Spørgsmål og svar foranlediget af trusselsniveauet

Cybertruslen mod Danmark er høj og det aktuelle trusselsniveau anses af mange som den nye standard.

Vi har, foranlediget af trusselsniveauet og en nyligt afholdt sikkerhedsorientering, modtaget forskellige spørgsmål, der tager afsæt i de bekymringer, som flere virksomheder har.

Til at bringe lys over situationen har vi valgt at samle flere af spørgsmålene og ikke mindst svarene.  Find dem nedenfor. Der er i alt 12 spørgsmål. 

- Besvarelserne er givet af henholdsvis Martin Kofoed, CEO i Improsec, samt Torben Hagelskjær, Senior Consultant Security ved Mentor IT.   

Obs. Har du spørgsmål eller bekymringer, du ikke kan finde svar på her, er du altid velkommen til at kontakte os.

1. Hvor mange tegn anbefaler I, at bruger og admin passwords bør være på?

Svar: Overordnet vil en anbefaling være minimum 12 karakterer, bestående af både bogstaver, tal og tegn. Øg gerne kompleksisten og kom over 16 karakterer, da det øger sværhedsgraden.

Til admin passwords anbefales plus 20 karakterer, igen bestående af både bogstaver, tal og tegn. Dette er for at eliminere risikoen for, at passwordet let kan afkodes. Et længere password vil kræve flere forsøg at knække, og her kan man alliere sig, så hvis der kommer for mange forespørgsler på et password samtidigt, så lukkes adgangen.  

Husk endvidere altid at benytte forskellige passwords, så forskellige admin adgange ikke kræver kendskab til kun ét password, men flere. Her kan en password manager eventuelt være interessant.

2. Vi har en bogholderimail, hvorfra fakturaer automatisk overføres til Navision. Er der en risiko for virus ved denne type databehandling?

Svar: De angreb, der kommer via e-mails, kræver typisk en eller anden form for handling af en bruger. En person, som aktivt tolker mailen og handler herpå. Da det ikke er tilfældet med automatiske systemer som f.eks. Document Capture til Navision, er risikoen herfor meget lav, men ingen regel uden undtagelse.

Anbefalingen omkring særligt fællesmails, såsom info og faktura-mails er at være påpasselig med, hvem der har adgang. Ofte ses det, at disse mailkonti ikke har samme sikkerhed indført, som hos brugerne. Det kan for eksempel være implementering af MFA eller brug af software, der benytter ældre og usikre protokoller. 

Svagheder, som gør kontoerne sårbare over for eksempelvis “Man in the middle” angreb, hvor en angriber har fuld adgang til en bogholderi mailen, og herved kan både sende og modtage fakturaer.

Ulempen herved er, at udgående faktura kan udskiftes med falske versioner, som ligner de oprindelige, men måske har nyt betalings ID. Herved kan hackeren få omdirigeret betalingsflow og selv indkassere betalingerne.

Selvom disse angreb opdages efter en kortere periode, når der ikke kommer penge i kassen, så kan det sagtens blive til store beløb. Anbefalingen er derfor at være (ekstra) opmærksom på sikkerheden omkring disse typer af mailkonti. 

3. Hvad skal man gøre, hvis man mistænker et incident?

Svar: Adviser din IT-ansvarlige eller IT-leverandør omgående. Et incident skal hurtigst muligt identificeres, isoleres og håndteres.

Generelt er det vigtigt, at man i virksomheden har en politik, der definerer, hvordan medarbejderne skal agere på internettet og i virksomhedens systemer, samt hvilken proces der bør sættes i gang, hvis medarbejderne oplever noget uhensigtsmæssigt eller selv kommer til at gøre noget, der kan have negativ konsekvens. 

4. Skal passwords være lange eller skiftes ofte? Anbefalingerne er forskellige.

Svar: Udgangspunktet er: Jo længere, dets bedre. Microsoft og NIS anbefaler som eksempel lange og mere komplekse passwords kombineret med tofaktorgodkendelse, fremfor hyppigt skiftende password. Dette af den grund, at hyppige skift ofte afføder en usund tilgang til kvaliteten af ens password, fordi man ikke kan huske dem, når de skiftes så ofte og derfor bare laver lette passwords eller benytter samme termologi for ens password. 

Overordnet vil en anbefaling være: Minimum 12 karakterer, bestående af måde bogstaver, tal og tegn. Øg gerne kompleksisten og kom over 16 karakterer, da det øger sværhedsgraden.

Et eksempel er at benytte sætninger, man kan huske – med brug af tegn og tal: JegSerA1tidG0dtUD!

5. Hvad gør man, hvis man har gammelt software på en gammel server, som man ikke kan slippe af med?

Svar: Hvis man ikke kan komme videre herfra, skal det isoleres og placeres i sit eget netværk/VLAN. 

Lav en analyse af, hvem der tilgår/skal kunne tilgå disse systemer (overordnet gennemgang af netværkstrafik samt prioritering af indgange), samt general logning og overvågning i disse systemer. 

Er det nødvendigt at prioritere, hvor man først og fremmest har overvågning, så vil anbefalingen også være, at man prioriterer sine legacy systemer.

6. Hvad gør man, hvis en kollega har trykket på en phishing mail, men endnu ikke har udfyldt noget?

Svar: Klik på et phishinglink kan føre til to ting: Hackeren bliver opmærksom på, at der er en sandsynlighed for, at brugeren kan lokkes til en handling og vedkommende vil derfor forsøge en mere målrettet indsats. (Klik på linket tydeliggør altså en mulig sårbarhed.) Der kan også ske det, hvis brugeren er rigtig uheldig, at hackeren begynder at overvåge brugerens enhed og herved får indsigt i information, der eventuelt kan bruges til yderligere indtrængen. 

Sker det, at en bruger klikker på et inficeret link, er det altid en god idé at informere sin IT-ansvarlige eller IT-leverandør. Vedkommende vil typisk kunne hjælpe med at afklare omfanget og eventuelt scanne enheden. 

7. Hvis medarbejderne ikke har en arbejdstelefon, hvilke muligheder findes der så i forhold til faktorgodkendelse?

Svar: Der findes forskellige former for key generators – en dongle, som eksempel, der giver en kode, der kan bruges. Typisk vil der til denne løsning også skulle købes noget software, som skal integreres, men det er individuelt for den enkle løsning. 

8. Kan I anbefale en password manager og eventuel en generator til de udfordringer, der kan være med passwords?

Svar: De fleste moderne internetbrowsere, som f.eks. Microsoft Edge, Apple Safari og Google Chrome, kommer alle med personlig password manager. Disse løsninger er primært målrettet private og/eller personlige brugere. Hvis man ønsker sikker kontrol med de ansattes passwords og adgange til websites, via central styring, kan man kigge i retning af særskilt password manager løsning. Her er der flere muligheder, og det er helt op til den enkelte, hvad der er den rette løsning. 

Mentor IT tilbyder selv MIT Password Manager. 

9. Vil kvante computere være en snarlig trussel mod cybersikkerheden?

Svar: Den største trussel, for danske SMV-virksomheder, er i høj grad et alt for lavt sikkerhedsniveau. Dette vil udvikling indenfor AI eller kraftigere kvante computere ikke ændre på. Dog vil risikoen sandsynligvis kun vokse i takt med, at teknologien bliver smartere og herved kræver bedre sikkerhedsløsninger. 

10. Jeg er IT-chef og bevidst om, at cybersecurity er et organisatorisk problem og ikke kun et teknisk. Hvad kan jeg gøre for at øge opbakningen fra den øvrige ledelse hertil?

Svar: En mulighed, der er ret effektiv, er at køre øvelser med ledelsen, hvor man tester forskellige scenarier, som ledelsen kan risikere at stå i. Det kan være nedlukning af kritiske systemer eller håndtering af presse, som eksempel. At tale ud fra relevante angrebsscenarier rejser typisk en sund opmærksomhed og interesse for at kigge mere ind i disse områder.  Øvelserne behøver ikke at være komplekse, men det at bringe scenarierne i spil, gør dem mere håndgribelige at forholde sig til. 

11. Hvad skal jeg være opmærksom på, hvis min virksomhed ønsker at tegne en cyberforsikring?

Svar: Kravene til cyberforsikringer ændrer sig løbende, Vær derfor opmærksom på, hvilke krav der stilles og få eventuelt teknisk sparring til at gennemgå de krav, der stilles, så du er sikker på, at du rent faktisk lever op til dem.  

En cyberforsikring er typisk dyr at tegne, fordi risikoen for aktivering heraf er høj. Af samme grund er det relevant at vurdere, om omkostningerne er forsikringen værd. Dette kan gøres ved at udarbejde en risikovurdering. For de fleste vil en cyberforsikring dog være omkostningen værd. 

Du kan læse mere om cyberforsikringer her.

12. Bør man betale løsepenge, hvis man udsættes for et angreb?

Svar: Umiddelbart nej – afvent og arbejd hen imod andre alternativer. Når det så er sagt, så kan der være situationer, hvor der ikke er andre udveje end at gå i dialog med de kriminelle.  

Improsec samarbejder med specialister i forhandling, som typisk bringes i spil i de tilfælde, hvor løsesum er eneste udvej. 

Er man nødsaget til at forhandle med kriminelle, er den klare anbefaling, at man benytter professionelle forhandlere fremfor selv at gå i dialog, da man kan risikere, at man ikke får det, man troede, man betalte for. 

Generelt er det en vigtig dialog at tage i sin organisation i fredstid: Hvordan stiller vi os i forhold til løsepenge? 

Har du flere spørgsmål?

Har du spørgsmål eller bekymringer, du ikke kan finde svar på her, er du altid velkommen til at kontakte os på 70 122 123.