IT sikkerhed

Multi-Factor Authentication og hvorfor du skal bruge det!

MFA-Blog-Banner-1600x800.jpg

Adgangskoden er uden tvivl den mest populære og mest almindelige sikkerhedsforanstaltning til rådighed, og i mange tilfælde er den desværre også den mest sårbare. I 2016 blev det afsløret, at den førende kilde til databrud er hackere og cyber-kriminelle, som er efter identitetstyveri. Desværre er det mest brugte modsvar på denne trussel at ændre virksomhedens eller medarbejdernes adgangskoder!

Og så starter det hele forfra og adgangskoden har mange mangler. For det ene giver adgangskoderne ikke tilstrækkelig identitetskontrol. Enhver, der får fat i adgangskoden, kan simpelthen logge ind på en konto og tage det, de har brug for. Derudover er kontosikkerheden udelukkende baseret på passwordets styrke som normalt ikke er stærk nok.

Og der er ingen tvivl om at man i denne digitale tidsalder skal holde styr på rigtig mange brugernavne og adgangskoder til alle de mange konti man har fået samlet sammen efterhånden, både på jobbet og privat. Og det gør at brugerne ofte laver et password der er simpelt, nemt at huske og ubevidst, let at hacke. Ofte er det samme passwords der bliver brugt på flere konti og er et password først komprimeret og du ikke er opmærksom på det med det samme, så er pludseligt en hel del personligt data der står på spil.

For at komme dette svage led til livs er mange virksomheder gået over til MFA, som basalt set at du beskytter adgangen til dine data med to lag forsvar. Første lag er et password eller noget du kender og det andet lag er bekræftelse at du gerne vil tilgå denne information med noget du har, en mobil enhed, fingeraftryk og lign.

Vi giver lige 8 gode grunde til at du skal bruge MFA.

  1. Identitets tyveri er en let, lav risiko men højt belønnet kriminalitet og en trussel for alle virksomheder (og privatpersoner) og det er den hurtigst voksende type kriminalitet i øjeblikket. Identitets tyveri har nu overgået og er mere rentabel end narkotikarelaterede forbrydelser, så det er lukrativt og fristende at kaste sig over denne type kriminalitet.
  2. Svage eller stjålne brugeroplysninger er hackers valgfri våben der anvendes i 95 procent af alle webapplikationsangreb.
  3. Fra 2013 til 2014 steg antallet af succesfulde brud på 27,5 procent. De IT-kriminelle er altså godt i gang med at vinde eller få overtaget i it-sikkerheds kapløbet.
  4. Overskrifterne har tendens til kun at nævne de større og mere nyhedsskabende virksomheder, men det er langtfra de eneste virksomheder de IT-kriminelle går efter. Af alle målrettede angreb er 31 procent rettet mod virksomheder med færre end 250 ansatte.
  5. Anti-virus systemer og avancerede firewalls er nødvendige sikkerhedselementer, ligesom sårbarhedstest, men uden brugergodkendelse er hoveddøren dog stadig åben for indtrængere.
  6. Adgangskode tyveri udvikler sig konstant og hackerne bliver bedre og bedre til at anvende metoder som keylogging, phishing og pharming.
  7. Cyber-kriminelle gør mere end blot at stjæle data. Ofte ødelægger de data, ændrer programmer eller tjenester, eller bruger servere til at sende propaganda, spam eller ondsindet kode.
  8. Medarbejdere er allerede vant til at autentificere sig i deres personlige liv, da udbydere af onlinetjenester som hjemmebank, spil, sociale medier og e-mail alle har vedtaget mobilbaserede værktøjer til effektivt at autentificere deres brugere, når de får adgang til deres systemer.

Du reducerer altså risikoen betragtelig for at blive et offer, hvis du benytter MFA. For selv om du skulle få stjålet dine personlige oplysninger, så skal de IT-kriminelle stadig have adgang til dine digitale enheder for at få adgang til din data eller for at kunne udgive sig for at være dig.

Dagens IT-administratorer håndterer pres og krav fra alle sider og det kritiske behov for top-level it-sikkerhed er større end aldrig før, især da de cyber-kriminelle tilpasser deres metoder på stadig mere kloge og komplekse måder. Udfordringerne for it-administratorer er at beskytte netværket på en sådan måde, at sikkerheden er i top med adgangen, stadig er overskuelig og nemt for dem der rent faktisk skal bruge det.

MFA eller Multi Faktor Autentificering gør arbejdet langt nemmere for IT-administratorer fordi de på en enkel og sikker måde ved at de har implementeret en sikkerhedsstrategi, der beskytter virksomhedens platforme og brugere, og reducerer kompleksiteten, samtidig med at der sikres adgang og øger fleksibiliteten hos fjern- og medarbejdere.

Afpresning på email og hvordan du slipper af med dem.

Data-beskyttelse-800x800.png

Email sikkerhed og email afpresning

"Jeg vil gå direkte til sagen. Jeg ved at "Hemmelig1234" er dit kodeord. Endnu vigtigere, jeg kender dine små video hemmeligheder og jeg har beviser".

"Faktisk lagde jeg malware på de "voksen" sider (porno) du har besøgt det sidste stykke tid og mens du kiggede på videoer, begyndte din internetbrowser at fungere som en RDP (Remote Control Desktop) med en nøgle logger, som gav mig adgang til din skærm, kontaktpersoner og dit webcamera. Jeg vil sende din videooptagelse til alle dine kontakter, herunder familiemedlemmer og kollegaer og fortælle om dine mest beskidte detaljer. Medmindre du betaler mig 2000 usd i Bitcoins"

"Du har 24 timer til at gennemføre betalingen og hvis jeg ikke modtager betalingen, sender jeg din video til alle dine kontakter, herunder familiemedlemmer og kollegaer. Betaler du sletter jeg videoen. Så spild ikke min tid og din ved at besvare denne email, du har 24 timer til at betale"

Dette er faktisk en rigtig mail modtaget af en af vores kunder i sin mail boks! Det lyder ubehageligt og det er det også, for det bliver lige pludseligt meget personligt og meget mere personligt end de "normale" Nigeria mails man efterhånden er blevet ret vant til. Men i dette tilfælde nager tanken om der rent faktisk er en person, som har kigget ind i ens hjem og privatliv igennem ens webcamera og de IT kriminelle bliver mere sofistikerede, mere modige og langt mere aggressive. I de fleste tilfælde er en meddelelse om, at du skal betale en vis sum penge, fordi du har været på porno sites eller lign. og at du vil få problemer, hvis du ikke betaler. Og som oftest skal du sende et beløb til en Bitcoin adresse som anvist og så lover "han" at slette kompromitterende fotografier og fjerne malware fra din computer.

Men sandheden er imidlertid at afsenderen ikke rigtig fanget noget som helst andet end din email adresse, som man kan finde mange steder og han har så aboslut heller ikke kompromitterende billeder af dig eller har høstet alle dine kontakter som påstået. E-mailen er bare en version af en stadig mere almindelig fidus, der er designet til at få modtagere til at panikke og sende penge til IT kriminelle. IT kriminelle sender tusindvis af identiske e-mails ud til tilfældige mailadresser i håb om, at de vil narre mindst et par modtagere til at gå i panik og betale.

Så hvad med adgangskoden, som svindlere har medtaget i e-mailen?

It svindlerne henter adgangskoderne og de tilhørende e-mailadresser fra gamle data brud og mange ramte har angivet, at adgangskoderne i e-mails er meget gamle og faktisk ikke længere bliver brugt. Svindlere bruger højst sandsynligt et automatiseret system, der kontrollerer de overskredne data og indsætter adgangskoden knyttet til en bestemt e-mail-adresse i hver svindelmeddelelse på afsendelsestidspunktet. Det gør ikke den truende email mere ubehagelig for den er meget direkte. Alene truslen om at sende en video af dig, der gør noget som helst er nok til at mange mennesker betaler.

Man må formode at denne type svindel bliver raffineret endnu mere, og at de IT kriminelle begynder at bruge nyere og mere relevante adgangskoder - og måske andet personlige data. Der er mere personligt data online end man regner med, og det vil de IT kriminelle helt klart udnytte for at overbevise folk om, at hackingstrussen er reel.

Så hvordan forbliver du sikker, hvis du bliver truet af noget som dette? Hvis du modtager en e-mail som denne, er det bedst at ignorere den. Det betyder ikke, at svindlere ikke laver mange penge ud af det betydelige mindretal, som går panik og betaler. De IT kriminelle fortsætter med denne scam så længe folk betaler og ifølge Lee Munson, sikkerhedsforsker for Comparitech.com, er succesfrekvensen for enhver e-mail svindel ekstremt lav, da langt de fleste af sådanne meddelelser bliver nuked af anti-spam-filtre og sikkerhedssoftware. Men denne type svindele er populær og et kæmpe problem da det ikke koster de IT kriminelle noget og at de med emails kan ramme ufatteligt mange mennesker på én gang. Og så er det meget nemt at starte denne type svindel op med et minimum af omkostninger. Så det er kun et par uheldige ramte der skal betale for at det løber rundt. Og godt rundt!

Men det indlysende svar er at alle burde fuldstændig tilsidesætte sådanne meddelelser som junk/scam i diverse mail programer eller og rapportere det til ActionFraud eller politiet, men mange vil ikke grundet frygt for at fortælle om indholdet. Men det kan siges meget kort: "Betal ikke løsepengene!" Tim Ayling, direktør for bedrageri og risiko intelligens ved RSA Security, opfordrer folk som modtager denne form for trussel om at forblive rolige og lede efter tegn på det er ikke rigtigt.

I dette tilfælde var det bare en skræmmende taktik for at få udbetalt en løsesum, men e-mailen kunne lige så nemt være blevet fyldt med noget ubehageligt, hvilket ville give et langt større problem. Så helt generelt, medmindre du er helt sikker på at du kan stole på indholdet i en email, så er anbefalingen at helt undgå at klikke på nogen links eller åbne vedhæftede filer i dine e-mails; for du kan meget nemt uden den rette IT sikkerhed komme til at installere malware eller ransomware på din maskine.

Tim Ayling anbefaler også at rapportere denne type phishing-angreb til ActionFraud, da dette vil hjælpe dem med at overvåge de seneste svindel.

Vi anbefaler disse råd til enhver der mistænker, at de er eller bliver målrettet af email scam:

  • Lad være med at blive presset til at træffe en hurtig og måske uovervejet beslutning: Betaling belyser kun, at du er sårbar, og at du måske må målrettes igen. Politiet tilråder også, at du ikke betaler IT kriminelle.

  • Sikkerhed: Skift din adgangskode med det samme og nulstil det på andre konti, du har brugt samme password til. Brug altid en stærk og separat adgangskode.

  • Aktiver så vidt muligt Two Factor Authentication (2FA).

  • Besvar ikke e-mailes fra svindlere.

  • Opdater altid din anti-virus software og operativsystemer regelmæssigt.

  • Dæk dit webcam, når det ikke er i brug.

Hvis du er i tvivl om din IT sikkerhed og email system er sikret ordentlig eller hvis det mangler en gennemgang så kontakt os på telefon +45 70 27 66 55 eller på mail: info@exato

Er du klar til GDPR?

GDPR-EU-Blog-Header.png

Hvornår sker det?

Fredag d. 25 Maj 2018 bliver en skelsættende dag for vores behandling af data. Det er nemlig dagen hvor den nye persondata forordning, eller ”The General Data Protection Regulation” (GDPR) som den officielt hedder, træder i kraft i hele EU.

Hvad menes der med ”personoplysninger”?

Det kan være utroligt svært at gennemskue om ens virksomhed er 100% GDPR compliant og om man har sikret sine brugeres data bedst muligt. Kort fortalt så definerer GDPR personlige data som enhver form for information relateret til en person såsom navn, billede, en e-mailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Hvad betyder det?

Det betyder kort sagt at din virksomhed skal være i stand til at identificere alt personligt data på medarbejdere, kunder og lignende på tværs af systemer og enheder og kunne redegøre for hvilken data der bliver brugt til og af hvem. Anbefalingen er at du skal få en specialist til at se på din virksomheds sikkerheds setup og få 100% styr på hvordan førnævnte data bliver opbevaret og hvordan det er sikret.

Hvad sker der hvis reglerne ikke følges?

Lovgivningen har vidtrækkende konsekvenser og det er ikke en lovgivning man kan ignorere, for en grov overtrædelse af GDPR loven hvis man ikke har sikret brugernes data ordentligt, kan resultere i bøder helt op til 20.000.000 EUR eller 4% af virksomhedens samlede globale omsætning! Så det er en kraftig ”opgradering” af de 5-10.000 kr. bøder som er gældende i øjeblikket. Grundet sin kompleksitet vil den nye forordning kræve at organisationerne får hjælp og input fra it-infrastruktur specialister og andre juridiske- og data Compliance eksperter når de skal implementere deres databehandlingsstruktur.

Hvilke regler skal jeg være opmærksom på?

Det kan være en ordentlig mundfuld for mange virksomheder at overskue hvordan deres indsamling af persondata skal foregå og være helt GDPR compliant for reglerne kan være uigennemskuelige og ret omfattende. Når man så har sat sig ind i reglerne og nogenlunde forstået, hvad GDPR er for en størrelse, så kommer der en kæmpe opgave med at efterleve reglerne i praksis og det anbefales helt klart at tage fat i en ekstern og kvalificeret partner for at sikre sig at alt personligt data bliver behandlet og opbevaret korrekt.

Mest gængse regler og brugerrettigheder:

  1. Information om dataindsamling Al form for dataindsamling, som foretages af virksomheder, skal informeres til brugerne INDEN dataindsamlingen sker og det skal være tydeligt. Det må ikke være underforstået og der skal være et aktivt valg og samtykke på at tilladelsen sker frivilligt.
  2. Retten til at blive glemt. Hvis en bruger eksempelvis ikke er kunde hos jer længere eller hvis personen tilbagetrækker sit samtykke på at virksomheden må bruge de personlige data, så har personen ret til at få alt sin data slettet.
  3. Frabede sig databehandling. Personer kan godt frabede sig at deres data bliver brugt til eventuel databehandling. Det vil sige at du godt må opbevare deres data, men ikke bruge det. Så snart en henvendelse eller en indsigelse om brug af data er modtaget skal alt brug af personens data stoppe. Og der er ingen undtagelser af denne regel.
  4. Underretning ved sikkerhedsbrud. Hvis en persons personlige data er blevet kompromitteret ved et eventuelt datasikkerhedsbrud, så har personen ret til at blive underrettet 72 timer efter at sikkerhedsbruddet er blevet opdaget.
  5. Samtykke om databehandling Du må ikke behandle personlige data, medmindre personen frivilligt har givet specifikt og entydigt samtykke herom. Enten ved en tydelig bekræftende handling eller i en defineret erklæring.
  6. Adgang til data En person har fuld ret til at få adgang til deres personlige data og få klarlagt hvordan virksomheden bruger deres data. Hvis personen beder om det, skal virksomheden udlevere en kopi af deres data i digitalt format og helt gratis.
  7. Dataoverførsel. En person har til hver en tid ret til at få overført deres personlige oplysninger fra din virksomhed til en anden serviceudbyder.
  8. Opdatering af data Hvis en persons oplysninger er forkerte, forældet eller mangelfuld har personen ret til at få opdateret deres oplysninger.

Hvis du er i tvivl om hvor du skal starte, kan du spørge dig selv om:

Hvordan indsamler din virksomhed personoplysninger?

  • Hvor indsamler din virksomhed personoplysninger fra?

  • Hvor gemmer din virksomhed personoplysninger henne?

  • Hvordan er sikkerheden omkring disse personoplysninger?

  • Videregiver i personoplysninger til 3 part og i så fald hvem?

  • Hvordan og hvornår sletter din virksomhed personoplysninger?

Hvis du er i tvivl om din virksomhed er GDPR klar eller om it-sikkerheden er god nok kontakt os på telefon: 70 27 66 55 eller på e-mail: info@exato.dk