Skip to main content

10 budord för din IT-säkerhet

Nyhet   •   Okt 11, 2019 08:34 CEST

IT-säkerhet är som vi vet något som berör oss alla, oavsett vilka branscher vi verkar inom eller hur stora eller små våra organisationer är. Och det är ett arbete som sker dygnet runt, alla dagar på året. Men det är inte alltid så lätt att veta vad som ska prioriteras.

När det kommer till IT-säkerhet finns det en enskild parameter som är lite viktigare än alla andra – kunskap. Om du inte är medveten om hoten och har en grundläggande kunskap i hur du bäst skyddar dig, din organisation och er information så finns det tyvärr väldigt lite som hjälper om en skicklig angripare slår till. I den artikeln går vi igenom några av de viktigaste områdena du bör sätta dig in i rent strategiskt och proaktivt, och ger dig 10 budord att alltid ha i bakfickan – både för din egen skull och för att sprida till resten av organisationen.

1. Du skall inse att du är en måltavla.

”Vi har ändå inget som är av värde för några hackare” är en livsfarlig hållning som tyvärr är alltför vanlig i alla typer av branscher. Du måste förstå att idag kan exakt alla företag och organisationer vara att du är ett attraktivt mål för cyberkriminella. Oavsett om det handlar om att stjäla känsliga data, kommer över ditt kundregister med e-postadresser, utöva utpressning via ransomware eller sänka din webbplats med DDoS-attacker. Säg därför aldrig ”det kommer inte att hända mig”.

2. Du skall känna det du behöver skydda

Det är förstås oerhört viktigt att veta vad du behöver skydda. Det är minst sagt förvånande att många företag inte ens känner till vilka data som är extra viktiga att skydda – vilket alltför ofta leder till att kritisk information exponeras för hackare. Därför måste du göra en grundlig analys av vilka typer av data ni lagrar, hur den skyddas och vem som har åtkomst till den och hur de har åtkomst.

Det är inte ovanligt att företag kan ha viktiga data gömda i sina system utan att ens veta om det. Det här ställer också till problem på andra sätt, inte minst sedan den nya dataskyddsförordningen GDPR i kraft i maj 2018 – den ställer nya och hårdare krav på att du ska veta var du har information som innefattar personuppgifter, alltifrån telefonnummer och e-postadresser till kreditkortsnummer, och du ska kunna motivera varför dessa uppgifter sparas och visa hur de skyddas. Dessutom är du skyldig att snabbt rapportera eventuella incidenter till både Datainspektionen och till de personer som kan beröras.

3. Du skall sprida kunskapen

För att skapa en större medvetenhet, och därmed strängare disciplin, kring informationshanteringen i din organisation måste du genomdriva kontinuerliga kunskapskampanjer. Håll utbildningsdagar eller seminarier som informerar alla anställda om aktuella hot och om de anställdas ansvar – skapa om nödvändigt policyer som håller dem personligt ansvariga i vissa situationer (även om det bör nämnas att sådana hållningar tyvärr kan leda till att de anställda av rädsla drar sig för att rapportera incidenter). Det viktiga är i grunden att IT-säkerhet aldrig ska vara en fråga enbart för IT-avdelningen, utan för alla i organisation som på något sätt har tillgång till känsliga data eller fysiska accesser.

Alla användare bör därför utbildas i hur de korrekt använder enheter och system. Dessutom bör de lära sig grundläggande felsökning, så de snabbt vet vad de ska göra om något oväntat sker.

Det är organisationens ansvar att kontinuerligt utbilda sina anställda kring IT-säkerhet, för att undvika problem på lång sikt. Att snabbt identifiera ett potentiellt problem kan bidra till att förhindra onödiga åtgärder för att skydda nätverket.Diskussionen om IT-säkerhet kan vara skrämmande för personer som saknar djupare teknisk förståelse. Sikta därför på att göra dina utbildningsinsatser så enkla och koncisa möjligt. IT-säkerhet kan vara komplext på ett teoretiskt plan, men väldigt enkelt att förklara på ett praktiskt plan.

Det är givetvis också viktigt att kostnaden för intrång eller cyberattacker uppmärksammas. Förklara hur det hämmar produktiviteten, minskar kvaliteten på organisationens produktion, hur det kan leda till stora ekonomiska förluster och i vissa fall även tilltagna böter (för den som hanterar personuppgifter och får dessa stulna, som i fallet med ovan nämnda GDPR), och hur man undviker dessa problem genom att agera mer ansvarsfullt.

Anställda måste med andra ord lära sig så mycket som möjligt om organisationens samtliga säkerhetspolicyer och rutiner, och de bör testas regelbundet för att säkerställa att deras kunskaper är aktuella. Alla måste vara medvetna om rätt säkerhetspolicy, rutiner och daglig användning, och måste vara aktiva för att säkerställa en säker arbetsplats. Alla användare bör utbildas i hur de korrekt använder sina enheter. Dessutom bör de lära sig grundläggande felsökning av enheterna, så att de vet vad de ska göra om något oväntat sker.

Sluligen, utför regelbundna penetrationstester för att mäta hur väl du lyckats öka organisationens medvetande om IT-säkerhet.

4. Du skall kryptera

Det här kan förstås låta som en självklarhet, men det är förbluffande hur många organisationer som fortfarande inte förstår värdet av kryptering. Därför säger vi det högt och tydligt: för att optimalt kunna säkra organisationens information måste alla kritiska data krypteras. Bra krypterad data gör det oändligt mycket svårare (ibland praktiskt taget omöjligt) för angripare att skapa en översikt och bedöma dina data och om de kan ha nytta av den, även om de har lyckats med själva intrånget i ditt nätverk.

5. Du skall hava mer än starka lösenord

Du kan ha implementerat en stark lösenordspolicy för användarnas konton som kräver stora bokstäver, små bokstäver och en blandning av specialtecken, men det är fortfarande bara ett enda lager av skydd – bra lösenord hjälper föga om de exponeras och stjäls. Eller om användarna skriver ner dem på post-it-lappar som klistras fast på skärmen. Bortsett från att din policy bör kräva regelbundna byten av lösenord bör du därför även se över användning av biometri och tvåfaktorsautentisering för att lägga till ett ytterligare och extra robust säkerhetslager. Vad gäller er webbplats bör du se till att enbart de som verkligen behöver det har åtkomst till den och göra ändringar eller installera plugins.

Och eftersom exakt allt som är uppkopplat mot nätet kan infiltreras av illasinnade angripare bör du verkligen tänka över om exakt all information ska vara åtkomlig över nätet. Kanske bör vissa data bara ligga på en intern server eller bara gå att nå utifrån specifika säkerhetsrutiner och inte via alla enheter och öppna nätverk. Säkerhetsklassa dina data och se över vem som har åtkomst till vad. Det finns ingen anledning till att en vikarierande telefonförsäljare ska kunna komma åt viktiga finansiella dokument bara för att hen kan logga in på en viss server.

6. Du skall styra ditt nätverk med järnhand

Oavsett vilken bransch du verkar i är trådlösa nätverk en väsentlig del av arbetet – både på kontoret och för de som arbetar på distans i hemmet, på caféet eller på flygplatsen. Här finns förstås massor av fallgropar som kan äventyra säkerheten. Om vi börjar med kontoret så bör du givetvis skydda nätverket som ni använder på bästa möjliga sätt (använd starkast möjliga kryptering och bra lösenord) och sätta upp ett separat gästnätverk för besökare. Du bör även begränsa tillgången till din allra mest kritiska infrastruktur. Döp också gärna nätverket till något annat än ”ExternIT:s interna wifi”, du vill ju inte hjälpa en eventuell angripare extra mycket, eller hur?

Vad gäller wifi utanför kontoret bör du även här utbilda dina anställda i hur de bör tänka när de ansluter på exempelvis caféer. De bör definitivt granska nätverket innan de ansluter och försäkra sig om att de verkligen ansluter till det nätverk som de vill ansluta till – det är inte helt ovanligt att en angripare sätter upp ett falskt nätverk med ett liknande namn för att övervaka trafiken och stjäla data. Vill du vara ännu säkrare kan förstås du tvinga alla att ansluta via VPN eller inte ge åtkomst till vissa data eller system från öppna wifi-nätverk.

Kontrollera även åtkomsten till ditt trådbundna nätverk. Det är inte ovanligt att det finns fullt fungerande nätverksuttag (som ger access till ditt nätverk) i såväl receptioner som konferenslokaler som används av andra än din personal.

7. Du skall icke ansluta externa enheter du inte känner till

Vad skulle du göra om du hittade ett USB-minne på parkeringsplatsen utanför kontoret? Tyvärr har flertalet studier visat att de flesta kommer att plocka upp det och av ren nyfikenhet ansluta det till en dator på arbetsplatsen. Detta är förstås mycket dåliga nyheter för din organisation, då en angripare kan plantera mycket skadlig kod på en USB-enhet, vilket förstås kan orsaka allvarlig skada på företagsnätverket eller din fysiska enhet. Kardinalregeln är att aldrig någonsin ansluta enheter du inte litar på till företagets nätverk.

8. Du skall göra allt för att inte fastna på nätfiskarnas krok

En av de vanligaste metoderna som cyberkriminella använder för att komma in i företagsnätverk är genom så kallat nätfiske via e-post. I ett litet företag kan du kanske tänka att du inte är ett mål, men dina data och tillgång till dina kundfiler är hett eftertraktade. Cyberkriminella dreglar av tanken på att stjäla sådana personliga och identifierbara uppgifter som finns i ett kundregister. Den typen av data säljs och handlas det med på de dunklare delarna av Internet. Inget företag, stort eller litet, är helt immunt mot nätfiske, men det finns några saker din organisation kan göra för att minimera risken att drabbas. Den grundläggande och kortfattade uppmaningen är ”tänk efter innan du klickar”.

Men vad är det då ska du tänka på?
Följande bör i alla fall alltid finnas i bakhuvudet hos alla anställda:

  • Ser länken korrekt ut? Kontrollera alltid varje länk innan du klickar. Håll pekaren över länken för att förhandsgranska webbadressen och se noga på eventuella felstavningar eller andra mystiska saker. Om du inte ser hela adressen eller är osäker på legitimiteten kan du öppna en ny flik i webbläsaren och där ange webbplatsens huvudadress manuellt.
  • Innehåller meddelandet ett bifogat dokument? Även om ett meddelande verkar vara legitimt bör du ändå alltid vara misstänksam mot länkar och bilagor – dessutom kan ju en kollegas konto ha hackats. Var därför också uppmärksam även med interna meddelanden inom företaget. Det är relativt enkelt för en angripare skapa falska adresser eller att tillverka en falsk bokstav som ser ut som en riktig. Du bör givetvis vara extremt noggrann med att verifiera alla meddelanden som vill att du ska auktorisera en betalning eller uppdatera lösenord och andra uppgifter.
  • 9. Du skall säkerhetskopiera

    Vikten av detta kan inte nog understrykas. Bra backup-rutiner är ett måste för alla.

    Ransomware-attacker, som låser hela system och kräver lösensummor, har ökat kraftigt under de senaste åren, och för organisationer som drabbas kan det få förödande konsekvenser. Har du inte en bra backup-lösning och rutiner på plats, är risken stor att du verkligen får bita i det sura äpplet om du drabbas av ransomware. Företag är också förstås mer benägna privatpersoner att snabbt betala för att deras data ska låsas upp. Ransomware-skurkarna riktar sig därför gärna mot företagsnätverk och utvecklar allt kraftfullare och mer sofistikerade sätt att sprida den skadliga koden. Och det är dessvärre en lönsam verksamhet som drar in miljarder i betalade lösensummor – men många offer får inte ens tillbaka sina data, trots att de betalat de utkrävda beloppen.

    Det bästa är att du kan vaccinera dig mot ransomwares skadeverkningar genom att göra något som alla företag alltid borde göra ändå: säkerhetskopiera dina data kontinuerligt. Har du färska backuper på allting kan du snabbt vara på banan igen, utan att förlora nämnvärt i pengar eller produktivitet, och du kan dessutom oftast skratta utpressarna i ansiktet. Om du inte har bra backup-lösningar på plats är det dags att ordna det nu!

    10. Du skall lära dig vad social engineering är

    Social engineering brukar beskrivas som konsten att hacka människans operativsystem i stället för en dators. Det handlar helt enkelt om bedrägerier och lurendrejerier i många olika skepnader – allt från att angriparen klär ut sig till elmontör och lurar sig in i byggnaden till att de tar reda på när chefen är på semester och sedan ringer kontoret och låtsas var den aktuella chefen som sitter på stranden och snabbt behöver sitt lösenord eller måste godkänna en faktura. Andra attacker kan gå ut på att en angripare ber någon lägre ner i organisationen att få skriva ut en fil från ett usb-minne (infekterat med malware, givetvis) eller baseras på avancerat och personligt riktat nätfiske mot någon i ledningen.

    Varianterna är närmast oändliga och det här är något som hela organisationen måste sätta sig in i och vara vaksamma på – alla från receptionisten till vd:n är potentiella mål för social engineering.En sak som många inte tänker på, men som dessvärre kan förenkla för social engineering-angripare är vad som delas i sociala medier. Det är kanske kul att visa en film inifrån kontorets firmafest eller berätta att cheferna är på konferens i fjällen, men det gör att en potentiell angripare mycket enklare ”lär känna” din organisation på flera plan. Tänk alltså efter vad du delar och om det verkligen är lämpligt att dela.

    Social engineering är också en mycket bra sak att testa i olika penetrationstester. Anlita någon av de många experter som finns på området. Det är ganska troligt att du får en ren skräckupplevelse när du inser hur lättlurad din organisation faktiskt är.

    Kommentarer (0)

    Lägg till kommentar

    Kommentera

    Genom att skicka din kommentar accepterar du att dina personuppgifter behandlas i enlighet med Mynewsdesks Integritetspolicy.