De to siste ukene har den massive datalekkasjen “Collection 1” sirkulert på det åpne nettet. Denne inneholder over 700 millioner e-postadresser og passord fra både privatpersoner og bedrifter verden over. Sannsynligheten for at du eller andre i din bedrift er berørt er absolutt tilstede.

Betydningen av en datalekkasje som dette er avhengig av hvilke sikkerhetsmekanismer og tiltak du og bedriften du jobber i har implementert. Dersom du resirkulerer passord, legger på et nytt tegn istedenfor å bytte hele passordet eller bruker samme passord flere steder, kan det være skadelig – både for deg personlig og bedriften du jobber for.

Er din e-postadresse og passord lekket?

Det første du bør gjøre er å sjekke om akkurat din e-post er berørt. Vi har tidligere skrevet om verktøyet “Have I Been Pwned?” laget av Troy Hunt, som lar deg søke gjennom en database av lekkede e-postadresser og annen informasjon. I følge Hunt er 140 millioner e-postadresser lagt til i denne listen den siste uken. Du kan sjekke om din e-post er en av disse på denne siden.

Selv om det skulle komme opp at din e-post ikke er berørt, kan du allikevel være utsatt for hacking og fremtidige angrep. Har du brukt det samme passordet i flere år? Har du flere e-postadresser? Er du usikker på hvilke aliaser og brukernavn du har brukt gjennom årene? Hvis svaret på én eller flere av disse spørsmålene er ja, bør du ta grep for å sikre deg. Sikkerhetstiltak vil også gjøre deg bedre rustet hvis du skulle bli berørt av en datalekkasje i fremtiden.

Hva bør du gjøre?

Det mest åpenbare du må gjøre er å bytte passord på alle kontoer som kan inneholde informasjon du ikke vil få spredd på det åpne nettet og tvinge utlogging fra alle aktive økter. Pass på å ikke endre til det samme passordet på alle kontoer eller resirkuler tidligere passord – da kan du havne i denne situasjonen igjen om et par måneder eller år.

Passord kan hackes på flere måter, og å sikre kontoen med passord er ikke nok hvis kontoen inneholder sensitiv informasjon. De fleste leverandører av skytjenester gir brukerne mulighet til å aktivere to-faktor-autentisering. Dette innebærer at ved innlogging på nye enheter må innloggingen godkjennes fra en allerede godkjent enhet, og gjør derfor brukernavn og passord ubrukelig uten å også ha tilgang på en godkjent enhet.

De to overnevnte grepene er grunnleggende tiltak for å forbedre din kontosikkerhet på nett, men selv med gode passord og to-faktor-autentisering kan et klikk på en skadelig link i en e-post være katastrofalt. Vi anbefaler derfor alle bedrifter å ha gode, implementerte sikkerhets- og passordrutiner og et gjennomgående fokus på sikkerhet i bedriften.

PS. Hvis du synes det er vanskelig å huske alle de forskjellige passordene kan du ta i bruk en passordadministrator som 1Password. Denne lar deg lage kompliserte, unike passord, og holder de trygt bevart for deg. I tillegg synkroniseres passordene mellom enhetene dine, slik at du til enhver tid har oppdatert påloggingsinformasjon på alle enheter.

Trenger dere hjelp med IT-sikkerheten? Ta kontakt her

På verdensbasis er SMBer målet i 43% av alle angrep. Dette betyr at trusselen er like stor for SMBer som for større selskaper, men SMBer har naturlig nok mindre ressurser og tenker ofte “det skjer ikke med oss”.

Kriminelle er klar over denne holdningen og ressursmangelen hos SMBer, og når det faktisk skjer et angrep, er SMBer sjeldent godt nok sikret. Men hvor ofte skjer et angrep og hva er konsekvensen? Mørketallsundersøkelsen 2018 fra Næringslivets Sikkerhetsråd (NSR) slår lys over tallene:

• Virksomheter med 5-19 og 20-99 ansatte opplevde henholdsvis 0,42 og 0,57 hendelser med negative konsekvenser i snitt i 2017.
• 52% av hendelsene var fra virus/malware, phishing eller datainnbrudd/hacking.
• Én hendelse kostet i snitt 54 000 og det største økonomiske tapet var på 2 millioner.

Det investeres ikke før etter ulykken har skjedd

På skikkerhetsdagen 2018 (i regi av Computerworld) var det et gjennomgående tema at «IT-sikkerheten i SMBer er veldig reaksjonær». Funnene i Møreketallsundersøkelsen støtter oppunder dette, da neste halvparten av hendelsene førte til at det ble gjort endringer i policy eller rutiner.

Opplæring og bevisstgjøring av sluttbrukere undervurderes

55% av hendelsene som ble rapportert om tilskrives menneskelig feil, men når investeringene i sikkerhet først gjøres, blir det ofte gjort i sikkerhetsutstyr og teknisk forsvar. Mange velger også å leie inn en tjenesteleverandør for å øke sikkerheten, men kun 16% investerte i et opplæringsprogram for ansatte.

Sikkerhetsgapet minsker

Selv om det står dårlig til med IT-sikkerheten hos flere norske SMBer, ser vi en positiv trend. Bevissthet og forsvar mot IT-trusler økes hos flere og flere SMBer. 61 prosent av virksomhetene som svarte på Mørketallundersøkelsen (52% av virksomheter med under 100 ansatte) har i løpet av det siste året gjennomført aktiviteter for å øke de ansattes bevissthet rundt sikkerhet.

Investerer dere nok i opplæring?

Vi ser ofte at IT-risiko er sterkt undervurdert, både hos bedrifter og privatpersoner. Uten riktige sikkerhetstiltak er det, for mange, en smal sak å få tilgang til private og jobbkontoer med sensitiv informasjon. Det meste starter med sluttbrukeren – hvilke tiltak må gjøres?

I dagens jobbhverdag er det ikke uvanlig å bruke private enheter til alt jobbrelatert. Kombineres dette med mangelfull opplæring og teknologisk forståelse blant ansatte, blir farene umiddelbare og risikoen øker betraktelig. I bedrifter er sluttbrukeren den største trusselen og svakeste ledd for hacking og uvedkommen tilgang til kontoer.

Skrekkeksempler

Hos mange av våre kunder lagres innloggingsdetaljer i Notater-appen lokalt på iPhone. Med en kode på iPhone som er lett å gjette eller snike til seg over skulderen, er det enkelt for en som stjeler telefonen å få tilgang til den ansattes påloggingsdetaljer og deretter sensitiv bedriftsinformasjon

Sosial manipulering er en stadig voksende form for hacking. Kort fortalt skjer dette når en hacker snakker med uvitende personer og får så mye personlig informasjon at passord blir enklere å gjette. Når da 65% bruker samme passord på alle kontoer, fører dette til voldsom eksponering av data. Både for privatpersonen og tilknyttede bedriftskonter.

To-faktorautentisering

Som et minimum av sikkerhetstiltak anbefaler vi alle bedrifter to-faktorautentisering på alle kontoer. I praksis betyr dette at eieren av kontoen må bekrefte at det er han eller hun som logger. Når kontoen logges på får eieren en SMS, e-post eller melding på en annen tilknyttet enhet som må bekreftes før innloggingen kan fullføres.

Dette betyr at selv om noen har brukernavnet og passordet, trenger man en ekstra bekreftelse fra eieren av kontoen før påloggingen kan gjøres.

De aller fleste kontotjenester tilbyr denne funksjonen. Stadig flere bedrifter går over til skylagring for filer og dokumenter som betyr at tilgang til sensitiv data kun er en innlogging unna. Denne veien inn blir vesentlig lenger med to-faktor autentisering.

I nyere operativsystem har Apple et stort fokus på sikkerhet og personvern. Om du allerede har aktivert to-faktorautentisering, kan du ikke deaktivere det og ved oppdatering av operativsystem blir du også oppfordret til å aktivere dette.

De to største leverandørene av skytjenester, Microsoft Office 355 og Googles G Suite, tilbyr to-faktor. Som et minimum bør dette aktiveres på alle ansattes kontoer.

Vær bevisst

To-faktor en liten del av helheten, men kritisk for å minimere risiko hos det svakeste ledd; sluttbrukeren. Dette må innføres som en del av en klar og tydelig IT-innstruks. Samtidig er det viktig at de ansatte forstår samspillet mellom de teknologiske verktøyene og risikoen de potensielt utsetter bedriften for.

Våre beste råd er å
– være bevisst på opplæring
– sørge for tydelighet og konsekventhet ved bruk av teknologi
– investere i gode systemer og oppsettet av disse

Les våre minumumskrav for IT-sikkerhet i bedriften