<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1908464336105901&amp;ev=PageView&amp;noscript=1">

Aktuelle nyheter, tips og triks fra Lillevik IT, Bridge IT Solutions og IMEMO    

Blogginnlegg

Kategorier
Bridge IT Solutions
By
februar 04, 2022

IT-sikkerhet: 8 viktige lærdommer du bør ta med deg fra tiden med påbudt hjemmekontor

Koronapandemien ble mange nordmenns første møte med utstrakt bruk av hjemmekontor. I løpet av de siste årene har norske bedrifter virkelig fått øynene opp for viktigheten av god IT-sikkerhet – men hva har du som ansatt lært?

Da koronapandemien slo innover Norge i mars 2020, gikk det ikke mange dager fra det første påbudet om hjemmekontor tro i kraft til vi begynte å se overskrifter i mediene om økt cyberkrimininalitet. 

 

Ansatte og ledere landet over måtte raskt tilpasse seg en ny hverdag utenfor det vante kontorlandskapet. Da en betydelig større andel av den hverdagslige kommunikasjonen og forretningsvirksomheten måtte foregå digitalt, så naturlig nok datakyndige svindlere en mulighet.

 

Cyberkriminalitet og IT-sikkerhet var på ingen måte nye konsepter da pandemien kom til Norge, men situasjonen som har preget livene våre de siste to årene – og som etter alle solemerker vil ha en permanent påvirkning på måten vi jobber på – har understreket viktigheten av å ha gode rutiner og retningslinjer om selskapets IT-sikkerhet. 

 

Dette er lærdommer hver enkelt ansatt bør ta med seg også etter pandemien, i en ny normal der av hjemmekontor og fjernarbeid for mange vil utgjøre en større del av arbeidshverdagen.

 

I denne artikkelen oppsummerer CTO i Bridge IT, Thomas Johansen, åtte av de viktigste lærdommene du bør ta med deg fra tiden med påbudt hjemmekontor.

 

1. Rutiner og retningslinjer er utarbeidet av en grunn

Det anslås at om lag 90% av alle dataangrep skjer som en følge av menneskelige feil og handlinger.

 

– Norske bedrifter er generelt gode til å sikre systemene sine, og mange har utarbeidet solide retningslinjer og rutiner for IT-sikkerhet. De fleste har løst det tekniske på en god måte, ofte gjennom samarbeidspartnere som oss. Når sikkerhetsbrudd skjer er det som regel ansatte med priviligerte rettigheter som er inngangsporten, sier Johansen.

 

Når du jobber hjemmefra kan det være enkelt å slurve litt med sikkerheten, særlig dersom tiltakene oppleves som tungvinte og tidkrevende. Gjentatte ganger har man opplevd situasjoner der ansatte har gjort seg sårbare ved å droppe viktige sikkerhetsrutiner som tofaktor-autentisering, kryptering, systemoppdateringer og bruk av VPN.

 

– IT-sikkerhet på hjemmekontoret handler i stor grad om å bruke sunn fornuft. Dersom selskapet har utarbeidet retningslinjer og rutiner for sikkerhet må disse følges, selv om det kan virke tungvint. Dessverre ser vi at det er en gjenganger at mange på hjemmekontor glemmer dette.

 

2. Ikke stol blindt på avsenderen i innboksen din

En annen gjenganger er at mange er for lite kritiske til eposter eller annen elektronisk kommunikasjon de mottar fra kolleger og overordnede, og ikke dobbeltsjekker at avsenderen faktisk er den de utgir seg for å være. Såkalte phishingangrep har blitt et enda mer populært verktøy for svindlere under koronapandemien.

 

– Et typisk eksempel er en HR-ansvarlig eller økonomisjef med et par-tre personer i teamet sitt, der alle sitter på hjemmekontor. En av dem får tilsendt en phishing-epost, og trykker på en link. Etter noen eposter frem og tilbake utføres en større betaling etter ordre fra “sjefen”, eller sensitive data deles med utenforstående som ikke skal ha tilgang, forteller Johansen.

 

– Vær kritisk, ikke stol blindt på navn eller epostadresser i innboksen og dobbeltsjekk alltid at informasjonen kommer fra rett avsender, oppfordrer han.

 

3. Du må skille mellom jobb og privatliv

Når du sitter på hjemmekontor kan skillet mellom jobb og privatliv bli noe utydelig – ikke bare når det kommer til arbeidstider og tilgjengelighet, men også når det gjelder IT-sikkerhet.

 

– Når du sitter hjemme og jobber er det fort gjort å gli over i mer private ting. Du er kanskje ikke like på alerten, du forvirrer deg inn i Google-jungelen og plutselig et PCen din infisert av en nettside som ikke var det den utga seg for å være, eksemplifiserer Johansen. 

 

Noe av det viktigste du kan gjøre for å opprettholde IT-sikkerheten på hjemmekontoret er å utelukkende bruke jobb-PCen – som ofte kan inneholde store mengder sensitive data – til nettopp jobb. Ikke bruk den til private ærend, og unngå å låne den bort til barn eller andre familiemedlemmer.

 

– Dette er ennå viktigere, og litt mer komplisert, når det kommer til mobile enheter. De fleste bruker i dag samme mobiltelefon både på jobb og privat, og da er det viktig å huske på at du gjerne har flere sammenkoblede enheter, som registreres på samme måte.

 

4. Usikrede nettverk er aldri en god idé

De aller fleste har i dag passordbeskyttede nettverk og WiFi-tilkoblinger hjemme, men kun de aller færreste har tilsvarende sikkerhetsfunksjoner som på kontoret. Når du også bruker hjemmet ditt som arbeidsplass, bør du blant annet tenke over navnet på nettverket ditt og passordet du bruker.

 

Mange velger relativt enkle passord på hjemmenettverk, slik at det skal være enkelt å dele med både familiemedlemmer og gjester. Du må likevel huske at nettverk som er navngitt med eksempelvis familienavn eller adresse gjør det desto enklere å identifisere hvilket nettverk som tilhører deg, og at passord som er enkle å huske også er enkle å knekke.

 

Dette er også viktig å ha i bakhodet dersom du kobler deg på nettverkene til venner og kjente fra en datamaskin eller mobil enhet som inneholder sensitiv informasjon.

 

Den største risikoen tar du dersom du kobler deg på åpne og usikrede nettverk, for eksempel når du er på jobbreise og ønsker å være effektiv mens du venter på en flyplass eller togstasjon.

 

– I noen av de mer spesielle casene vi har sett, har vi vært borti personer som har koblet seg på det de tror er flyplassens nettverk, og så har det sittet en person litt lenger borte i gangen som har rutet all aktivitet gjennom sin PC, forteller Johansen.

 

– Derfor kan det lønne seg å ha en policy om at du kun bruker 4G når du er på offentlige steder, i utlandet, eller på reise generelt.

 

5. Favorittpassordet ditt er en åpen invitasjon

En av de mest vanlige fellene du kan gå i er å bruke det samme passordet om igjen og om igjen, på en rekke ulike plattformer og tjenester – og særlig dersom du bruker samme passord på jobb og privat (noe du forsåvidt aldri bør gjøre). 

 

Et passord som brukes på alle dine innlogginger er som en hovednøkkel som kan åpne alle låser, og favorittpassordet ditt er en åpen invitasjon for cyberkriminelle til å skaffe seg tilgang til all din informasjon.

Bruker du derimot ulike passord for hvert sted du må logge deg inn står du langt bedre rustet til å begrense skaden som gjøres, dersom uønskede personer får tilgang til et av passordene dine.

 

Dersom du lagrer passordene dine i nettleseren din er det viktig at du faktisk responderer på varsler om sikkerhetsbrudd.

 

– Sjansen er stor for at et passord du brukte på en WordPress-side i 2017 fremdeles er i bruk andre steder. Hvis noen får tilgang til passordet gjennom denne siden, har de også en inngang til andre systemer, sier Johansen

 

Han anbefaler å bruke passordløsninger som LastPass eller lignende for å holde styr på alle passordene dine på en enkel og trygg måte.

 

– Det å bruke én av disse løsningene er hundre ganger bedre enn å bruke passord overalt, og de fleste av løsningene jeg har erfaring med er veldig gode på å informere raskt dersom det skulle oppstå hendelser med tanke på sikkerheten.

 

6. Du bør alltid ha en backup

De fleste av oss har på et eller annet tidspunkt opplevd å miste viktig informasjon, uten å ha noen plausibel måte å få disse dataene igjen på. Det er likevel noe helt annet å slette bildene fra ferien i Barcelona i 2011 ved en feiltakelse, enn det er å miste sensitive personopplysninger eller viktige kundedata.

 

For å minimere risikoen for å miste verdifulle data – enten som følge av brukertabber eller dataangrep – er det viktig å alltid ha en backup-løsning for lagring av informasjon, og ikke minst at du husker å ta backup av filene dine. Dersom du lagrer store mengder informasjon på ett sted må du ha god oversikt over hvor data lagres, og være bevisst på hvilke tjenester som tilbyr backup.

 

– Én ting mange ikke tenker på er faren for å miste data når du bruker skytjenester som for eksempel Office 365. Fordi dette lagres i skyen antar veldig mange at de er sikret tilgang til dataene, og at det blir gjort en backup av alt som lagres. Det er derimot ingen selvfølge, advarer Johansen.

 

– I Bridge IT er en av tilleggstjenestene vi tilbyr nettopp backup av skytjenester til vårt datasenter i Norge. Skytjenester kan også være sårbare for sikkerhetsbrudd, og hvis noe skulle skje kan vi hente ut den lagrede informasjonen.

 

7. IT-sikkerhet handler om å tilpasse deg din situasjon

Grunnleggende IT-sikkerhet bør være et absolutt minimumskrav fra og for enhver ansatt i ethvert norsk foretak, enten du sitter i vante omgivelser i et kontorlokale eller i en provisorisk kontorløsning i boligen din.

 

Jo viktigere rollen din er, jo større selskapet er og jo mer sensitiv informasjonen som er tilgjengelig på enhetene dine er, jo større er sjansen for at du kan bli utsatt for målrettede dataangrep. Da må også sikkerheten tilpasses deretter.

 

– Vi har noen eksempler på målrettede angrep der cyberkriminelle har skaffet seg passord ved å gjenskape lyden av tasteslag på tastaturet, eller ved å lese av gjenskinnet fra skjermen på en hvit vegg i bakgrunnen. Men da snakker vi selvsagt om veldig spesielle situasjoner, forteller Johansen.

 

For “mannen i gata” er det beste rådet like enkelt som det er viktig: Hvis du behandler personopplysninger eller annen sensitiv informasjon skal du gjøre de nødvendige tiltakene for å sørge for at ingen andre ser det.

 

– Det handler om å tilpasse sikkerhetsnivået etter situasjonen. Det kan ikke være for tungt, for da svikter folk, men det må samtidig være komplisert nok til at det er trygt. Det beste er å innføre trygge og gode rutiner, og å følge dem uansett om man jobber fra kontoret eller hjemme.

 

8. Ingen er for små til å bli angrepet

Sist, men ikke minst, må du være bevisst på at dataangrep er en reell risiko for deg og selskapet du jobber – uavhengig av om du jobber for et internasjonalt konsern eller en liten start-up – og at denne risikoen øker når du jobber hjemmefra eller i andre omgivelser utenfor kontorets vegger.

 

– For mange kan det være vanskelig å akseptere at de har en risiko. De har vanskelig for å se at dette er noe som omfatter dem, fordi de ikke anser dem selv å være store nok til å være et attraktivt mål, men selv en liten bedrift med fire-fem ansatte kan bli skadelidende, understreker Johansen.

 

Alvorlige dataangrep kan ha katastrofale økonomiske og forretningsmessige følger for selskapet du jobber for, og heller ikke du som privatperson står på trygg grunn.

 

– Dersom det er utarbeidet rutiner og retningslinjer for IT-selskapet, og et sikkerhetsbrudd skjer fordi du ikke følger dem, kan dette helt klart påvirke arbeidsforholdet ditt. Du kan stå i fare for å miste jobben, og ved alvorlige brudd på loven om behandling av sensitive personopplysninger kan du i verste fall risikere å bli straffeforfulgt.

 

Husk også at den potensielle skaden ikke nødvendigvis er begrenset til kun ditt selskap. Mange cyberkriminelle benytter seg av sikkerhetshull hos mindre aktører for å finne en inngang, og navigere seg gjennom nettverkene for å angripe leverandører, kunder og samarbeidspartnere.

 

Kontakt Bridge IT Solutions

 

 

New call-to-action

 

Besøk våre nettsider her:
 
   
New call-to-action
 
New call-to-action
 
New call-to-action
 
 

Abonner på bloggen

Serverfri
New call-to-action
Sikkerhet

Legg igjen en kommentar