Cybersikkerhed 2022/23

Cybersikkerhed i Virksomhed

Truslen fra cyberspionage og cyberkriminalitet har over de seneste år været utroligt høj, og det har stillet høje krav til virksomheders it-infrastruktur og cybersikkerhed – det bliver det ved med i 2023.

Vi har her lavet en oversigt over, hvilke sikkerhedsmæssige løsninger I bør have etableret allerede. Derudover giver vi råd til, hvad I skal tænke ind i IT-budgettet for 2023.

To faktor godkendelse på alle services – ikke kun Microsoft 365

To faktor godkendelse sikrer, at login ikke kan gennemføres uden verificering på en SMS eller via en app, helt som du kender det fra nemID eller MitID. Det skærper dermed adgangen til din virksomheds IT-systemer og data – selv hvis medarbejdere snydes til at udlevere deres loginoplysninger eller der på anden vis opnås utilsigtet adgang.

 

2-factor godkendelse

Microsoft Secure Score

Hvis I anvender Microsoft 365, kan I via jeres administrator eller IT-afdeling få indblik i jeres sikkerhedsscore på jeres Microsoft 365-installation. Secure Score giver jer et billede af, hvor godt jeres 365 cloud er sikret og kommer med en række anbefalinger til, hvad I kan tilrette eller aktivere. Det er en god rettesnor eller et godt barometer for, hvordan sikkerheden i 365 har det. Flere virksomheder har det som et konkret målepunkt mod deres IT-leverandør.

E-mail-sikkerhed

Jeres mail er under konstant pres for at blive misbrugt, men der findes en række løsninger, der sikrer jer mod misbrug.
Ved at implementere DMARC på alle domæner reduceres risikoen for, at domænenavnet kan misbruges til udsendelse af phishing-,
spoofing- eller spam-mails.
Har du ikke implementeret DMARC, er det muligt for hackere at sende falske e-mails fra din mailadresse. Vi har lavet en lille pakke baseret på et værktøj, der holder øje med dit mail-flow, som du kan læse mere om her: https://itconfidence.dk/dmarc/

Email Sikkerhed

Er dine enheder opdaterede?

Oftest starter et hackerangreb ude hos en enkelt bruger. Hackeren skaber sig adgang vi f.eks. et link på en hjemmeside eller i en mail, som brugeren klikker på. Sørg derfor for at dine platforme, PC- programmer og styresystemer er opdaterede. Findes der nyere versioner eller helt nye løsninger end dem, I har i dag?  Det behøver ikke nødvendigvis at betyde, at du skal købe nyt – måske ligger der en stribe
opdateringer til din PC. Ældre løsninger kan have sikkerhedshuller og svagheder, som ikke kan lukkes effektivt. Du kan læse mere her: 
https://itconfidence.dk/to-patch-or-not-to-patch-2/

Mobile enheder

Rigtig mange virksomheder stiller smartphones til rådighed for deres ansatte og tillader, at mails og firmadata kan tilgås fra de mobile enheder, hvilket jo også fremmer produktiviteten og samarbejdet. Her er et par gode råd til, hvordan I sikrer jeres mobile enheder:

    • Anvend numerisk adgangskode på min. 6 cifre eller biometrisk identifikation
    • Etabler et MDM-system til at styre alle enheder og sikre, at sikkerheden er implementeret
    • Sørg for via MDM, at alle apps er løbende sikkerheds opdateret.

Passwords

Har I en password-politik? Hvordan er dine IT-adgange administreret? I dag anbefaler f.eks. Microsoft, at du ikke skifter dine passwords så ofte, men til gengæld arbejder med lange og komplekse passwords, der er vanskeligere at hacke. Her arbejder Microsoft med en “best practice” for passwords, der bl.a. anbefaler, at koden består af minimum 12 karakterer, og at koden både indeholder store og små bogstaver samt tal og symboler. Det betyder til gengæld ikke, at du skal huske et langt password: Det er der lavet smartere løsninger til. Vi anbefaler også, at dine passwords bliver valideret op imod den internationale database af hackede passwords, så dine brugere ikke kan vælge noget, der i forvejen er kendt hacket eller kompromitteret. Du kan læse mere her: https://itconfidence.dk/sikker-haandtering-af-brugernes-passwords/

Sikker Password

Er dine harddisks krypterede?

Vi anbefaler, at du sørger for at få krypteret dine harddiske for at undgå kompromittering af data i forbindelse med tab eller tyveri af klient-data. Fuld diskkryptering af det lokale faste lager på klienten reducerer risikoen for brud på fortroligheden af data. Hvis I anvender Microsoft 365, findes der værktøjer, som kan hjælpe jer nemt og sikkert i mål.

Krypteret enheder

Cyberforsikring

Med en cyberforsikring kan din virksomhed få hjælp til at begrænse skaderne og komme hurtigt online igen ved et evt. Hackerangreb og dertil også få dækket et evt. tab.  Forsikringsselskaberne stiller dog en række fornuftige krav til din infrastruktur og generelle IT-setup i deres betingelser. Tag det med i dine overvejelser, når du laver din risikovurdering og strategi for 2023.

Sikkert gæstenetværk

Et gæstenetværk er ofte noget, der installeres for så at blive glemt hen ad vejen. Har I anvendt det samme password, siden I satte det op? Der kan gennem tiden være mange, der besidder det password, og der kan opstå en risiko for at det misbruges, da det jo er jeres netværk, som ”surfer” ud på nettet. Der findes løsninger til at sikre og logge brugerne, hvilke I bør overveje at implementere.

Awareness-træning

9 ud af 10 cyberangreb starter lokalt på medarbejdernes PC. Med awareness-træning styrker du dine medarbejderes viden om IT-sikkerhed og stiller din virksomhed stærkere; både i forhold til sikkerhed generelt, men også GDPR-regler, forsikringskrav m.m. Det hænger også godt sammen med, at du samtidigt sikrer opdateringer af jeres PC’er osv.

Cybersecurity træning

Sikkert hjemmearbejde

Mange arbejder i dag også fra hjemmet, hvorfor det er relevant at følge op på, om hjemmearbejdspladserne og dine remote adgange er sikret bedst muligt.  Du har måske læst om ”begrebet” ZERO Trust/Nul tillid? I stedet for at antage at alt bag firmaets firewall er sikkert, antager Nul tillid-modellen brud og verificerer hver eneste anmodning, som om den stammer fra et åbent netværk. Uanset, hvor anmodningen stammer fra, eller hvilken ressource den har adgang til, lærer Nul tillid os at “lade intet basere sig på tillid, sørg altid for at verificere”.

Hver adgangsanmodning bliver fuldt godkendt, autoriseret og krypteret, før der gives adgang. Mikrosegmentering og principper for mindst privilegeret adgang anvendes til at minimere lateral bevægelse. Omfattende intelligens og analyse bruges til at registrere og reagere på uregelmæssigheder i realtid.

Microsoft har skrevet en e-bog omkring emnet, du kan læse den her: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWIrfk