Insight
Nyt om cybertrusler – Hjemmearbejde øger risikoen for cyberangreb
Den største trussel mod Danmark er fortsat cyberkriminalitet. Cyberangreb mod virksomheder, organisationer og almindelige borgere bliver stadig flere og mere avancerede, og truslen er ikke blevet mindre i kølvandet på COVID-19 situationen. Tværtimod. Forsvarsministeriet vurderer stadig, at cybertruslen er i kategorien meget høj og har særligt advaret om, at cyberkriminelle vil udnytte den sårbare situation, som mange virksomheder og organisationer befinder sig i. (Kilde: Center for Cyber Sikkerhed - https://fe-ddis.dk/cfcs/Pages/cfcs.aspx)
Danmark er det mest digitaliserede land i verden, men ligger kun på 21. pladsen, når det gælder cybersikkerhed (tal fra 2018). Det forhold danner baggrund for, at større forandringer som fx it-udfordringerne ved øget hjemmearbejde, online arbejde og arbejde fra fremmede netværk som følge af COVID-19 situationen, kan forårsage alvorlige og ikke mindst, vellykkede cyberangreb. (kilder: Global Cybersecurity index 2018: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf og Copenhagen capacity 2018: https://www.copcap.com/news/denmark-is-the-most-digital-country-in-the-world)
Cybertruslen er måske ikke vokset i år 2020, men risikoen for at blive udsat for et vellykket cyberangreb må antages at være steget. Desuden lader det til, at hjemmearbejde muligvis fortsat bliver en større del af den normale arbejdsrutine, hvorfor det eksisterende trusselsbillede må formodes at fortsætte et stykke tid endnu. Det kalder på, at både virksomheder og organisationer laver en langsigtet strategi for håndtering af den øget cybertrussel.
Cyberangreb kan koste dyrt for virksomheden
Større angreb på danske virksomheder i 2020 (og de senere år) sammenholdt med informationer om omkostninger ved datasikkerhedsbrister og tab af data er det triste bevis på, at et vellykket cyberangreb kan være dyrt (i milliardklassen) og helt eller delvist lamme virksomhedens produktion og produktivitet. Hvis virksomhedens økonomiske situation ovenikøbet forværres væsentligt af COVID-19-krisen, risikerer organisationen helt at nedprioritere cybersikkerhed, både hvad angår budget og ledelsesforankring.
Der findes ikke et quickfix for at sænke cyberrisikoen. Risikoreduktionen bør baseres på et flerårigt ledelsesdrevet og målbart initiativ, bygget på bedste praksis for it-sikkerhed (fx Center for Internet Security’s 20 kritiske kontroller). med en vurdering af risikoen og trusselslandskabet for den enkelte organisation. Det skaber en målbar modstandskraft, som dog ikke er 100%. Forskellen mellem organisationens aktuelle modstandskraft og den maksimale modstandskraft er et udtryk for organisationens risikoappetit og den ledelsesaccepterede risiko – i det mindste i teorien.
Er din virksomhed ikke kommet helt i mål med en langsigtede cyberstrategi og -plan, kan du med fordel starte med vores minianalyse, som finder her. Det er gratis og giver et hurtigt fingerpeg om risiko samt inspiration til, hvordan Deloittes Cybersikkerheds-GAP-analyse kan hjælpe jeres virksomhed i mål.
Har du brug for at reducere cyberrisikoen, men ikke tid eller mulighed for at gennemføre en GAP-analyse, kan nedenstående forhåbentlig hjælpe dig med at komme i gang:
Gode råd til it-sikkerhed på hjemmekontoret (en prioriteret, men ikke udtømmende liste).
Set fra medarbejderens side:
- Beskyt din arbejdscomputer og brug den kun til arbejde.
Lad ikke andre familiemedlemmer få adgang til din arbejdscomputer og lad den ikke ligge fremme, når du forlader dit hjem. Lås altid din computer, når du ikke sidder foran den og log ud, når du væk i længere tid. - Vær særligt opmærksom på internetsøgning og spam-mails, som drejer sig om Corona/COVID-19.
Der er registreret mange falske og farlige hjemmesider med COVID-19, og du kan risikere at få spam-mails, som vil lokke dig i en phishing-fælde. - Brug kun den online mødeløsning, din virksomhed anbefaler til virksomhedsmøder.
Hvis du holder private online-møder, så brug kun en sikker, officielt godkendt løsning.
Kan du evt. aftale et password for mødet med de andre deltagere? - Sørg for, at din computer er opdateret med de seneste nye opdateringer.
(Hvis det er muligt. Nogle virksomheder har blokeret for, at du selv kan gøre dette). - Sørg for, at din anti-malware/anti-virus er opdateret (hvis det er muligt).
- Spørg dig selv, hvor sikkert dit hjemmenetværk er?
Hvis du er i tvivl eller ved, at det er usikkert, er det måske mere sikkert at bruge en SIM-kort-baseret opkobling til netværket fx via din mobiltelefon. - Brug sikre unikke passwords til alt dit arbejde og gem dem i en passwordhusker.
Sørg for, at du bruger lange passwords (jo længere, jo bedre, men helst mere end 14 tegn) og komplekse passwords (en kombination af små og store bogstaver, tal og specialtegn). Passwords må ikke indeholde ord fra ordbogen, og der skal være et unikt password for hvert system/hver hjemmeside, du logger ind på. Skiv IKKE dine passwords i klar tekst på din computer eller e-mail, men gem dem i en passwordhusker. Hvis din virksomhed ikke har givet dig en passwordhusker, kan du fx bruge en gratis udgave af LastPass. - Installer IKKE nye programmer eller tilføjelser til din browser.
(Med mindre du er 100% sikker på, at de kommer fra en officiel kilde, du kan stole på). - Brug din sunde fornuft.
Hvis du bliver lovet noget på nettet eller i en e-mail som er for godt til at være sandt, skal du bruge din sunde fornuft og undlade at klikke. Det gælder også hvis du får en e-mail der tilsyneladende er fra en bekendt af dig, men som har en anden ordlyd / budskab / opfordring end den person normalt ville bruge. Vær opmærksom på, at du også kan blive udsat for cyberkriminalitet via en fx SMS, en telefonopringning eller en direkte henvendelse. Spørg altid dig selv om du har bedt om den information eller om den uopfordret er dukket op. - Har du mistanke om et cyberangreb på dig eller din computer, så meld det STRAKS til virksomheden.
Jo hurtigere du melder et angreb, jo mindre skade kan angrebet forvolde. Tegn på et angreb kan fx være, at din computer pludselig bliver usædvanligt langsom og crasher, at du får ekstraordinært mange spam-mails, eller der kommer mærkelige beskeder frem på skærmen.
Set fra virksomhedens side:
- Sørg for at holde laptops opdaterede remote hvad angår OS, tredjepartsprogrammer (herunder browsere). Se CIS-kontrol nummer 3, 5 & 11.
Deltag i Deloittes webinar om sårbarhedshåndtering efter bedste praksis. Tilmeld dig her. - Sørg for at fjerne/tildele lokale administratorrettigheder på en struktureret måde. Se CIS-kontrol nummer 4 og 16, og overvåg tegn på misbrug.
- Sørg for at brugernes e-mail- og browseroplevelse er lige så sikker uden for som inden for virksomhedens netværk. Se CIS-kontrol nummer 7.
Vær opmærksom på andre BOYD devices end laptops, læs mere her. - Sørg for, at der bruges 2FA/MFA ved alle kritiske adgange til virksomheden og virksomhedens data – naturligvis inklusive VPN-opkobling til virksomhedens netværk. Se CIS-kontrol nummer 4 og læs mere om to-faktor-login her.
- Overvej hvor godt er organisationens cloud-tjenester beskyttet? Læs mere her.
- Tilbyd brugerne en sikker godkendt løsning til online-møder.
Og anbefal evt. en anden sikker løsning til private online-møder. Informer om faren ved spam-mails, som påstår at have optagelser af brugernes private øjeblikke foran skærmen. - Sørg for, at brugerne uddannes målrettet og målbart i cybersikkerhed via et awareness-program efter bedste praksis. Se CIS-kontrol nummer 17.
Kontakt Micha C. Bangsgaard, og få Deloittes Awareness-barometer gratis for at se, hvor godt din virksomheds awareness-program følger bedste praksis. - Sørg for, at medarbejderne ved, hvordan de skal anmelde en mistanke om et cyberangreb.
Det bør være en del af den obligatoriske awareness-træning for alle. Ved it-afdelingen, hvordan de offentlige myndigheder kan/skal kontaktes ved et cyberangreb? Det er bedre at undersøge og dokumentere dette, før virksomheden bliver udsat for et angreb. - Alle laptops bør være beviseligt krypterede. Se fx CIS-kontrol nummer 13.
Hvis en laptop tabes/stjæles, skal du jo kunne bevise, at der ikke er persondata lokalt på den, hvis den ikke er krypteret - Sørg for logning og overvågning af tegn på angreb og misbrug. Se CIS-kontrol nummer 6.
Et log-/audit-system kan opfange tidlige IOC og advare virksomheden om, at et cyberangreb er sket eller er under ”opsejling”.