Datatilsynet ser også på din IT-sikkerhed!

IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.

Hvad er en manglende sikkerhedsforanstaltning?

F.eks. 2-faktor login til systemer der kan tilgås remote.

Hvad er 2-faktor og hvorfor er det vigtigt?

2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.

NemID og MitID er begge løsninger, der er baseret på 2-faktor.

2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.

Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.

Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.

Bøde ved manglende 2-faktor:

Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Bøde ved manglede pinkode på mobil:

I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.

Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.

Hvordan sikrer man, at der er krav om pinkode på mobil?

Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.

Mere info om de nævnte sager:

Datatilsynet frigiver spørgeskema om Cloud.

  • De fleste virksomheder bruger minimum en cloud service, oftest mange flere.
  • De mest populære cloud services er placeret i USA. (Microsoft, Google etc.)
  • USA er i GDPR sammenhæng et 3. land.

Udfordringen:

Du må ikke overføre personhenførbare data til 3. lande. Så hvis du anvender cloud services som er amerikansk ejede, har du en udfordring, da der ikke på nuværende tidspunkt er en nem løsning i henhold til USA og GDPR.

Vi har siden juni 2021 ventet på at EU og USA skal blive enige om en løsning, der gør at data igen kan overføres. Så alle venter på denne løsning.

Datatilsynet venter dog ikke på dette, men vil sikre sig at din virksomhed lever op til de gældende regler, og ikke dem der forventes at komme en dag.

Hvad betyder det for mig?

Du skal sikre dig, at reglerne følges ved dataoverførsel til 3. lande.

Hvad er risikoen?

Det bedste eksempel lige nu, er vel sagen omkring Helsingør kommunes brug af Google undervisnings platform. I midten af juli fik de forbud mod at bruge platformen, og besluttede så søndag aften på et byrådsmøde, at eleverne ikke må anvende Chromebooks. Datatilsynet har også oplyst, at de kigger på 20 andre kommuner i relation til deres brug af Google platform i skolen.

Så hvad ville det betyde for din forretning, hvis du fik et tilsvarende forbud mod at anvende en Cloud Service?

Hvad bør jeg gøre nu?

Mit bedste råd:

  • Hent det Excel regneark, Datatilsynet har frigivet
  • Gennemgå det og besvar det helt ærligt, som du ser verden. Se hvor du har nogle “huller”, og forhold dig til disse.

STOP med altid at fokusere på nyeste sårbarheder.

Hvad gik hackerne efter i 2021?

Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?

Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.

The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.

De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.

Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA

Har du overblik over sårbarheder i realtid på dit netværk?

Kontakt mig på 4025 3932 eller ole@schmitto.dk, så vi kan tage en dialog om muligheder. 

Center for Cybersikkerhed hæver trussel niveauet.

CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.

I rapporten står der:

  • Truslen fra cyberaktivisme mod Danmark er MIDDEL. CFCS hæver dermed trusselsniveauet fra LAV til MIDDEL på baggrund af aktivistiske cyberangreb udført i forbindelse med krigen i Ukraine.
  • Cyberaktivistiske angreb ramte i krigens indledende fase hovedsageligt mål i Rusland, Ukraine og Belarus, men har i de seneste uger også ramt mål i vesteuropæiske NATO-lande.
  • CFCS vurderer, at det er muligt, at særligt pro-russiske hackere vil gå efter mål i Danmark. Det er en ændring af trusselsbilledet sammenlignet med de seneste år, hvor CFCS har vurderet, at cyberaktivister ikke har udvist intention om at ramme danske mål.

Hvorfor Danmark

I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.

Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.

Hvad kan jeg gøre

Generelt er det jo de normale ting man bør fokusere på:

  • Sikre at du har sikkerheds opdateret dine enheder med relevante sikkerhedsopdateringer
  • Anvende 2-faktor på alle service
  • Informer brugere om at de skal være opmærksomme på links i email.

Mere info:

Du kan læse hele rapporten her

Slut på Office 2013 – End of Life

Office 2013 har end of support d. 11 April 2023.

Hvad betyder det?

Det betyder at du ikke længere vil modtage sikkerheds opdateringer, hvilket betyder at hackerne begynder at fokusere endnu mere på sårbarheder i Office 2013.

Hvad bør jeg gøre?

Opgrader snarest til nyeste version af Office. Faktisk har man ikke kunnet forbinde sig til Microsoft 365 services siden 2020 med Office 2013.

Hvilken farve har dit password?

Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.

Det tager under en time at cracked (knække) et password.

Hvad betyder det at cracke/knække et password?

De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online

Hvordan knækker hackeren mit password?

Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.

Hvor lang tid tager det at knække mit password?

Det afhænger af kompleksiteten:

  • Password med op til 10 tal, med det samme
  • Password med 7 karakterer, alle små bogstaver, med det samme
  • Password med 7 karakterer, kombination af store og små bogstaver, 2 sekunder
  • Password med 8 karakterer, kombination af store og små bogstaver, 2 min
  • Password med 9 karakterer, kombination af tal og store og små bogstaver, 7 timer
  • Password med 11 karakterer, store og små bogstaver, 5 måneder
  • Password med 15 karakterer, små bogstaver, 100 år

Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.

Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.

Findes der bedre kryptering end MD5 hash?

Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.

Hvad bør jeg gøre?

  • Genbrug ALDRIG det samme password på flere hjemmesider.
  • Brug en Passwordmanager som 1Password
  • Aktiver 2-faktor hvor det er muligt.

Mere info:

50.000 kr. i tilskud til IT-sikkerhed!

SMV:Digital der hjælper virksomheder med digitale projekter, åbner d. 17 marts for en pulje omkring Digital sikkerhed og ansvarlig dataanvendelse. Her kan man søge om en tilskuds voucher på 50.000 kr. til privat rådgivning. Så det betyder at, virksomheder der overvejer at få bedre styr på deres IT-sikkerhed, nu kan få et tilskud på op til 50.000 kr.

Det er vel en god ide?

Ja, jeg mener faktisk det er en fantastisk god ide. Der er jo rigtig mange virksomheder, som er usikre på, om deres IT-sikkerhed er tilstrækkelig.

Det handler om en plan.

Jeg oplever ofte, at virksomheder rigtig gerne vil købe sig til løsninger. Men dette forløb er netop lagt an på at man bruger tid på:

  1. At få overblik og status på det nuværende setup.
  2. At udfærdige en plan for hvor man gerne vil hen.
  3. At beskrive hvordan man kommer derhen.

Hvordan kommer jeg igang?

  1. Læs om Tilskud: Digital sikkerhed og ansvarlig dataanvendelse: Tilskudsvoucher på 50.000 kr. til privat rådgivning | SMV:Digital
  2. Download skabelon til forberedelse af ansøgning og udfyld denne sammen med rådgiveren. Så er du klar til at søge d. 17 marts online, og godkendelsen skulle komme indenfor 5 uger.

Hvordan vil et typisk forløb se ud?

Det afhænger jo af virksomhedens nuværende status og modenhed i relation til IT-sikkerhed. Har du styr på det hele, eller er der områder du er i tvivl om? Under alle omstændighed vil jeg foreslå, at du prøver at tage sikkerhedstjek testen.

Sikkerhedstjekket-Testen.

Brug tiden på at besvare spørgsmålene. Den kommer ikke rundt om alt, men giver et godt overblik. Jeg vil foreslå, at du udfylder den sammen med rådgiveren, så i har en fælles reference ramme. Den er en del af Virk.dk Sikkerhedstjekket – Testen.

Hvis i udfylder den sammen, vil man få en god dialog omkring svarene, hvilket giver et godt indblik for rådgiveren i virksomhedens nuværende IT-sikkerheds niveau. Resultatet giver et godt udgangspunkt for næste skridt.

PS: Da testen er anonym, skal du huske at gemme den. Det kunne også være interessant på et senere tidspunkt at tage testen igen og sammenligne resultaterne.

Risikovurdering.

Igen baseret på modenhed, vil en Risikovurdering give et indblik i virksomhedens nuværende appetit på risiko.

Her kan man bruge et gratis værktøj fra virk.dk IT-risikovurderingsværktøj, der udfyldes sammen med rådgiveren. Den dækker disse områder:

  1. Enheder
  2. Applikationer og tjenester
  3. Brugere
  4. Netværk
  5. Data

Næste skridt.

Resultaterne af de to ovenstående giver:

  1. Overblik og status på nuværende setup.
  2. Mulighed for at udfærdige en plan for hvor man vil hen.
  3. Overordnet beskrivelse af hvordan man kommer derhen.

Hvor finder jeg en rådgiver?

Den rådgiver du vælger at bruge, skal være godkendt af SMV:Digital. Jeg er godkendt til dette, men du kan også søge på listen her.

Vi har observeret et nyt login til din Microsoft konto fra Rusland.

Vi har observeret unormal login til din Microsoft konto:

Login detaljer:

– Land: Rusland Moskva

– IP adress: x.x.x.x.

– Dato: 6-03-2022

– Platform: Linux

– Browser: Firefox

En bruger fra Rusland/Moskva har netop logget ind på din konto fra en ny enhed. “Hvis dette ikke var dig, bør du med det samme ændre dine login oplysninger via dette link.”

Man sendes herefter til en “Microsoft login hjemmeside”, hvor man som beskrevet, indtaster sin mail adresse og sit password.

Problemet er bare, at det er angriberen, der har lavet en look-a-like Microsoft login hjemmeside, og du har lige afleveret din mail konto login oplysninger til hackeren.

Bedste råd.

  • Aktiver 2-faktor login på ALLE de konti, hvor det er muligt, herunder Microsoft via MFA
  • Hjælp også venner og familie med opsætning af 2-faktor.
  • Oplys brugere, venner og famile om, at den nuværende krise vil blive udnyttet af hackere på alle niveauer.

STOP med at bruge din mailadresse til Nyhedsbreve.

Ved tilmelding af et nyhedsbrev, -hvad nu hvis det ikke giver mig værdi, kan jeg så afmelde nyhedsbrevet igen? I henhold til GDPR skal det være lige så nemt at tilmelde sig som at afmelde sig. Men alle har oplevet, at sådan er det ikke altid. Selvom du har retten på din side, hjælper det jo ikke, hvis nyhedsbrevs ejeren fortsætter med at sende dig mail.

Hvis du tilmelder dig et udenlandsk nyhedsbrev, gælder GDPR jo ikke nødvendigvis. Måske sælger hjemmesiden endda din mailadresse til andre sites.

Læs videre “STOP med at bruge din mailadresse til Nyhedsbreve.”

6 gode råd om beskyttelse mod Ransomware:

Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.

  1. Angreb mod de systemer der styrer en 8.000 km lang olie distributions ledning i USA, som betød, at der pludselig blev mangel på benzin til de forslugne amerikanske biler.
  2. Angreb mod det Irske sundhedsvæsen, som betød problemer med COVID-19 tests og andre sundheds services.

Hvad sker der i et Ransomware angreb?

Dine filer bliver krypteret, så du ikke længere kan læse dem

Hvordan kommer Ransomware typisk ind i virksomheden?

Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.

Hvordan får jeg mine filer igen?

  1. Betaler angriberen den løsesum “ransom” han kræver.
  2. Restore ved hjælp af dit backup system.

Får man sine filer igen, hvis man betaler angriberen?

Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.

Bør man betale?

Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.

  1. Olielednings firmaet skulle efter sigende havde betalt 30 millioner kr. for at modtage krypteringsnøglen. Så jeg er sikker på, at de er et emne igen for ny Ransomware.
  2. Det Irske sundhedsvæsen har tilsyneladende afvist at betale.

Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.

6 gode basis råd til at undgå Ransomware

  1. Kend dit setup. Sikre dig at alle enheder opdateres, både servere, klienter, operativsystemer og 3. parts software. Jeg bruger Qualys til dette.
  2. Check alle ind- og udgående mails for links og vedhæftede filer.
  3. Hav et backup system, hvor data også findes udenfor virksomheden, så backup data ikke også bliver krypteret. Se denne blog artikel om: Hvorfor er backup 3-2-1 vigtig for dig
  4. Check at du kan restore kritiske data mindst hver 6. måned.
  5. Brug et anerkendt ransomware produkt/service til at beskytte klienter og servere.
  6. Fortæl brugere, at hvis de er i tvivl, så klik aldrig på links eller ukendte filer.

Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.