal ikke mere end én uopmærksom medarbejder til, før et klik kan føre til en inficeret computer og netværk. I dag findes der efterhånden rigtig gode muligheder for at gardere sig imod cyberkriminalitet og Spearfishing. Hos Simple Solution bruger vi Barracuda Sentinel, der ved at ’sandboxe’ mails, der virker mistænkelige, stopper og udpakker linket for at tjekke, om linket er inficeret med virus. På den måde tager programmet 99,9% af al virus, før det når jeres mailsystem.

checked box Backup, backup, backup

Vi har vist alle hørt det til hudløshed, men man skal ALTID huske at lave backup af sit arbejde. Uanset hvor meget tid, du bruger på at uddanne dine medarbejdere i IT-sikkerhed, og udarbejde sikkerhedsrutiner i det daglige arbejde, så kan det gå galt. Alvoren af går ofte først for alvor op for en, når man har prøvet at miste sin data, eller systemet går ned. Det er bitre erfaringer, som man kan undgå ved løbende at tage backup. Backup kan både foregå lokalt, på en ekstern server eller i skyen. Har man Office 365, er man garanteret en grad af backup på sine mails og filer, men man kan også tilkøbe it-programmer, som eksempelvis Barracuda Backup, der automatisk arkiverer alle mails, filer og andet af betydning. Hos Simple Solution er vi Preferred Partner hos Barracuda, og vi anbefaler produkterne til vores kunder, fordi det netop er nogle af de bedste på markedet.

 

Joomla\CMS\Menu\MenuItem Object
(
    [id] => 118
    [menutype] => skjult
    [title] => Blog
    [alias] => blog
    [note] => 
    [route] => blog
    [link] => index.php?option=com_content&view=category&layout=blog&id=8
    [type] => component
    [level] => 1
    [language] => *
    [browserNav] => 0
    [access] => 1
    [params:protected] => Joomla\Registry\Registry Object
        (
            [data:protected] => stdClass Object
                (
                    [layout_type] => blog
                    [show_category_heading_title_text] => 
                    [show_category_title] => 
                    [show_description] => 
                    [show_description_image] => 
                    [maxLevel] => -1
                    [show_empty_categories] => 
                    [show_no_articles] => 
                    [show_subcat_desc] => 
                    [show_cat_num_articles] => 
                    [show_cat_tags] => 
                    [page_subheading] => 
                    [num_leading_articles] => 0
                    [num_intro_articles] => 14
                    [num_columns] => 1
                    [num_links] => 0
                    [multi_column_order] => 1
                    [show_subcategory_content] => 1
                    [orderby_pri] => 
                    [orderby_sec] => 
                    [order_date] => 
                    [show_pagination] => 
                    [show_pagination_results] => 0
                    [show_featured] => 
                    [article_layout] => _:default
                    [show_title] => 
                    [link_titles] => 
                    [show_intro] => 
                    [info_block_position] => 
                    [info_block_show_title] => 
                    [show_category] => 
                    [link_category] => 
                    [show_parent_category] => 
                    [link_parent_category] => 
                    [show_associations] => 
                    [show_author] => 
                    [link_author] => 
                    [show_create_date] => 
                    [show_modify_date] => 
                    [show_publish_date] => 
                    [show_item_navigation] => 
                    [show_vote] => 
                    [show_readmore] => 
                    [show_readmore_title] => 
                    [show_icons] => 
                    [show_print_icon] => 
                    [show_email_icon] => 
                    [show_hits] => 
                    [show_tags] => 
                    [show_noauth] => 
                    [show_feed_link] => 
                    [feed_summary] => 
                    [menu-anchor_title] => 
                    [menu-anchor_css] => 
                    [menu_image] => 
                    [menu_image_css] => 
                    [menu_text] => 1
                    [menu_show] => 1
                    [page_title] => 
                    [show_page_heading] => 
                    [page_heading] => 
                    [pageclass_sfx] => 
                    [menu-meta_description] => 
                    [menu-meta_keywords] => 
                    [robots] => 
                    [secure] => 0
                )

            [initialized:protected] => 1
            [separator] => .
        )

    [home] => 0
    [img] =>  
    [template_style_id] => 0
    [component_id] => 22
    [parent_id] => 1
    [component] => com_content
    [tree] => Array
        (
            [0] => 118
        )

    [query] => Array
        (
            [option] => com_content
            [view] => category
            [layout] => blog
            [id] => 8
        )

)