Så er vi ved at være fremme ved afslutningen af året.
Fik vi forbedret vores IT-sikkerhed for 2022 som planlagt?
Ja, det kan du jo kun selv svare på.
Læs videre “To udfordringer igen i 2022”To udfordringer igen i 2022
Datatilsynet ser også på din IT-sikkerhed!
IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
Hvad er en manglende sikkerhedsforanstaltning?
F.eks. 2-faktor login til systemer der kan tilgås remote.
Hvad er 2-faktor og hvorfor er det vigtigt?
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Bøde ved manglende 2-faktor:
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
Bøde ved manglede pinkode på mobil:
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Hvordan sikrer man, at der er krav om pinkode på mobil?
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Mere info om de nævnte sager:
Vi har observeret et nyt login til din Microsoft konto fra Rusland.
Vi har observeret unormal login til din Microsoft konto:
Login detaljer:
– Land: Rusland Moskva
– IP adress: x.x.x.x.
– Dato: 6-03-2022
– Platform: Linux
– Browser: Firefox
En bruger fra Rusland/Moskva har netop logget ind på din konto fra en ny enhed. “Hvis dette ikke var dig, bør du med det samme ændre dine login oplysninger via dette link.”
Man sendes herefter til en “Microsoft login hjemmeside”, hvor man som beskrevet, indtaster sin mail adresse og sit password.
Problemet er bare, at det er angriberen, der har lavet en look-a-like Microsoft login hjemmeside, og du har lige afleveret din mail konto login oplysninger til hackeren.
Bedste råd.
- Aktiver 2-faktor login på ALLE de konti, hvor det er muligt, herunder Microsoft via MFA
- Hjælp også venner og familie med opsætning af 2-faktor.
- Oplys brugere, venner og famile om, at den nuværende krise vil blive udnyttet af hackere på alle niveauer.