Udgivet den

Kan du få adgang til kontoret, hvis IT er nede?

Når du skal oprette dig som bruger på hjemmesider, bliver du ofte tilbudt at bruge en service, hvor du allerede har en konto. Det kan være Facebook, Google eller andre, og det giver jo god mening. Du skal dermed ikke skal håndtere flere hjemmeside logins, men kan styre det hele via denne ene konto. Jeg tror mange private anvender Facebook til login på andre hjemmesider.

Læs videre
Udgivet den

STOP med at bruge din mailadresse til Nyhedsbreve.

Ved tilmelding af et nyhedsbrev, -hvad nu hvis det ikke giver mig værdi, kan jeg så afmelde nyhedsbrevet igen? I henhold til GDPR skal det være lige så nemt at tilmelde sig som at afmelde sig. Men alle har oplevet, at sådan er det ikke altid. Selvom du har retten på din side, hjælper det jo ikke, hvis nyhedsbrevs ejeren fortsætter med at sende dig mail.

Hvis du tilmelder dig et udenlandsk nyhedsbrev, gælder GDPR jo ikke nødvendigvis. Måske sælger hjemmesiden endda din mailadresse til andre sites.

Læs videre
Udgivet den

Hvor er dine bilnøgler?

Sommerferie, så hvem gider skrive eller læse om GDPR og IT-sikkerhed. Så denne artikel, bliver med fokus på en privat oplevelse.

Hvor er mine nøgler?

Det er et af mine faste spørgsmål. Hvis du spørger mine kone eller børn, vil de sige, at når jeg om morgen var gået ud til bilen, gik der 2 minutter, før jeg kom ind igen, for at hente bilnøgler, pung eller mobiltelefon. Jeg finder dem som regel indenfor kort tid.

Læs videre
Udgivet den

6 gode råd om beskyttelse mod Ransomware:

Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.

  1. Angreb mod de systemer der styrer en 8.000 km lang olie distributions ledning i USA, som betød, at der pludselig blev mangel på benzin til de forslugne amerikanske biler.
  2. Angreb mod det Irske sundhedsvæsen, som betød problemer med COVID-19 tests og andre sundheds services.

Hvad sker der i et Ransomware angreb?

Dine filer bliver krypteret, så du ikke længere kan læse dem

Hvordan kommer Ransomware typisk ind i virksomheden?

Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.

Hvordan får jeg mine filer igen?

  1. Betaler angriberen den løsesum “ransom” han kræver.
  2. Restore ved hjælp af dit backup system.

Får man sine filer igen, hvis man betaler angriberen?

Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.

Bør man betale?

Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.

  1. Olielednings firmaet skulle efter sigende havde betalt 30 millioner kr. for at modtage krypteringsnøglen. Så jeg er sikker på, at de er et emne igen for ny Ransomware.
  2. Det Irske sundhedsvæsen har tilsyneladende afvist at betale.

Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.

6 gode basis råd til at undgå Ransomware

  1. Kend dit setup. Sikre dig at alle enheder opdateres, både servere, klienter, operativsystemer og 3. parts software. Jeg bruger Qualys til dette.
  2. Check alle ind- og udgående mails for links og vedhæftede filer.
  3. Hav et backup system, hvor data også findes udenfor virksomheden, så backup data ikke også bliver krypteret. Se denne blog artikel om: Hvorfor er backup 3-2-1 vigtig for dig
  4. Check at du kan restore kritiske data mindst hver 6. måned.
  5. Brug et anerkendt ransomware produkt/service til at beskytte klienter og servere.
  6. Fortæl brugere, at hvis de er i tvivl, så klik aldrig på links eller ukendte filer.

Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.

Læs videre
Udgivet den

Bruger du Google Mail?

Det er der stor chance for. Hvis ikke dig selv, så en i familien eller en du kender. Gmail har idag en markedsandel på 43%, og sendte 304 milliarder mails i døgnet i 2020. Det svarer til 3,5 millioner i sekundet, og de blokerer 100 millioner spam mails i døgnet.

Læs videre
Udgivet den

iPhone iOS 14.5

Vil du spores skal du sige ja

Apple har valgt at fokusere endnu mere på brugerens privatliv. Rygtet siger, at den iOS 14.5, iPad OS 14.5 og TVos 14.5, som vi kommer til at installere i nærmeste fremtid, vil ændre på hvordan Apps kan sporer dig.

Som jeg skrev i et tidligere nyhedsbrev, Ved du hvad dine Apps opsamler af data om dig?, er det meget forskelligt hvad apps opsamler, og sporer i din adfærd. Denne nye privacy mulighed hedder App Tracking Transparency (ATT).

Fra version 14.5 vil du blive mødt af en pop up, som vil sige noget i retning af “x vil gerne have tilladelse til at spore dig på tværs af apps og websteder, der ejes af andre virksomheder. Dine data vil blive brugt til at levere personlige annoncer til dig.”

Så det nye er, at du skal tilvælge sporing for at modtage bruger tilpassede annoncer.

Facebook har selvfølgelig udtrykt deres utilfredshed med denne nye feature, da netop tracking af personers adfærd, er den stor del af deres annonce forretning. Sådan kan udgivelsen af Apple iOS 14 påvirke dine annoncer og din rapportering (linken KRÆVER, at du accepterer Facebook’s cookies)

Nå, men jeg ved godt, hvad jeg vælger når muligheden kommer 😜

Åben telefonen med uret når du bærer mundbind 😷

Nyere iPhone’s hvor man åbner iPhone ved hjælp af ansigtskendelse, har ikke virket hvis du bar mundbind. Med iOS 14.5 og et opdateret Apple Watch, vil du kunne åbne iPhone ved tryk på Apple Watch.

Læs videre
Udgivet den

5 gode råd om End of Life software og hvad du bør gøre.

“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “

Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.

Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.

Mareridt for sikkerheds folk.

For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.

Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.

Der var endda også spil, som blev afviklet via flash.

Flash sluttede 31.12.2020.

Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.

Så der er gjort en del for at forhindre, at flash ikke længere er et problem.

Hvor mange af dine enheder har stadig Adobe Flash installeret?

Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.

Ved du hvor mange af dine enheder, der har Flash installeret?

Hvad nu hvis der er en sårbarhed?

Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.

  • Hvad vil det betyde for enheder, som stadig har flash installeret?
  • Hvad nu hvis Adobe Flash genopstår som Open Source, som nogle har arbejdet på?

5 gode råd om End of Life af software og hardware, samt hvad du bør gøre.

Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.

  1. Hvor meget end of life software har jeg?
  2. Hvilken software udløber indenfor de næste 6, 12 eller 24 måneder?
  3. Betaler jeg software support for licenser, der er End-of-Life?
  4. Har jeg hardware, der er end of life, eller bliver det indenfor de næste 6, 12 eller 24 måneder?
  5. Har jeg hardware support på enheder som er End-of-Life?

Hvordan får jeg den viden.

Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.

Jeg tilbyder virksomheder implementerring af Qualys VMDR.

Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.

Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.

Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.

Læs videre
Udgivet den

5. gode råd om slettefrister og GDPR

– Hvor længe vil/må du opbevare persondata?

Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!

  • 1 uge
  • 1 måned
  • 1, 5 eller 10 år

Det afhænger ikke kun af din bedømmelse og argumentation. Det handler også om lovgivninger, som bogføringsloven der siger 5 år, og journaliseringsloven der ofte er 10 år.

Men for de fleste handler det først om at definere, hvor længe har jeg ret (hjemmel) til at beholde de personrelaterede data. Det handler ikke om, hvor længe jeg syntes det kunne være en god ide.

Slette data.. helst ikke.

Ja jeg syntes også, at det førhen var fint når jeg søgte efter en mail, at jeg faktisk kunne gå 10 år eller mere tilbage. Det var ikke altid, at det var noget præcist jeg søgte efter, -noget der skete for 10 år siden. Men det var lidt ligesom at kigge på gamle billeder.

Det går ikke mere. Du skal beskrive hvorfor du vælger den sletteregel du nu vælger.

Eksempel 1. Mails.

Firmaet modtager en mail fra en ny kunde i deres info@firma.dk, hvor kunden beder om mere info og pris på en vare/ydelse. Mailen bliver besvaret med relevante oplysninger. Kunden vender aldrig tilbage. Hvor længe kan du med god grund beholde denne mail?

Hvis du sælger varer/ydelser med kort beslutnings tid, ja så kan du ikke beholde den ret længe. Måske 3-6 måneder. Hvorimod hvis kunders beslutnings tid ofte er 6-12-18 måneder før køb, så vil jeg vurdere, at 1-2 år vil være OK at opbevare denne mail. Det vigtigste er at du vurderer realistisk, og beskriver din vurdering så detaljeret som muligt.

Hvis kunden derimod køber, så har du nu en aktiv relation, som betyder, at du kan have en slettefrist der siger, at du ikke sletter aktive kunders data.

Mail sendes rundt i virksomheden.

Tingene bliver ofte mere komplicerede, når man også internt i virksomheden sender kunde mails rundt. Den modtagne mail til info@firma.dk modtages og videresendes så til en sælger. Sælger skal lige have nogle tekniske ting på plads, så han videresender den til teknisk afdeling, som besvarer den med priser.

Nu ligger den mail i 3 mailbokse, info@firma.dk, sælger@firma.dk, teknik@firma.dk. Og køber han ikke, skal den slettes i alle 3 mailbokse. Køber han, kan man opbevare den indtil han ikke længere er kunde, og så skal den stadig slettes i alle mailbokse.

Skraldespanden.

Husk også at slette skraldespanden. De fleste mail klienter lægger blot slettede mails i en “skraldespand”, der først slettes helt, når du aktivt beder den om det.

Nogle mail klienter tilbyder at tømme skraldespanden, når brugeren lukker sin mail klient. “Skal skraldespanden tømmes nu? DU KAN IKKE FORTRYDE DETTE! … øh jeg tror jeg venter, kan ikke lige overskue det i dag … så du udskyder… måske for evigt.

Eksempel 2. Bruger kundens mobilnummer som KundeID.

Hvis du bruger mobilnummer som KundeID, risikerer du, at du IKKE kan overholde slettefristen, da man kan identificere en person via mobilnummer. En måde at slette kunder på, er ved at anonymisere data, så du stadig kan trække en statistik på salget 6 år tilbage. Men der vil være kunder du ikke kan identificere mere, fordi de er stoppet og din slettefrist betød, at de skulle anonymiseres.

Men hvis din database “eksploderer” hvis ikke den har de gamle kunde ID’er, ja så er du på den, hvis kunde id’et var et mobil nummer. Du kan sagtens bruge mobilnummer til at søge efter kunden, da kunden kan huske det selv, men lad være med at gøre det til “nøglen i databasen”.

5 gode råd

  1. Brug aldrig telefon eller CPR som unik KundeID, hvis ikke det kan slettes igen i dit system.
  2. Brug ikke mails til at sende kundedata rundt i virksomheden, men opret såvel kunder som potentielle kunder i et centralt system, CRM, og drøft tingene der. Så er der kun et sted, du skal slette efterfølgende.
  3. Se om du kan lave en automatisk, løbende tømning af skraldespanden, uden at brugeren spørges.
  4. Tænk “slette politik” ind allerede ved implementering af en løsning.
  5. Husk at overholde dine slettefrister, ellers kan det blive dyrt.

Hvad er konsekvensen, hvis jeg ikke sletter?

Bøde!! Ilva overholdt ikke deres slettefrist, og Datatilsynet indstillede dem til en bøde på 1.5 million kroner i juni 2019. Tilsyn med IDdesigns behandling af personoplysninger. Den kom så for domstolen februar 2021, Stor møbelkæde dømt for overtrædelse af GDPR-reglerne , hvor bøden blev fastsat til 100.000 kr. ,mendommen ankes af anklagemyndigheden.

Så prisen kendes ikke endnu

Læs videre
Udgivet den

Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.

Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.

I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.

Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.

Hvad er en Zero-day sårbarhed?

“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.

Jeg bruger Microsoft Exchange – er jeg så i fare?

Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.

Hvem er bag angrebet?

Ifølge en blog post fra Microsoft peger de på Kina.

Hvem opdagede det?

Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.

Hvad bør jeg gøre nu?

  1. Opdater din Exchange server. Microsoft har frigivet en udførlig beskrivelse af hvordan du skal sikkerhedsopdatere.
  2. Check om du allerede er angrebet med succes ved at følge denne Microsoft vejledning. Den indeholder også et script, som er udviklet af Microsoft Exchange Server Team til at hjælpe dig med beskrivelse og gennemgang af dine Exchange log filer.
  3. Hvis ikke du kan opdatere, så bør du følge Microsoft alternative metode og herunder begrænse adgangen til Exchange serveren udefra. Jeg ved godt, at det betyder at remote brugere ikke kan hente deres mail. Men det er det bedste alternativ lige nu, kontra et vellykket angreb, hvor angriberne måske får adgang til dine interne systemer.

Schmitto A/S kunder der anvender Qualys VMDR:

Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.

Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View

VMDR Exchange 0-day Dahsboard
VMDR Exchange 0-day Dahsboard

Mere info om Qualys VMDR?

Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via ole@schmitto.com eller 40253921.

Læs videre
Udgivet den

Skatteguiden ApS beder om dine følsomme oplysninger

– Jeg forstår det ikke!

Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.

Skatteguiden skriver:

“Tidlig årsopgørelse! For første gang nogensinde, kan du få et smugkig på din årsopgørelse 2 uger før tid. Vores algoritme kan på et splitsekund analysere din data og allerede nu estimere din skat for 2020. Download appen, autoriser Skatteguiden på skat.dk og få resultatet.

Glemte fradrag? Der er mange forskellige fradrag, og det kan være svært at vide hvilke du er berettiget til – og hvordan du får dem udbetalt. Skatteguiden gør det nemt at tjekke dine fradrag, og sørge for at du modtager fradrags-udbetalinger fra Skat direkte på din Nemkonto. Tjek dine fradrag for 2017, 2018 og 2019. “

Er Skatteguiden gratis at bruge?

Ja! Vi er pt et gratis bindeled til skat.dk. Og det er uanset om du finder et glemt fradrag eller ej.

  • Så hvad er forretningsmodellen? Hvordan vil de betale for at sikre mine følsomme data?

Er nogen virkelig så forhippet på at få disse data, 14 dage før SKAT oplyser dem på deres hjemmeside, at man vil give et privat firma, Skatteguiden ApS, adgang til alle disse private følsomme data, som de gemmer på deres server jvf deres privatlivspolitik??

Jeg forstår det ikke!

Mit bedste råd er, træk dit samtykke tilbage, og bed dem bekræfte at ALLE DINE DATA ER SLETTET NU.

Læs videre
Udgivet den

Hvad vil Datatilsynet fokusere på i 2021?

Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.

Overskrifterne er:

  • Kreditoplysningsbureauer, advarselsregistre og spærrelister
  • Inkassobureauers oplysningspligt og sletning
  • Pengeinstitutters procedurer for indsigtsanmodninger
  • Tv-overvågning
  • Myndigheders videregivelse af personnumre til borgere
  • Forskning
  • Behandling af personoplysninger om hjemmesidebesøgende (cookies)
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Overførsel af personoplysninger til tredjelande
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (Kommentar: Lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer)
  • Retshåndhævelsesloven

Hvad betyder det for mig?

Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:

  1. TV-overvågning, som mange idag har, hvilket også er tilladt hvis man følger reglerne. F.eks. må man som udgangspunkt ikke optage offentlige steder, med undtagelse af visse brancher, men gerne sin egen facade og indgang. Vigtigt er også som sædvanligt, beskrivelsen af hvorfor man optager samt slette fristen. Du skal også huske at skilte med TV-overvågning.
  2. Behandling af personoplysninger om hjemmesidebesøgende (cookies), gælder jo for alle der har en hjemmeside. Jeg skrev for 1 år siden om Datatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere. Den gang afsluttede jeg artiklen med at Datatilsynet nok ikke vil give anmærkning eller bøder. Men nu er der gået 1 år, så nu kan man nok forvente, at de vil være mere strikse.
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden, er jo store dele af GDPR delen generelt. Men der nævnes brud på persondatasikkerheden. Så det tolker jeg som, at man vil kontrollere, at virksomheder har styr på hændelser, der omhandler personsikkerhed. Man skal f.eks. beskrive enhver hændelse, der involverer personhenførbare oplysninger. Det mest almindelige i følge Datatilsynets opgørelse er, at der bliver sendt en mail med personoplysninger til den forkerte modtager. Men der kan være andre hændelser, der ikke nødvendigvis kræver en anmeldelse til Datatilsynet. Men du skal stadig registrere hændelsen, så det er vigtigt, at du har en fast proces til dette. Lexoforms, som er den online service mine kunders GDPR data ligger i, har netop introduceret et hændelses modul.
  • Kontrol med databehandlere Du skal huske at kontrollere dine databehandlere. Du har indgået en aftale, men du er stadig den dataansvarlige. Så derfor skal du føre tilsyn med, at tingene er som aftalt. Nogle databehandlere får udført ekstern revisions kontrol, som du skal gennemse. Andre må du sende relevante sprøgsmål til, med det formål at sikre, at den databehandler aftale i har indgået, stadig lever op til jeres aftale. Jeg har skrevet denne artikel .Skal jeg føre tilsyn med mine Databehandlere?”
  • Overførsel af personoplysninger til tredjeland Med EU’s dom om at US Privacy Shield er ikke længere er gyldigt, har vi siden 16 juli 2020 ventet på en løsning. Der har været flere møder i EU, så forventningen er stadig, at EU og USA finder en løsning. EU’s udspil er Standard Contractual Clauses (”SCC”), så alt tyder på, at EU vil fastholde sin position. Høringsfristen for denne nye aftale var 10 december 2020, du kan følge udviklingen her. Nogle US baserede firmaer har udvidet deres aftaler med at respektere SCC, desværre har jeg ikke fundet et sted med oversigt over hilse firmaer som har tilsluttet sig SCC.

Du kan læse mere her om datatilsynets fokusområder

Læs videre