Bruker de ansatte firmaets epostkontoer i sosiale medier? Det kan være en sikkerhetstrussel.
Bruker de ansatte firmaets epostkontoer i sosiale medier? Det kan være en sikkerhetstrussel.

- Mange svakheter i firmaenes IT-sikkerhet

Bruk av hjemmekontor øker risikoen for dataangrep og hacking, skriver IT- og sikkerhetsekspert Chris Dale i dette innlegget, der han deler tips om hva firmaer kan gjøre for å beskytte sine data.

Publisert

Datasikkerhet snakkes om i alle bedrifter, er et vanlig tema i lunsjrommet, sikkerhetsledere nevner det i ledermøtene og det er nærmest ukentlige hendelser som kommenteres i media. Hva gjør man egentlig for å få god magefølelse rundt IT-sikkerhet?

Hvor starter man for å ta grep rundt bedriftens sikkerhet? Her er noen interessante og grunnleggende elementer som kan hjelpe å sette fokus.

Svake passord

Chris Dale er ekspert på IT-sikkerhet, og TV2 ekspertkommentator på cybersikkerhet. Han har jobbet med IT-sikkerhet for flere norske advokatfirmaer.
Chris Dale er ekspert på IT-sikkerhet, og TV2 ekspertkommentator på cybersikkerhet. Han har jobbet med IT-sikkerhet for flere norske advokatfirmaer.

Kontoer skal i dag benytte flerfaktor-autentisering. Det vil si at man må bruke kode i tillegg til passord for å logge inn i et system. Dette gjør hjemmekontorløsninger mye tryggere, samtidig vil det ha stor effekt i situasjoner der kriminelle har fått tak i passordet ditt, men ikke telefonen din.

Cyberkriminelle tar over systemer og databaser på en ukentlig basis. Dersom et slikt system har brukere fra ditt selskap, er samtidig også passordet til brukeren på avveie.

6,5 millioner passord på avveie

Det populære sosiale nettverket LinkedIn er et veldig godt eksempel på et system som ble hacket, og der alle brukernavnene og passordene ble lekket på internett. Hele 6,5 millioner brukerkontoer og passord havnet på avveie.

Var noen av dine brukere på LinkedIn med firmaets e-postadresse som brukernavn og benyttet de samme passord eller en passordvariasjon som de har på bedriftskontoen?

Da forstår man fort alvoret når kriminelle kun trenger å logge på, så er de på innsiden. En kode fra mobilen gjør denne typen angrep mye vanskeligere.

LinkedIn er et godt eksempel fordi det er en global og velkjent tjeneste som traff bedriftsbrukere med stor kraft. Dette kan skje igjen.

- Ikke bruk firma-eposten

Rådene for ikke å sette seg selv i slike situasjoner er å ha sterke og unike passord for hver tjeneste, samt å ikke benytte firmaeposten til å opprette LinkedIn-brukere eller annet av privat karakter.

Videre møter vi mange kunder som opplever store utfordringer med «passordhelvete». Flere og flere steder og tjenester krever innlogging, og vår hjerne og hukommelse sliter fort når det blir for mye og for komplisert.

Dermed velger man seg historisk ofte enkle svake passord. For å løse dette anbefaler vi å etablere en« passord manager», som kan gjøres gratis. Dette er en sentral, sikker løsning for lagring av alle dine passord knyttet mot tjenester og systemer, både for privat bruk og bedriftstjenester.

Om du synes temaet virker litt skummelt, så ta en dialog med IT der du jobber, så får du god veiledning videre.

Sikre god kjennskap til bedriftens angrepsflate

IT-avdelinger skal typisk ha kontroll på bedriftens såkalte angrepsflate, men vi ser gjentatte ganger at dette blir glemt. I mange tilfeller av etisk hacking mot bedrifter ser vi at innbrudd ofte kan gjennomføres med meget enkle grep, og hvor små tiltak kunne ha avverget hele situasjonen.

For eksempel har vi, med bruk av litt avanserte søkekunnskaper, avslørt sensitive oppløsninger ved å søke på nett på en kundes navn. En gang fant vi oversikt over lønn til ansatte, åpent og tilgjengelig på nett, identifisert av Google. En annen gang fant vi alle saksdokumenter, åpent og tilgjengelig til alle med tilgang til bedriftens trådløse nett.

Man må vite hvilke verdier og tjenester som er eksponert på internett. På nett er man daglig under angrep, slik er det bare blitt. Du trodde kanskje WWW var en forkortning for «World Wide Web»? Vi kaller det «Wild Wild West».

Kontroll på innsiden

Bedrifter bør spørre seg hva en ansatts PC har av tilganger på det interne nettverket i dag. Om hvilke dokumenter som er tilgjengelig på åpne filområder, og om hvor langt et virus klarer å spre seg på nettverket, uten å bli hindret.

Covid-19 tiltak og hyppig bruk av hjemmekontor har gjort at flere ansatte aksesserer bedriftens nettverk via VPN, men hva skjer om den ansattes brukernavn og passord er på avveie?

Kontroll på innsiden er viktig for å hindre at slike ting skjer. Nylig ble vi kalt ut på et oppdrag hvor kunden sine datasystemer var blitt kryptert. Hvordan kunne dette skje? Jo, fordi en ansatt i et annet firma hadde installert et virus. Problemet var av de tilfeldigvis delte det samme nettverket.

Interne nettverk bør deles

Interne nettverk bør deles opp, slik at alt ikke er tilgjengelig, ofte kalt et «flatt nettverk». Brannmurene må brukes også på innsiden, ikke kun fra utsiden og inn.

Med solid IT-arkitektur kommer man ganske langt. Ved et ondsinnet angrep mot en typisk bedrift, bruker internasjonale trussel-aktører, for eksempel russiske cyberkriminelle, ned i 19 minutter i snitt fra de har hacket en PC til de har klart å hacke en ny. Det gir oss ikke så mye spillerom, eller reelle muligheter til å kaste dem ut før det er for sent.

Med solid IT arkitektur, gode systemer, segmenterte nettverk og flinke ansatte som ikke gjør svake it-sikkerhetsmessige valg, kjøper man seg litt tid i kampen mot de kriminelle. Husk at spillet ikke er tapt i det du blir hacket, men først når angriperne har nådd sitt objektiv. Klarer man å hindre at data ikke ligger fritt tilgjengelig og har kontroll i de interne miljøene, stiller man mye sterkere.