Sikkerhet

Sikkerhet

two women facing security camera above mounted on structure
Foto: matthewhenry/Unsplash.com

For å unngå cyber-angrep er det viktig å gjennomføre sikkerhetstiltak. Ifølge tall fra Microsoft er 71 prosent av de som blir forsøkt angrepet av cyberkriminelle nettopp små bedrifter. Og blir din bedrift først rammet av et slikt angrep, kan det få enorme driftsmessige og økonomiske konsekvenser.

Seks sikkerhetstiltak som stanser hackerne

Det er anbefalt at du utfører følgende sikkerhetstiltak:

1. Sørg for å ha sterke og unike passord
Bruk sikre og unike passord som ikke kan gjettes eller brukes på tvers av forskjellige tjenester – spesielt ikke på tvers av private og jobbrelaterte tjenester.

2. Ta i bruk tvungen tofaktorautentisering
Innfør tvungen tofaktorautentisering på alle nettbaserte tjenester bedriften din bruker. Dette kan stanse hele 99,9% av alle falske innloggingsforsøk, ifølge Microsoft (se faktaboks).

Et enkelt grep stanser 99,9% av alle falske innloggingsforsøk

Seneste aktivitet på Microsoft-kontoen min stammer fra Honduras, sier du? En innlogging i Vietnam også, ja? Det er … spennende.

Dataangrep forekommer dessverre svært ofte. Bare Microsoft rapporterer at de opplever 300 millioner ulovlige innloggingsforsøk på sine skytjenester – hver eneste dag.* Samtidig estimerer de at hele 99,9 prosent av disse kan stanses med et enkelt grep: At brukerne aktiverer tofaktorautentisering.

Tofaktorautentisering betyr at du må presentere et ekstra bevis på din identitet, i tillegg til bare å skrive riktig passord. Du må med andre ord bekrefte innloggingen – for eksempel med en engangskode som du får på SMS eller i en egen autentiserings-app. Selv om hackere skulle klare å gjette eller stjele passordet ditt, kommer de seg da likevel ikke inn på kontoen din, fordi de ikke får bekreftet innloggingen med dette ekstra steget.

Mange tjenester gir deg muligheten til å innføre tvungen tofaktorautentisering – det betyr at du som leder kan være sikker på at alle ansattes kontoer er sikret på denne måten.

For å være ekstra sikker, er det viktig at hver enkelt bruker har sterke, unike passord – som byttes ofte. For å hjelpe deg med å lage- og holde styr på alle passordene, er det lurt å bruke en passord-manager, for eksempel Dashlane, Keeper eller LastPass.

… og hvis du oppdager at noen har logget på kontoen din fra Honduras eller Vietnam? Da bør du begynne brannslukkingen med å bytte passord og aktivere tofaktorautentisering – også på alle andre tjenester der du eventuelt har brukt samme brukernavn og passord.

Kilde: https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/

3. Ikke del nettverkspassordet
Beskytt det trådløse nettverket med et sikkert passord, som kun er for de ansatte. Opprett heller et gjestenettverk med begrenset tilgang på resten av nettverket ditt.

4. Unngå åpne nettverk
Ved jobb utenfor kontoret, bør du være obs på at alt du sender over åpne, trådløse nett potensielt kan leses av andre. Bruk mobilnettet, eller sørg for å ha en VPN-løsning som krypterer datatrafikken din så ingen kan lese den (se faktaboks).

Slik jobber du trygt utenfor kontoret

Kobler du deg ofte på Wi-Fi-nettet på togstasjoner, flyplasser og kafeer? Det er ikke uten videre trygt. For en dyktig hacker er det en smal sak å få innsyn i det som skjer på slike åpne nettverk – inkludert det du fyller inn av passord og betalingsinformasjon på nettsidene du besøker. Nettverkene kan også potensielt brukes til å spre skadevare til enheten din.

Her er tre måter du kan sikre deg på, og være trygg på at du har en sikker tilkobling:

1) Bruk VPN

VPN står for Virtual Private Network. Bruker du en VPN-løsning sendes ikke lenger data i klartekst frem og tilbake mellom deg og nettstedene du besøker. I stedet introduseres et mellomledd – en ekstern VPN-tjener – som krypterer all data som går inn og ut av enheten din. Du kan tenke på det som at det opprettes en trygg «tunnel» mellom deg og dette eksterne mellomleddet. All trafikk som går gjennom tunnelen er kryptert og dermed uleselig for hackere. Først på den andre siden av tunnelen, langt utenfor hackernes rekkevidde, pakkes informasjonen ut og sendes videre til nettsiden. På samme måte vil data fra nettsiden krypteres og sendes trygt gjennom tunnelen på vei tilbake.

2) Sikre enkeltprogrammer på personlige enheter

Noe som også er meget aktuelt hvis ansatte i virksomheten jobber fra hjemmekontor og/eller bruker personlige enheter, er å sikre tilgangen og tilkoblingen til hvert enkelt program som inneholder firmadata. Bruker dere for eksempel programvare fra Microsoft, les dere opp på deres Secure Remote Work-tilbud.

3) Bruk mobilnettet

Du kan unngå å bruke det åpne nettet i det hele tatt ved å opprette din egen Wi-Fi-sone med mobilen din. Pass i så fall på at du oppretter et sikkert passord, som ingen andre kan gjette. Og husk at du bruker mobilnettet, og dermed kommer til å merke det på mobilregningen hvis du overskrider den inkluderte datamengden din!

5. Gode rutiner for lagring og deling
Lag gode rutiner for lagring og deling av informasjon. De systemene dere velger som standard i bedriften bør være forståelige og enkle å bruke for alle ansatte – slik at man unngår at ansatte utvikler egne tjenester og løsninger utenfor bedriftens kontroll.

6. Ta ansvar for opplæring og bevissthet
Vær bevisst! Ingen sikkerhetstiltak er sterkere enn det svakeste ledd. Derfor er det viktig at de ansatte har tydelige retningslinjer, og for eksempel ikke ukritisk åpner suspekte e-poster. Dette krever også at ledelsen i bedriften er bevisst på problemstillinger knyttet til sikkerhet, og legger til rette for at ansatte får opplæring i sikkerhet.

Dette anbefaler Nasjonal sikkerhetsmyndighet:

Er du systemeier – altså ansvarlig for bedriftens datasystemer? Nasjonal sikkerhetsmyndighet (NSM) anbefaler følgende fire tiltak for å stoppe dataangrep mot bedriften:

  1. Oppgrader program og maskinvare
  2. Installer sikkerhetsoppdateringer så fort som mulig
  3. Ikke tildel sluttbrukere administrator-rettigheter
  4. Blokker kjøring av ikke-autentiserte programmer

1 Kilde: https://www.nsm.no

Vil du lære mer om sikkerhet og få huskeregler for din bedrift? Ta dette intro-kurset i Cybersikkerhet.

Se også Frend sin video om grunnleggende sikkerhet hos SMBer.