Datatilsynet ser også på din IT-sikkerhed!

IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.

Hvad er en manglende sikkerhedsforanstaltning?

F.eks. 2-faktor login til systemer der kan tilgås remote.

Hvad er 2-faktor og hvorfor er det vigtigt?

2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.

NemID og MitID er begge løsninger, der er baseret på 2-faktor.

2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.

Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.

Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.

Bøde ved manglende 2-faktor:

Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Bøde ved manglede pinkode på mobil:

I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.

Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.

Hvordan sikrer man, at der er krav om pinkode på mobil?

Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.

Mere info om de nævnte sager:

Vi har observeret et nyt login til din Microsoft konto fra Rusland.

Vi har observeret unormal login til din Microsoft konto:

Login detaljer:

– Land: Rusland Moskva

– IP adress: x.x.x.x.

– Dato: 6-03-2022

– Platform: Linux

– Browser: Firefox

En bruger fra Rusland/Moskva har netop logget ind på din konto fra en ny enhed. “Hvis dette ikke var dig, bør du med det samme ændre dine login oplysninger via dette link.”

Man sendes herefter til en “Microsoft login hjemmeside”, hvor man som beskrevet, indtaster sin mail adresse og sit password.

Problemet er bare, at det er angriberen, der har lavet en look-a-like Microsoft login hjemmeside, og du har lige afleveret din mail konto login oplysninger til hackeren.

Bedste råd.

  • Aktiver 2-faktor login på ALLE de konti, hvor det er muligt, herunder Microsoft via MFA
  • Hjælp også venner og familie med opsætning af 2-faktor.
  • Oplys brugere, venner og famile om, at den nuværende krise vil blive udnyttet af hackere på alle niveauer.

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.

3 gode råd mod password tyveri du kan implementere nu!

Alt tyder på at hackere har samlet op mod 5.0 mill Gmail brugernavne og passwords i en fil, som nu er tilgængelig via download. Google siger at det ikke skyldes et indbrud hos dem, men at de formentlig er stjålet over lang tid fra andre web sites.

Hvorfor er det ekstra slemt når de får din email?

Fordi mange hjemmesider tilbyder at sende dit glemte password til din email adresse. Har man først adgang til denne, kan man hurtig overtage din identitet, dine konti såsom Facebook, Instagram, Twitter -ja alle steder der bruger denne metode. Som regel vil de også have ændret dit email password, og så du kan bare sidde og se til, medens de boltrer sig med din identitet.

3 gode råd til at sikre dine konti:

  • Genbrug aldrig password’s! Installer en password manager, som hjælper dig med at generere og huske engangs password pr. site, såsom LastPass1Password (sidstnævnte bruger jeg på alle enheder også iPhone & iPad)
  • Aktiver 2-faktor authentikation! Det betyder at udover password skal man også indtaste en kode, som ofte kommer som SMS på din mobil, når du logger ind. Så i dette tilfælde kræver det at angriberen både har dit password og din mobil. De fleste større web services tilbyder denne funktion, såsom Apple, Gmail, Facebook, Twitter, Dropbox, Evernote og Linkedin. Den engelsksprogede hjemmeside Lifehacker har en artikel der beskriver hvordan man aktiverer 2-faktor authentikation på websites.
  • Aktiver adgangs kode på din Smartphone! Så kan man ikke få adgang til disse data.