Mangel på IT-Sikkerhed

Erhvervsstyrelsen udgav i september 2022 en rapport om Digital sikkerhed i danske SMV’er, nogle key points der er værd at fokusere på er.

1⃣ Manglende bevidsthed: Mange SMV’er har en “Det sker ikke for mig” holdning. De undervurderer værdien af deres data og risikoen for et cyber angreb.

2⃣ Ressourcemangel: SMV’er har ofte begrænsede ressourcer til at investere i IT-sikkerhed, hvilket gør dem mere sårbare over for cyber angreb.

3⃣ Kompleksitet: At finde den rigtige information og tage de rette skridt for at forbedre IT-sikkerhed kan være en udfordring. Faktisk mener 79% af SMV’erne, at enkle og konkrete råd om IT-sikkerhed kan øge deres fokus på digital sikkerhed.

4⃣ Rekruttering: 57% af virksomhederne finder det vanskeligt at finde folk med den rigtige viden om IT-sikkerhed.

Ifølge rapporten fra Erhvervsstyrelsen, er SMV’er opdelt i tre kategorier baseret på deres IT-sikkerhedsniveau og risikoprofil: de sårbare (44%), de tilpas sikrede (48%), og de påpasselige (8%).

Rapporten viser også, at 25% af SMV’erne ikke anvendte de to basale IT-sikkerhedsforanstaltninger i 2020: opdatering af styresystemer og backup af data. Desuden oplevede 17% af de danske SMV’er mindst en af følgende fire IT-sikkerhedshændelser i 2020: blokeret adgang til IT-services, sletning, ødelæggelse, misbrug eller videregivelse af data, IT-relateret økonomisk svindel og andre IT-sikkerhedshændelser.

Vi er en lille virksomhed, vi bliver sikkert ikke ramt

Jo, Spørgsmålet er ikke om I bliver hacket, men hvornår. hackere har mange muligheder for at ramme de små virksomheder.

• Phishing-angreb: Angreb, hvor angribere udgiver sig for at være troværdige kilder for at lokke følsom information ud af ofre.
• Ransomware: Malware, der krypterer filer og kræver løsesum for at dekryptere dem.
• Dataindbrud: Uautoriseret adgang til og tyveri af følsomme data.

Et cyber angreb kan have både finansielle, juridiske og omdømme konsekvenser

• Finansielle Tab: Direkte økonomiske tab fra tabt arbejdskræft, nedetid på systemer og udgifter til IT-konsulenter
• Omdømmeskade: Langsigtede skader på virksomhedens omdømme og kundetillid.
• Juridiske Konsekvenser: Potentielle juridiske problemer og overtrædelser af lovgivning som GDPR.

Ja, mange SMV’er har en cyberforsikring eller lignende, der er dog krav til ens forsikring som mange SMV’er ikke overholder, hvilket vil betyde at forsikringen ikke dækker hvis uheldet er ude, ens indboforsikring dækker heller ikke hvis døren står åben.

Forsikringsselskaber kan stille krav til virksomheders IT-sikkerhed som en del af deres policer. Disse krav kan omfatte:

• Sikkerhedsstandarder: Overholdelse af branchestandarder og -reguleringer.
• Risikovurdering: Gennemførelse af regelmæssige risikovurderinger og -analyser.
• Incidenthåndtering: Etablering af procedurer for håndtering og rapportering af sikkerhedshændelser.

• Forstå Kravene: Læs og forstå kravene fra forsikringsselskabets police. få intern IT eller ekstern IT-Konsulent til at vurdere om i lever op til kravene
• Integrer Sikkerhed: Sikkerhed bør være en integreret del af virksomhedens risikostyringsstrategi.

Eksempel på Cyber angreb og omkostningerne ved dette

I marts 2022 blev en anonym virksomhed med 35 ansatte ramt af et cyber angreb, da en medarbejder åbnede en vedhæftet fil i en e-mail. Dette førte til kryptering af alle filer på virksomhedens netværksdrev. Heldigvis havde virksomheden en backup, men de oplevede alligevel to dages nedetid, hvilket medførte omkostninger på 55.000 kr., samt tab af mandetimer.

• Vurder Din Sikkerhed: Foretag en omfattende vurdering af din nuværende IT-sikkerhed.
• Samarbejd med Eksperter: Overvej at arbejde med IT-sikkerhedseksperter for at styrke din sikkerhedsprofil.

Awareness Træning

Med stigende trusler fra hacking og phishing-angreb, er det vigtigt, at medarbejderne ved, hvordan man genkender og undgår disse trusler. En enkelt fejltagelse kan føre til et alvorligt brud på datasikkerheden.

Awareness træning uddanner medarbejdere i at genkende phishing mails eller lignende angreb hvor hackeren prøver at komme ind ved Social engineering.

Social engineering er at manipulere folk til at udføre handlinger eller udlevere fortrolige oplysninger. Det er en form for hacking, men i stedet for at bryde ind i computere forsøger social engineers at få adgang til dem ved at narre medarbejdere til at opgive oplysninger eller downloade malware.

Two-factor-authentication

Two-factor-authentication (2FA) er en sikkerhedsproces, hvor brugeren skal levere to separate autentificeringsfaktorer for at få adgang til en konto eller et system. Udover et almindeligt brugernavn og password kræves en ekstra verificering, såsom en engangskode sendt til en mobiltelefon. Dette ekstra lag af sikkerhed gør det langt vanskeligere for uautoriserede brugere at få adgang til følsomme oplysninger,

2FA blokerer i følge Microsoft 90% af alle angreb, det er den absolut vigtigste sikkerhedsfunktion man som virksomhed kan implementere, 2FA er som regel gratis ved alle producenter.

Backup

Uheld, hardwarefejl eller cyberangreb kan resultere i permanent tab af vigtige data. En solid backup-løsning kan gendanne disse data og minimere driftsforstyrrelser.

Kort sagt, en lille virksomhed uden en backup-strategi risikerer ikke blot at miste vigtige data, men også kundernes tillid, retlig overholdelse og muligheden for at operere effektivt. Det er en investering, der kan spare meget tid, penge og bekymringer i det lange løb.

Microsoft 365 Specifikke tiltag

Microsoft 365 Business Premium

De fleste SMV’er har Microsoft 365 business standard, Dette abonnement inkluderer grundlæggende sikkerhedsfunktioner som spam- og malware-beskyttelse i e-mails. Det dækker de essentielle behov, men mangler nogle avancerede sikkerhedsfunktioner

Opgradering til Business Premium tilbyder en mere omfattende beskyttelse med avancerede sikkerhedsværktøjer. Fordele ved Business Premium inkluderer:

• Microsoft Defender til Office 365: Microsoft Defender til Office 365 er en sikkerhedstjeneste, der giver beskyttelse mod skadelige softwareangreb og trusler i Office 365-miljøet. Tjenesten hjælper med at beskytte mod phishing-forsøg, ransomware, og andre former for malware ved at scanne e-mails, vedhæftede filer, og links i realtid.
• Microsoft defender for endpoint: Dette er en avanceret platform, der beskytter mod trusler på endpoints som computere, telefoner og tablets. Defender til Endpoint overvåger og reagerer på komplekse trusler, sårbarheder og angreb og giver dybdegående indsigt og kontrol over sikkerhedsbegivenheder

Sikkerheds licenser til Microsoft 365 Business Basic/Standard

Microsoft Defender for Office365

Microsoft defender for Endpoint

Conditional Access

Conditional Access er en sikkerhedsfunktion, der giver virksomheder mulighed for at styre og begrænse adgangen til deres netværk og ressourcer. Med betinget adgang kan organisationer opstille specifikke betingelser og krav, som en bruger eller enhed skal opfylde, før adgang gives. Der kan også være begrænsninger baseret på brugerens placering, enhedstype eller forbindelse til et bestemt netværk.

Konklusion

I en digital tidsalder er det afgørende for SMV’er at tage IT-sikkerhed alvorligt. Trods den udbredte misforståelse af “det sker ikke for os” er truslen fra cyberangreb reel og kan have alvorlige økonomiske konsekvenser. Men sikkerhed handler ikke kun om teknologi; det handler om kultur, uddannelse, og proaktivitet. Med den rette tilgang og strategi kan SMV’er beskytte sig selv og deres kunder, samtidig med at de navigerer sikkert i den digitale verden.

Kilder

https://digst.dk/media/28819/digital-sikkerhed-i-danske-smver.pdf

https://digst.dk/media/28897/digital-sikkerhed-i-danske-smver_erhvervsstyrelsen_sep2022_wa-1.pdf

Se også

Cirka 40% af danske SMV’er har et lavt sikkerhedsniveau, og hele 7% har hverken egne ansatte eller eksterne leverandører til at varetage deres IT-Sikkerhed.

• Adgang via brudt adgangskode

81% af hacking relaterede brud kommer fra stjålne eller nemme adgangskoder

• Malware og phishing i mails
• CEO-Fraud

En af de store årsager til det manglende sikkerhedsniveau er bla. det økonomiske aspekt og mangel på lokal viden om implementering af diverse sikkerhedstiltag.

Microsoft 365 har dog en masse sikkerhedsfunktioner som kan implementeres til SMV’er og større virksomheder uden det ruinere ens bankbog.

Jeg har taget 6 af de mest effektive tiltag i Microsoft 365, der kan laves endnu mere granuleret sikkerhed i Microsoft 365, men disse 6 tiltag kan implementers forholdsvis nemt og billigt.

Link til teknisk documentation og guides findes i bunden af artiklen

1. Two Factor Authentication

2FA er en næsten obligatorisk sikkerhedsfunktion i Microsoft 365,

Implementering af 2FA kan forbedre sikkerheden med 90%

Mange virksomheder undlader dog 2FA, da de tror det er for besværligt, og det vil forstyrre for meget i ens hverdag. Dette er dog ikke tilfældet. Når først ens enhed er godkendt, vil den ikke forstyrre brugeren, medmindre der sker et potentielt forsøg på brud.

Ligeledes kan man tilføje ens kontor på en whitelist, så man aldrig bliver spurgt om 2FA, så længe man er på ens arbejdsplads.

2FA er en gratis funktion i Microsoft 365 der forhøjer sikkerhed i forbindelse med login i alle Microsoft 365 systemer, Det er muligt at vælge både 2FA via app, sms eller opkald. 

Dette giver også muligheden for at fjerne krav til udløb af adgangskode. 

2. Audit log

Microsoft 365 har indbygget logning af alle aktiviteter i Microsoft 365. Dette giver administratorer og compliance ansatte overblik over aktivitet ved f.eks. brud på sikkerheden eller GDPR/Compliance sager.

Funktionen er gratis, men skal dog slås til i Microsoft 365.

3. Microsoft 365 Defender for Office365

Microsoft 365 Defender for Office365 giver mulighed for at scanne alle filer og links, man modtager på mail og i Teams/SharePoint/OneDrive

Funktionen scanner alle vedhæftninger og links inden de bliver sendt til modtagerens indbakke. Man sikrer derfor, at potentielle farlige links eller vedhæftninger bliver fanget inden mailen bliver levereret til brugeren.

4. Ingen udløb af adgangskode

Krav til udløb af adgangskoder gør tit mere skade end gavn, da mange af disse krav får brugere til at lave adgangskoder, der består af ord eller tal i rækkefølge, f.eks. sommer2019, Sommer2020, hvorfor man kan forudsige, hvad den næste adgangskode bliver. Yderligere giver krav om udløb ingen fordele, da cyberkriminelle som regel altid bruger adgangskoderne, så snart de opsnapper dem. 

62% af brugere indrømmer at de genbruger deres adgangskoder.

Kombineret med 2FA vil en mere sikker adgangskode være en fordel. På denne måde sikrer man også, at brugere ikke finder på nemme adgangskoder, eftersom de ved, at den ikke skal skiftes igen.

5. Passwordless Login

Et alternativ til 2FA kunne i Microsoft 365 være Passwordless login, som giver brugeren mulighed for at logge ind med sin telefon uden at indtaste en adgangskode.

Dette gør login i Microsoft 365 mere simpelt og sikkert.

6. Conditional Access

Microsoft 365 har en funktion, hvor man kan definere forskellige politikker for ens sikkerhedsprotokoller. Funktionen kan ligeledes anvendes til at granulere adgang.

6.1 Bloker forældede godkendelsesmetoder

Brug conditional access til at blokere gamle godkendelsesprotokoller, der ikke længere er sikre. Dette kunne eksempelvis være gamle metoder, der ikke bruger kryptering eller understøtter 2FA

Dette er især gamle enheder eller printere, men det giver også en vej ind for hackerangreb, hvis man lader disse godkendelsesprotokoller være åbne.