Ny varslingstjeneste skal hjælpe virksomheder med at undgå cyberangreb.

Varslingstjenesten:

“22-02-2024 – I dag lanceres en ny varslingstjeneste, som små og mellemstore virksomheder kan tilmelde sig, for at kunne handle på aktuelle sårbarheder, der kan true cybersikkerheden hos virksomhederne.”

Sådan står der på Digitaliseringsstyrelsen hjemmeside, hvor de annoncerer en ny tjeneste, man gratis kan abonnere på, og modtage info om de sårbarheder tjenesten mener du skal fokusere på.

Skal jeg tilmelde mig?

Læs videre “Ny varslingstjeneste skal hjælpe virksomheder med at undgå cyberangreb.”

Hvorfor bør sårbarhedssystem fortælle mig om software med “End of Life”

Fordi end of life betyder END OF LIFE, så softwaren ikke længere supporteres af producenten.

  • Der kommer ikke flere opdateringer.
  • Der kommer ikke flere sikkerheds opdateringer.

Hvad er udfordringen?

  • At angribere ikke nødvendigvis forsøger at udnytte de nyeste sårbarheder. Faktisk er rigtig mange succesfulde angreb udført, hvor man udnytter en kendt sårbarhed, som er måneder ja måske flere år gammel.
  • Har software kørende, som du ikke ved har EOL om 1-3-6-12 måneder.
  • Hvad med applikationen der blev installeret for 5 år siden på grund af et specifikt behov, og ikke længere anvendes? Og som ingen husker?

Hvordan løser man det?

Når du er i markedet for Vulnerability Management (sårbarheds værktøjer), skal du sikre dig, at det også har info om, hvornår din hardware og software har end of life.

Gerne en oversigt der viser hvilken hardware og software med end of life indenfor de næste 12 måneder, så du dermed kan planlægge en migrering.

  • PS: Lad nu være med at købe software, hvor du kun ser EOL. Det bliver så endnu en platform du skal se på, når du skal vurdere din samlede risiko.. som selvfølgelig også omhandler EOL. Mere om virksomheders udfordringer omkring antallet af sikkerheds applikationer indenfor IT-sikkerhed i en kommende artikel.

👆PS PS: HUSK Windows 10 har End of Life 14. oktober 2025

Er kommerciel klient VPN sikker?

Hvorfor du skal være opmærksom på din VPN-udbyders logningspolitik?

Vi har alle hørt om personer, der er blevet hacket eller stjålet online. Derfor er det vigtigt at beskytte data når vi er på farten og bruger offentlige WiFi-netværk. En klient VPN-tjeneste kan hjælpe med at beskytte dine data og give dig en følelse af sikkerhed. Men der er en faktor, som du skal være opmærksom på, når du bruger en VPN-tjeneste: logning.

Logger din VPN udbyder din trafik?

Logning er processen, hvor en VPN-udbyder registrerer og opbevarer brugerdata. Det kan omfatte alt fra din IP-adresse og browserhistorik til din placering og loginoplysninger. Mange VPN-udbydere hævder, at de ikke logger brugerdata. Men nogle udbydere logger alligevel din kommunikation og bruge disse data til at profilere dig og dine online-vaner.

Hvordan beskytter jeg mig mod VPN logning?

Det første du skal undersøge er VPN-udbyderens logningspolitik og sikre dig, at de har en stærk politik, der beskytter dine data og dit privatliv. Du kan også overveje at bruge en betalt VPN-tjeneste, da disse ofte har bedre sikkerhed og bedre logningspolitikker end gratis VPN-tjenester.

Brug ikke din mail adresse

En anden ting er at undgå at dele personlige oplysninger online, når du bruger en VPN-tjeneste. Brug ikke din rigtige e-mailadresse eller dit rigtige navn, når du opretter en konto hos en VPN-udbyder, og husk at bruge 2-faktor og en adgangskode, der er stærk og unik.

Mit bedste råd

Selvom en klient VPN-tjeneste kan hjælpe med at beskytte din kommunikation, er det ikke en fuldstændig løsning. Du bør stadig tage andre forholdsregler for at beskytte dine data. Undgå at bruge offentlige WiFi-netværk til at logge ind på følsomme konti og brug 2-faktor hvor det er muligt.

Er det farligt at oplade sin mobil eller laptop i lufthavnen?

Har du også hørt om det voksende fænomen juice-jacking, hvor cyberkriminelle installerer malware på din enhed, mens du oplader den på offentlige ladestationer. Kender du nogen, der faktisk er blevet inficeret?

Sker det?

Det viser sig, at juice-jacking ikke er så udbredt, som nogle måske tror. Men det betyder ikke, at vi skal ignorere denne trussel.

Cyberkriminelle vil altid lede efter nye måder at narre ofre på. Det er ikke kun via offentlige ladestationer, du kan blive inficeret med malware. Enhver offentlig Wi-Fi-forbindelse kan også være farlig, hvis du ikke tager de rette forholdsregler.

Hvordan beskytter jeg mig?

Så hvad kan du gøre for at beskytte dig selv mod juice-jacking og andre former for malware? Undgå offentlige ladestationer og oplad din enhed derhjemme eller på arbejde. Og brug altid din egen oplader og undgå at låne andres.

Skulle det gå galt.

Sørg for at have opdateret antivirussoftware installeret på dine enheder og vær opmærksom på mistænkelig aktivitet på din enhed, såsom pop-up.

Kaffemaskine og IT-sikkerhed 🤔

🤔Hvad er sammenhængen imellem en kaffemaskine og IT-sikkerhed?

  • Ansatte mødes flere gange dagligt ved kaffemaskinen
  • De står og venter på at komme til at vælge deres kaffe
  • De står og venter på at deres kaffe bliver færdig
  • Når de har fået deres kaffe, er der andre, der står og venter eller lige har fået deres kaffe
  • Snakken starter, man taler sammen over kaffen.
Læs mere: Kaffemaskine og IT-sikkerhed 🤔

Det er derfor det oplagte sted at informere ansatte om IT-sikkerhed. Ja om alt -for den sags skyld.

Hvor ofte har man ikke lagt beskeder ind på et intranet, og alligevel er den interne support ved at “vælte” hvis mailen pludselig ikke virker…

Folk kigger ikke ind på en intranet side for at finde status på mail system. Nej de går oftest ud og henter en kop kaffe, og håber på at alt fungerer, når de kommer retur.

Derfor skal info gives ved kaffemaskinen.

Udover drift information, kunne man også informere om IT-sikkerhed som:

  • Husk sikre passwords
  • Husk at passe på kunde data
  • Del ikke data
  • Vores mail system er nede

Sårbarhedsskanning – kapitel 1 – CVE

– Hvad betyder forkortelsen CVE?

Jeg har været i IT sikkerhedsbranchen siden 1987 (35 år), og der er stadig forkortelser, jeg anvender dagligt, uden præcis at kende betydningen.

Har du det på samme måde? For i de næste nyhedsbreve vil jeg studere og fokusere på nogle af de udtryk, der anvendes i forbindelse med sårbarheds skanning. Håber du også lærer noget nyt.

Læs videre “Sårbarhedsskanning – kapitel 1 – CVE”

Datatilsynet ser også på din IT-sikkerhed!

IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.

Hvad er en manglende sikkerhedsforanstaltning?

F.eks. 2-faktor login til systemer der kan tilgås remote.

Hvad er 2-faktor og hvorfor er det vigtigt?

2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.

NemID og MitID er begge løsninger, der er baseret på 2-faktor.

2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.

Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.

Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.

Bøde ved manglende 2-faktor:

Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Bøde ved manglede pinkode på mobil:

I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.

Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.

Hvordan sikrer man, at der er krav om pinkode på mobil?

Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.

Mere info om de nævnte sager:

Datatilsynet frigiver spørgeskema om Cloud.

  • De fleste virksomheder bruger minimum en cloud service, oftest mange flere.
  • De mest populære cloud services er placeret i USA. (Microsoft, Google etc.)
  • USA er i GDPR sammenhæng et 3. land.

Udfordringen:

Du må ikke overføre personhenførbare data til 3. lande. Så hvis du anvender cloud services som er amerikansk ejede, har du en udfordring, da der ikke på nuværende tidspunkt er en nem løsning i henhold til USA og GDPR.

Vi har siden juni 2021 ventet på at EU og USA skal blive enige om en løsning, der gør at data igen kan overføres. Så alle venter på denne løsning.

Datatilsynet venter dog ikke på dette, men vil sikre sig at din virksomhed lever op til de gældende regler, og ikke dem der forventes at komme en dag.

Hvad betyder det for mig?

Du skal sikre dig, at reglerne følges ved dataoverførsel til 3. lande.

Hvad er risikoen?

Det bedste eksempel lige nu, er vel sagen omkring Helsingør kommunes brug af Google undervisnings platform. I midten af juli fik de forbud mod at bruge platformen, og besluttede så søndag aften på et byrådsmøde, at eleverne ikke må anvende Chromebooks. Datatilsynet har også oplyst, at de kigger på 20 andre kommuner i relation til deres brug af Google platform i skolen.

Så hvad ville det betyde for din forretning, hvis du fik et tilsvarende forbud mod at anvende en Cloud Service?

Hvad bør jeg gøre nu?

Mit bedste råd:

  • Hent det Excel regneark, Datatilsynet har frigivet
  • Gennemgå det og besvar det helt ærligt, som du ser verden. Se hvor du har nogle “huller”, og forhold dig til disse.

STOP med altid at fokusere på nyeste sårbarheder.

Hvad gik hackerne efter i 2021?

Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?

Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.

The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.

De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.

Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA

Har du overblik over sårbarheder i realtid på dit netværk?

Kontakt mig på 4025 3932 eller [email protected], så vi kan tage en dialog om muligheder. 

Center for Cybersikkerhed hæver trussel niveauet.

CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.

I rapporten står der:

  • Truslen fra cyberaktivisme mod Danmark er MIDDEL. CFCS hæver dermed trusselsniveauet fra LAV til MIDDEL på baggrund af aktivistiske cyberangreb udført i forbindelse med krigen i Ukraine.
  • Cyberaktivistiske angreb ramte i krigens indledende fase hovedsageligt mål i Rusland, Ukraine og Belarus, men har i de seneste uger også ramt mål i vesteuropæiske NATO-lande.
  • CFCS vurderer, at det er muligt, at særligt pro-russiske hackere vil gå efter mål i Danmark. Det er en ændring af trusselsbilledet sammenlignet med de seneste år, hvor CFCS har vurderet, at cyberaktivister ikke har udvist intention om at ramme danske mål.

Hvorfor Danmark

I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.

Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.

Hvad kan jeg gøre

Generelt er det jo de normale ting man bør fokusere på:

  • Sikre at du har sikkerheds opdateret dine enheder med relevante sikkerhedsopdateringer
  • Anvende 2-faktor på alle service
  • Informer brugere om at de skal være opmærksomme på links i email.

Mere info:

Du kan læse hele rapporten her

Hvilken farve har dit password?

Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.

Det tager under en time at cracked (knække) et password.

Hvad betyder det at cracke/knække et password?

De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online

Hvordan knækker hackeren mit password?

Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.

Hvor lang tid tager det at knække mit password?

Det afhænger af kompleksiteten:

  • Password med op til 10 tal, med det samme
  • Password med 7 karakterer, alle små bogstaver, med det samme
  • Password med 7 karakterer, kombination af store og små bogstaver, 2 sekunder
  • Password med 8 karakterer, kombination af store og små bogstaver, 2 min
  • Password med 9 karakterer, kombination af tal og store og små bogstaver, 7 timer
  • Password med 11 karakterer, store og små bogstaver, 5 måneder
  • Password med 15 karakterer, små bogstaver, 100 år

Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.

Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.

Findes der bedre kryptering end MD5 hash?

Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.

Hvad bør jeg gøre?

  • Genbrug ALDRIG det samme password på flere hjemmesider.
  • Brug en Passwordmanager som 1Password
  • Aktiver 2-faktor hvor det er muligt.

Mere info:

50.000 kr. i tilskud til IT-sikkerhed!

SMV:Digital der hjælper virksomheder med digitale projekter, åbner d. 17 marts for en pulje omkring Digital sikkerhed og ansvarlig dataanvendelse. Her kan man søge om en tilskuds voucher på 50.000 kr. til privat rådgivning. Så det betyder at, virksomheder der overvejer at få bedre styr på deres IT-sikkerhed, nu kan få et tilskud på op til 50.000 kr.

Det er vel en god ide?

Ja, jeg mener faktisk det er en fantastisk god ide. Der er jo rigtig mange virksomheder, som er usikre på, om deres IT-sikkerhed er tilstrækkelig.

Det handler om en plan.

Jeg oplever ofte, at virksomheder rigtig gerne vil købe sig til løsninger. Men dette forløb er netop lagt an på at man bruger tid på:

  1. At få overblik og status på det nuværende setup.
  2. At udfærdige en plan for hvor man gerne vil hen.
  3. At beskrive hvordan man kommer derhen.

Hvordan kommer jeg igang?

  1. Læs om Tilskud: Digital sikkerhed og ansvarlig dataanvendelse: Tilskudsvoucher på 50.000 kr. til privat rådgivning | SMV:Digital
  2. Download skabelon til forberedelse af ansøgning og udfyld denne sammen med rådgiveren. Så er du klar til at søge d. 17 marts online, og godkendelsen skulle komme indenfor 5 uger.

Hvordan vil et typisk forløb se ud?

Det afhænger jo af virksomhedens nuværende status og modenhed i relation til IT-sikkerhed. Har du styr på det hele, eller er der områder du er i tvivl om? Under alle omstændighed vil jeg foreslå, at du prøver at tage sikkerhedstjek testen.

Sikkerhedstjekket-Testen.

Brug tiden på at besvare spørgsmålene. Den kommer ikke rundt om alt, men giver et godt overblik. Jeg vil foreslå, at du udfylder den sammen med rådgiveren, så i har en fælles reference ramme. Den er en del af Virk.dk Sikkerhedstjekket – Testen.

Hvis i udfylder den sammen, vil man få en god dialog omkring svarene, hvilket giver et godt indblik for rådgiveren i virksomhedens nuværende IT-sikkerheds niveau. Resultatet giver et godt udgangspunkt for næste skridt.

PS: Da testen er anonym, skal du huske at gemme den. Det kunne også være interessant på et senere tidspunkt at tage testen igen og sammenligne resultaterne.

Risikovurdering.

Igen baseret på modenhed, vil en Risikovurdering give et indblik i virksomhedens nuværende appetit på risiko.

Her kan man bruge et gratis værktøj fra virk.dk IT-risikovurderingsværktøj, der udfyldes sammen med rådgiveren. Den dækker disse områder:

  1. Enheder
  2. Applikationer og tjenester
  3. Brugere
  4. Netværk
  5. Data

Næste skridt.

Resultaterne af de to ovenstående giver:

  1. Overblik og status på nuværende setup.
  2. Mulighed for at udfærdige en plan for hvor man vil hen.
  3. Overordnet beskrivelse af hvordan man kommer derhen.

Hvor finder jeg en rådgiver?

Den rådgiver du vælger at bruge, skal være godkendt af SMV:Digital. Jeg er godkendt til dette, men du kan også søge på listen her.