Hackerne har frit spil

Hvor længe kan du leve med, at dine services er nede?

Et DDoS angreb (Distributed Denial of Service) kan lægge alle dine services ned i kortere eller længere tid. En hacker kan overbelaste dine systemer i sådan en grad, at du hverken kan sende mails ud eller din hjemmeside går i sort. Sådan et angreb kan koste dig mange kunder, omsætning og et dårligt omdømme. Et DDoS angreb kan vare fra få timer til flere dage og er lette at udføre for selv en uerfaren hacker. Det kræver blot adgang til Google samt et kreditkort. Formålet med et DDoS angreb kan være at skade virksomhedens omdømme eller kræve betaling for at stoppe angrebet.

Hvem kan blive udsat for et DDoS angreb?

Alle! Typisk er det dog små eller mellemstore virksomheder, der ofte bruger én ip-adresse til alle funktioner og tjenester. Det gør det nemt for hackeren at angribe hele virksomheden på én gang.

Hvad kan man gøre for at undgå et DDoS angreb?

Man kan aldrig sikre sig helt mod angreb, men man kan gøre det rigtig svært for hackere ved nogle få enkle tiltag. Blandt andet ved at opdele sit netværk i flere dele, så hackere ”kun” rammer en del af virksomheden ved et angreb.  Desuden er det muligt at købe en ekstra DDoS beskyttelse, som sørger for at beskytte din server endnu bedre.

Er dine filer noget værd?

Forestil dig at dine private familiebilleder eller dine banebrydende forskningsresultater bliver låst på din computer. Du kan ikke tilgå dine filer, og ordene i dine dokumenter er byttet rundt og er ulæselige. Din data er blevet taget som gidsel af hackere - de er blevet krypteret.  Du kan ikke gøre noget, medmindre du betaler for at få den krypteringsnøgle, der låser dine data op. Selv hvis du betaler, kan du ikke være sikker på, at hackerne låser dine filer op.

Hvem rammer det?

Både virksomheder og privatpersoner er udsatte for såkaldte cryptolockere. Typisk sker det ved, at du kommer til at klikke på et uskyldigt udseende link eller downloader noget fra en kompromitteret side. Dine filer bliver krypteret i baggrunden, uden du opdager det, og så er skaden sket.

Hvad kan man gøre for at undgå kryptering?

Der er heldigvis flere ting, du kan gøre for at undgå, at dine filer bliver krypteret. Sørg først og fremmest for altid at opdatere dit antivirus program og din software. Når computeren beder dig om at opdatere og genstarte, er det altså en god idé at makke ret. Brug pausen på at hente en kop kaffe eller kaste hjemmelavede papirsflyvere efter dine kollegaer.

Husk nu den backup

Du ved det godt, du har jo hørt det så mange gange før, men en backup af dine data er en god idé. Faktisk er det den eneste sikre måde at beskytte dig mod kryptering, hvis du vel og mærke holder den ekstern. Har du en ekstern backup, kan du fjerne virussen på din computer og gendanne filerne fra din sikkerhedskopi.

Er du den eneste der kender dit password?

123456, qwerty123, !partnersnavn1… Du ved jo godt, at dine passwords skal have et højt lixtal, bestå af symboler kun kendt af Illuminati og en kombination af tal, der forvirrer selv Rain man. Men så kan du jo ikke selv huske det, og så er det alligevel nemmere med din partners navn og så lige et 1-tal i enden. 

Hvorfor er det farligt?

Det tager ingen tid for hackere at gætte sådanne passwords, faktisk tager det kun få sekunder. Hvis du ikke har lyst til at nogle snager i dine mails eller forretningshemmeligheder, så er det altså en god idé at beskytte sig med et stærkt password.

Det kræver en god strategi

Et stærkt password indeholder bogstaver, tal og tegn og gerne et mix af store og små bogstaver. Så er det næsten umuligt for hackere at bryde. Genbrug ikke dit password flere steder, men hav forskellige til de steder, hvor du logger ind.

Inden du helt mister lysten til at være digital, så bare rolig. Der findes forskellige passwordmanagers, der husker alle dine passwords, så skal du nemlig kun huske ét password til manageren. Smart ik’?

Aktivér desuden 2-faktor, så du også skal logge ind med en kode, der bliver sendt til dig på sms eller endnu bedre en 2-faktor application. Skulle dit password ende i de forkerte hænder, er det ikke meget værd uden din mobiltelefon.

Aflytter din iPhone-lader dig?

Der er mange indgange til din computer, og en hacker behøver nødvendigvis ikke sidde med hættetrøjen oppe over hovedet i en mørk kælder for at få adgang til alle dine værdifulde data. Et uægte ladekabel til en iPhone eller en særlig USB kan være nok.

Har du det fulde overblik over udstyret på kontoret?

For ganske få penge er det muligt at købe overvågningsudstyr, som kan aflytte eller infiltrere hele kontoret. Selvom virksomheden har sikret sig bedst muligt mod it-kriminelle, er der altså stadig risiko for, at hackere har adgang til kontoret via ladekabler eller andet computertilbehør som f.eks. trådløse mus.

Mere tricky bliver det derimod, når man får leveret et stykke software eller hardware fra en underleverandør, som har været udsat for et såkaldt supply chain attack. Dvs. at der er installeret bagdøre i enten soft- eller hardwaren, inden det kommer ud til virksomheden.

Hvordan sikrer jeg mig imod supply chain attack?

Det åbenlyse svar er, at du naturligvis kun køber computerudstyr ved autoriserede forhandlere og downloader software fra en tilsvarende producents hjemmeside. Derudover skal man have styr på sine underleverandører og sikre sig, at de også har styr på sikkerheden.

It-sikkerhed begynder på parkeringspladsen

Al right, nu hvor du naturligvis har skiftet dine passwords, installeret samtlige opdateringer, brændt dit Ebay ladekabel og lavet en backup, så er du i sikkerhed ik’?

Ingen kan nu få fat i dine forretningshemmeligheder eller dit ”før-billede” med muffin-top og lidt for tykke lår taget 2. januar, da du stadig troede på, at dit nytårsforsæt rent faktisk ville lykkes.

Jo desværre. IT-sikkerhed handler om opmærksomhed og begynder allerede på parkeringspladsen. Når du høfligt lukker vinduespudseren ind eller giver din plads til den nye fyr fra IT, som lige skal fixe noget på din computer. Fedt tænker du, så kan jeg endelig få lavet den papirsflyver og du smutter derfor ud i printeren for at hente papir.  

Den største trussel kommer indefra

Når virksomheden pludselig er lagt ned af et hackerangreb, og ingen forstår hvorfor, så er det ofte fordi, der er mangler i vores viden om digital adfærd, fortæller Keld Norman fra Dubex.

- Digitalisering skaber nye vækstmuligheder, men øger samtidig virksomhedens sårbarhed for it-angreb. Den eksplosive vækst i ny malware, ransomware, phishing-mails osv. stiller store krav til dine interne sikkerhedsforanstaltninger og medarbejdernes viden omkring digital adfærd. Den største trussel kommer nemlig indefra, hvor medarbejdere utilsigtet kommer til at kompromittere sikkerheden.

Men inden du udstyrer dine medarbejdere med tavle og kridt og låser dem inde i en lydtæt boks, så er det værd at overveje mulighederne for at gennemgå og styrke it-sikkerheden i dit firma.

Dubex tilbyder skræddersyede løsninger, som sikkerhedsanalyser, sårbarhedsscanninger og awareness training til din virksomhed. Du kan sågar bestille et fingeret hacker angreb eller fysisk besøg også kendt som et redteam angreb.

Mulighederne er mange, når det handler om at få det reelle billede af styrker og svagheder. Er du interesseret i at høre mere om it-sikkerhed og træning af medarbejdere, kan Keld Norman kontaktes på +45 5368 9623 eller kno@dubex.dk.