Så er vi ved at være fremme ved afslutningen af året.
Fik vi forbedret vores IT-sikkerhed for 2022 som planlagt?
Ja, det kan du jo kun selv svare på.
Læs videre “To udfordringer igen i 2022”Så er vi ved at være fremme ved afslutningen af året.
Fik vi forbedret vores IT-sikkerhed for 2022 som planlagt?
Ja, det kan du jo kun selv svare på.
Læs videre “To udfordringer igen i 2022”Den nuværende situation omkring Twitter og dennes fremtid, syntes jeg er meget usikker, så jeg foreslår at man forbereder sig på det værste. Jeg oprettede mig selv på twitter i 2007, men har aldrig brugt Twitter som en fast del af min hverdag.
Læs videre “Er Twitter beskeder en sikkerhedsrisiko”Jeg har været i IT sikkerhedsbranchen siden 1987 (35 år), og der er stadig forkortelser, jeg anvender dagligt, uden præcis at kende betydningen.
Har du det på samme måde? For i de næste nyhedsbreve vil jeg studere og fokusere på nogle af de udtryk, der anvendes i forbindelse med sårbarheds skanning. Håber du også lærer noget nyt.
Læs videre “Sårbarhedsskanning – kapitel 1 – CVE”IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
F.eks. 2-faktor login til systemer der kan tilgås remote.
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Vulnerability Management (sårbarhedsskanning) er ikke lig med Patch Management (sårbarhedsopdatering). Det er korrekt, at ofte vil udbedringen af en sårbarhed betyde, at der skal installeres en sikkerheds opdatering (Patch) for at lukke sikkerhedshullet. Men i flere tilfælde handler det også om at tilpasse konfigurationen.
Målet med at sikkerheds opdatere er, at lukke et sikkerhedshul. Mange sikkerhedshuller kræver, at der foretages en konfigurations ændring. Men for at udbedre Spectre/Meltdown sårbarheden, skal man både installere en patch og ændre i konfigurationen.
Asset Management (der findes ikke et godt dansk ord for det) giver dig et samlet overblik af dine enheder. Et Asset Management system bør indeholde alle enheder, hvad enten de er lokale PC’er, servere, netværk, Cloud baserede servere, applikationer eller services til mobile brugere. Så har du ET samlet overblik over din IT.
Det spørgsmål kan ikke besvares blot ved at kigge på sikkerheds opdateringer. Man skal også inkludere viden om konfigurationer. Så når man først har udrullet sikkerhedsopdateringen og udført konfigurations ændringen, bør man igen udføre en sårbarhedsskanning.
I forbindelse med COVID blev rigtig mange brugere til eksterne hjemmebrugere, der sjældent og måske aldrig besøgte kontoret. Det stiller helt nye krav til sårbarhedsskanning og sårbarhedsopdatering. Specielt fordi det kræver både installation af sikkerhedsopdaterringen og i mange tilfælde konfigurations ændringer.
Hvis man anvender forskellige værktøjer til sårbarhedsskanning, sikkerhedsopdatering, konfigurations overblik og Asset Management, betyder det at et samlet overblik er rigtig svært at få, og risikoen for at du mister overblik er stort.
Ja, Qualys, som jeg har samarbejdet med i mere end 20 år. De har efter min mening en løsning som kan give dig et samlet overblik, med mulighed for både:
Der findes uden tvivl andre løsninger end Qualys. Det vigtigste er bare, at du nemt og effektivt kan besvare spørgsmålet ER VI SÅRBARE? Og hvis JA, gør noget ved det!
Så kontakt mig på 4025 3921 eller ole@schmitto.com
Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.
Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.
Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.
På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.
Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.
Det gjorde jeg, men responsen efter login gjorde mig mistænksom.
Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.
Google Chrome tilbyder nu at udføre et Chrome sikkerhedstjek, samt et tjek af om de passwords, du har gemt i Chrome, er kendt af hackerne. Apropos at gemme password i Chrome. Det fraråder jeg! Du bør i stedet bruge 1Password.
I Chrome gå til chrome://settings/ og lidt nede er “Sikkerhedstjek”.
Der er mange eksempler på at videomøder, har fået uventede besøg. I nogle tilfælde har det resulteret i Zoom-Bombing med Porno hvor man jo så ved, at der er andre på linjen.
Læs videre “Sådan sikrer du dine Zoom møder :”Jeg har netop lyttet til en engelsk Podcast omkring snyd for milliarder af EURO.
Dr. Ruja Ignatova overtalte millioner af mennesker verden rundt til at deltage i hendes finans revolution. Og så forsvandt hun. Hvorfor? BBC journalist Jamie Bartlett forsøger i denne Podcast at få svarene.
Læs videre “The missing Crypto Queen Podcast”En gruppe hackere har ifølge flere medier med stor succes angrebet arkitekt firmaet Zaha Hadid Architects. De er blandt andet i Danmark er kendt for tilbygningen på Ordrupgaard
Læs videre “Hackere truer med at frigive data fra arkitekt firma”Tirsdag den 14 April 2020, kom der 113 nye sikkerhedsopdateringer, de 19 er kritiske.
Læs videre “April 2020 sikkerheds opdatering”Siden 2004 har jeg brugt E-conomic regnskabsprogram, og de sidste 3-4 år har jeg fast sendt emails til dem om, hvornår de kunne tilbyde 2-faktor identificering ved login.
Endelig har de frigivet 2-faktor identificering, så jeg som bruger kan sikre mig bedre.
Ens revisor, i mit tilfælde Info-revision, vil også kunne aktivere 2-faktor så de sikre mine og deres andre kunders data, til noget så vitalt som regnskabsdata, hvis de ikke allerede har gjort det.
Du kan læse mere om Visma Connect og husk nu at aktivere 2-faktor via guiden, når du har skiftet til den nye login metode.
PS: En lille ekstra fordel er også, at man nu ved indlogning kun skal angive brugernavn og password. Førhen var det aftalenr., brugernavn og password. Og aftalenr. har aldrig været gode venner med min Password Manager 1Password, så det problem er nu løst samtidig med en meget bedre sikkerhed.
Når du opgraderer til Apple’s nyeste Mac operativ system, Catalina,der blev frigivet 7 oktober 2019, vil du ikke længere kunne køre 32-bit applikationer, men kun 64-bit.
Læs videre “Sådan checker du, om du kan opgradere din Mac til Catalina”Så vil jeg minde dig om, at du bør rense bilen for dine personlige data.
Din bil er en computer, der gemmer på en masse data, på samme måde som din Smartphone og PC. Når du sælger din bil eller afleverer den lejede bil retur, er der nogle ting du bør gøre.
Læs videre “Husk at slette bilens data ….”Der foregår stadig en masse standard hacker angreb, hvor en ekstern hacker vil forsøge at angribe jeres data. Så man kan på ingen måde slappe af ved at sikre at kun denne type angreb reduceres.
Læs videre “Du bliver ikke hacket men snydt via email”Ferie med familien?
Så er her lige en checkliste, så du får en mere sikker ferie.
Læs videre “8. Tips til sikker ferie med familien”Jeg har for nylig læst en artikel om, at hvis du er Gmail bruger, så gemmer Google alle dine køb.
Læs videre “Gemmer Google dine køb?”