IT-sikkerhed
I mit sidste blogindlæg; Har i en politik om brug af ChatGPT?, opfordrede jeg til at lavede en politik omkring virksomhedens brug af AI herunder ChatGPT.
Det fik flere til at skrive til mig, om jeg havde et forslag til en AI-politik.
Og det fik mig så til at tænke mere over indholdet, og hvordan man kunne gribe sagen an.
Læs videre “ChatGPT sikkerheds politik:”
Vi har alle hørt om personer, der er blevet hacket eller stjålet online. Derfor er det vigtigt at beskytte data når vi er på farten og bruger offentlige WiFi-netværk. En klient VPN-tjeneste kan hjælpe med at beskytte dine data og give dig en følelse af sikkerhed. Men der er en faktor, som du skal være opmærksom på, når du bruger en VPN-tjeneste: logning.
Logning er processen, hvor en VPN-udbyder registrerer og opbevarer brugerdata. Det kan omfatte alt fra din IP-adresse og browserhistorik til din placering og loginoplysninger. Mange VPN-udbydere hævder, at de ikke logger brugerdata. Men nogle udbydere logger alligevel din kommunikation og bruge disse data til at profilere dig og dine online-vaner.
Det første du skal undersøge er VPN-udbyderens logningspolitik og sikre dig, at de har en stærk politik, der beskytter dine data og dit privatliv. Du kan også overveje at bruge en betalt VPN-tjeneste, da disse ofte har bedre sikkerhed og bedre logningspolitikker end gratis VPN-tjenester.
En anden ting er at undgå at dele personlige oplysninger online, når du bruger en VPN-tjeneste. Brug ikke din rigtige e-mailadresse eller dit rigtige navn, når du opretter en konto hos en VPN-udbyder, og husk at bruge 2-faktor og en adgangskode, der er stærk og unik.
Selvom en klient VPN-tjeneste kan hjælpe med at beskytte din kommunikation, er det ikke en fuldstændig løsning. Du bør stadig tage andre forholdsregler for at beskytte dine data. Undgå at bruge offentlige WiFi-netværk til at logge ind på følsomme konti og brug 2-faktor hvor det er muligt.
Har du også hørt om det voksende fænomen juice-jacking, hvor cyberkriminelle installerer malware på din enhed, mens du oplader den på offentlige ladestationer. Kender du nogen, der faktisk er blevet inficeret?
Det viser sig, at juice-jacking ikke er så udbredt, som nogle måske tror. Men det betyder ikke, at vi skal ignorere denne trussel.
Cyberkriminelle vil altid lede efter nye måder at narre ofre på. Det er ikke kun via offentlige ladestationer, du kan blive inficeret med malware. Enhver offentlig Wi-Fi-forbindelse kan også være farlig, hvis du ikke tager de rette forholdsregler.
Så hvad kan du gøre for at beskytte dig selv mod juice-jacking og andre former for malware? Undgå offentlige ladestationer og oplad din enhed derhjemme eller på arbejde. Og brug altid din egen oplader og undgå at låne andres.
Sørg for at have opdateret antivirussoftware installeret på dine enheder og vær opmærksom på mistænkelig aktivitet på din enhed, såsom pop-up.
Har du ønske om forbedring af IT-sikkerheden i din virksomhed?
Så er der nu igen mulighed for tilskud via SMV Digital.
Læs videre “SMV Digital tilskud til privat rådgivning på 50.000 kr.”
🤔Hvad er sammenhængen imellem en kaffemaskine og IT-sikkerhed?
Det er derfor det oplagte sted at informere ansatte om IT-sikkerhed. Ja om alt -for den sags skyld.
Hvor ofte har man ikke lagt beskeder ind på et intranet, og alligevel er den interne support ved at “vælte” hvis mailen pludselig ikke virker…
Folk kigger ikke ind på en intranet side for at finde status på mail system. Nej de går oftest ud og henter en kop kaffe, og håber på at alt fungerer, når de kommer retur.
Derfor skal info gives ved kaffemaskinen.
Udover drift information, kunne man også informere om IT-sikkerhed som:
Parkerer du forlæns eller baglæns?
At hvis man bakker ind på en p-plads reduceres bil-skader markant.
Læs videre “Parker baglæns og få bedre IT-sikkerhed!”
Mandag morgen d. 2 januar fik jeg besked om, at mine data var stjålet fra hjemmesiden Deezer.com. Jeg var en ud af i alt 229.037.936 Deezer brugere, der fik den oplevelse.
Deezer er en musik service, som flere mobil selskaber tilbyder, som en del af deres abonnement.
Læs videre “Ole, dine data er stjålet!”
August 2022 blev LastPass angrebet. LastPass skriver nu 22 december, 2022 på deres blog, at angriberne fik adgang til deres kunders data.
Læs videre “LastPass Password Manager hacket med succes”
Den nuværende situation omkring Twitter og dennes fremtid, syntes jeg er meget usikker, så jeg foreslår at man forbereder sig på det værste. Jeg oprettede mig selv på twitter i 2007, men har aldrig brugt Twitter som en fast del af min hverdag.
Læs videre “Er Twitter beskeder en sikkerhedsrisiko”
Jeg har været i IT sikkerhedsbranchen siden 1987 (35 år), og der er stadig forkortelser, jeg anvender dagligt, uden præcis at kende betydningen.
Har du det på samme måde? For i de næste nyhedsbreve vil jeg studere og fokusere på nogle af de udtryk, der anvendes i forbindelse med sårbarheds skanning. Håber du også lærer noget nyt.
Læs videre “Sårbarhedsskanning – kapitel 1 – CVE”
IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
F.eks. 2-faktor login til systemer der kan tilgås remote.
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Du må ikke overføre personhenførbare data til 3. lande. Så hvis du anvender cloud services som er amerikansk ejede, har du en udfordring, da der ikke på nuværende tidspunkt er en nem løsning i henhold til USA og GDPR.
Vi har siden juni 2021 ventet på at EU og USA skal blive enige om en løsning, der gør at data igen kan overføres. Så alle venter på denne løsning.
Datatilsynet venter dog ikke på dette, men vil sikre sig at din virksomhed lever op til de gældende regler, og ikke dem der forventes at komme en dag.
Du skal sikre dig, at reglerne følges ved dataoverførsel til 3. lande.
Det bedste eksempel lige nu, er vel sagen omkring Helsingør kommunes brug af Google undervisnings platform. I midten af juli fik de forbud mod at bruge platformen, og besluttede så søndag aften på et byrådsmøde, at eleverne ikke må anvende Chromebooks. Datatilsynet har også oplyst, at de kigger på 20 andre kommuner i relation til deres brug af Google platform i skolen.
Så hvad ville det betyde for din forretning, hvis du fik et tilsvarende forbud mod at anvende en Cloud Service?
Mit bedste råd:
Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?
Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.
The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.
De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.
Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA
Kontakt mig på 4025 3932 eller ole@schmitto.dk, så vi kan tage en dialog om muligheder.
CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.
I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.
Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.
Generelt er det jo de normale ting man bør fokusere på:
Du kan læse hele rapporten her
Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.
Det tager under en time at cracked (knække) et password.
De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online
Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.
Det afhænger af kompleksiteten:
Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.
Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.
Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.
SMV:Digital der hjælper virksomheder med digitale projekter, åbner d. 17 marts for en pulje omkring Digital sikkerhed og ansvarlig dataanvendelse. Her kan man søge om en tilskuds voucher på 50.000 kr. til privat rådgivning. Så det betyder at, virksomheder der overvejer at få bedre styr på deres IT-sikkerhed, nu kan få et tilskud på op til 50.000 kr.
Ja, jeg mener faktisk det er en fantastisk god ide. Der er jo rigtig mange virksomheder, som er usikre på, om deres IT-sikkerhed er tilstrækkelig.
Jeg oplever ofte, at virksomheder rigtig gerne vil købe sig til løsninger. Men dette forløb er netop lagt an på at man bruger tid på:
Det afhænger jo af virksomhedens nuværende status og modenhed i relation til IT-sikkerhed. Har du styr på det hele, eller er der områder du er i tvivl om? Under alle omstændighed vil jeg foreslå, at du prøver at tage sikkerhedstjek testen.
Brug tiden på at besvare spørgsmålene. Den kommer ikke rundt om alt, men giver et godt overblik. Jeg vil foreslå, at du udfylder den sammen med rådgiveren, så i har en fælles reference ramme. Den er en del af Virk.dk Sikkerhedstjekket – Testen.
Hvis i udfylder den sammen, vil man få en god dialog omkring svarene, hvilket giver et godt indblik for rådgiveren i virksomhedens nuværende IT-sikkerheds niveau. Resultatet giver et godt udgangspunkt for næste skridt.
PS: Da testen er anonym, skal du huske at gemme den. Det kunne også være interessant på et senere tidspunkt at tage testen igen og sammenligne resultaterne.
Igen baseret på modenhed, vil en Risikovurdering give et indblik i virksomhedens nuværende appetit på risiko.
Her kan man bruge et gratis værktøj fra virk.dk IT-risikovurderingsværktøj, der udfyldes sammen med rådgiveren. Den dækker disse områder:
Resultaterne af de to ovenstående giver:
Den rådgiver du vælger at bruge, skal være godkendt af SMV:Digital. Jeg er godkendt til dette, men du kan også søge på listen her.
Vi har observeret unormal login til din Microsoft konto:
Login detaljer:
– Land: Rusland Moskva
– IP adress: x.x.x.x.
– Dato: 6-03-2022
– Platform: Linux
– Browser: Firefox
En bruger fra Rusland/Moskva har netop logget ind på din konto fra en ny enhed. “Hvis dette ikke var dig, bør du med det samme ændre dine login oplysninger via dette link.”
Man sendes herefter til en “Microsoft login hjemmeside”, hvor man som beskrevet, indtaster sin mail adresse og sit password.
Problemet er bare, at det er angriberen, der har lavet en look-a-like Microsoft login hjemmeside, og du har lige afleveret din mail konto login oplysninger til hackeren.
Alle blev “taget med bukserne nede” lige inden juleferien, da sårbarheden i Log4J blev kendt.
Læs videre “Log4J hvor langt er du?”
Utallige danske virksomheder har været og vil blive ramt af ransomware angreb.
Læs videre “Ransomware er den største trussel mod danske virksomheder!”
Ved tilmelding af et nyhedsbrev, -hvad nu hvis det ikke giver mig værdi, kan jeg så afmelde nyhedsbrevet igen? I henhold til GDPR skal det være lige så nemt at tilmelde sig som at afmelde sig. Men alle har oplevet, at sådan er det ikke altid. Selvom du har retten på din side, hjælper det jo ikke, hvis nyhedsbrevs ejeren fortsætter med at sende dig mail.
Hvis du tilmelder dig et udenlandsk nyhedsbrev, gælder GDPR jo ikke nødvendigvis. Måske sælger hjemmesiden endda din mailadresse til andre sites.
Læs videre “STOP med at bruge din mailadresse til Nyhedsbreve.”