5 enkle tips til bedre datasikkerhet i bedriften din
Norske bedrifter opplever stadig flere og mer alvorlige datainnbrudd. Vi kan aldri bli 100 prosent sikre, men med noen små tiltak kan du sørge for at svindlerne får en mye vanskeligere dag på jobben
En som vet mye om dette er driftsansvarlig og sikkerhetsekspert Anders Botnevik i Uni Micro. Han mener det er mange av oss som slurver med datasikkerheten, både hjemme og på jobb.
Anders Botnevik, Driftsansvarlig og sikkerhetsekspert i Uni Micro
– Ja, dessverre er det slik. Dette handler kanskje om mangel på kunnskap, og at folk er litt “redde” for datasikkerhet – de synes det kan bli litt plagsomt og mye arbeid. Men det stemmer ikke, det handler om gode rutiner, repetisjon og å være våken. Vi lever i en digital alder, og det er stadig noe nytt å forholde seg til, så datasikkerhet er et kontinuerlig arbeid som aldri tar slutt.
En lang rekke godt kjente virksomheter har opplevd sikkerhetsmessig stjernesmell både en og flere ganger. Men hvordan starter et datainnbrudd?
– Det finnes mange typer dataangrep fra svindlere, og en av dem er kryptovirusangrep – altså at du trykker på feil lenke, og så blir alle dataene dine kryptert. Under angrep kan du tape eller miste tilgang til selskapskritiske data, eller personinfo kan lekkes. I “beste” fall risikerer du altså at dataene dine kommer i feil hender. I verste fall kan det ende med at du går konkurs.
– Men alt dette håper du at de som leser denne artikkelen unngår?
– Ja, du vil i hvert fall vil være bedre skikket til å beskytte deg. Klarer du å styrke det svakeste leddet i bedriften din, er du allerede mange prosent sikrere.
De beste sikkerhetstipsene fra Anders
1) Bruk tofaktorautentisering
Når noen har blitt angrepet er ofte det første de sier “Jeg skulle hatt tofaktor på denne kontoen, da hadde dette sannsynligvis vært unngått.” Men hva er tofaktorautentisering?
Jo, i tillegg til passord og brukernavn betyr det at det må være en faktor til for at du skal få logget deg på. Tofaktorautentisering er mulig å få til på mange tjenester, og dette kan være biometri som øyne og fingeravtrykk. Det er også vanlig med BankID, pushvarsel eller SMS.
Avhengig av løsningen er det altså forskjellige måter å løse tofaktorautentisering på, og stort sett holder det å logge seg på og sjekke innstillingene for hvordan du setter det i gang. Det er med andre ord svært enkelt, men det er et lite men: Gradene av hvor sterk autentiseringen er varierer, men tofaktor er uansett bedre enn ikke tofaktor.
2) Lag trygge og sikre passord
Det sies at lengden ikke teller, men dette stemmer ikke når det gjelder passord – de bør nemlig være lange. Et annet tips er å bruke spesialtegn eller æ, ø og å. Bare vær oppmerksom på at noen tjenester ikke godtar norske bokstaver. På Nettvett.no kan du få tips om hvordan du lager sterke passord.
Du bør også alltid unngå å bruke det samme passordet på ulike steder, og i hvert fall ikke på jobb- og privatkontoer. Dette kan høres vanskelig ut, men kommer du først i gang med gode rutiner på dette er det enkelt og effektivt. Et tips her er håndteringsverktøy for passord, som for eksempel Lastpass, Dashlane eller 1password. Disse gjør at du kan ha forskjellige passord på alle tjenester, samtidig som du ikke behøver å huske dem.
I tillegg bør du generelt styre unna de mest brukte passordene, da de ofte blir brukt først ved forsøk på å komme inn på kontoen din. Det viser seg også at det er visse forskjeller på kjønn når det velges passord, så her bør kanskje gutta tenke seg spesielt godt om – det går nemlig mye i bilmerker og fotballklubber.
3) Se opp for phishing
Dette er et uttrykk du sikkert har hørt mange ganger, men hva er det? Phishing er enkelt og greit av noen prøver å “fiske” brukernavnet og passordet ditt, blant annet via e-post og SMS.
Kjennetegnene på phishing er gjerne:
Gebrokkent norsk eller engelsk.
En avsender du ikke forventer å få en melding fra – som for eksempel at det har kommet en pakke i posten du ikke har bestilt.
Phisherne begynner å bli flinke, så det gjelder å følge med slik at du avslører dem.
Sjekk avsenderadressen. Hold musepilen over og sjekk – står det @dnbxxservicesxx.com og ikke @dnb.no, er det definitivt ikke banken din.
Banker, forsikringsselskaper og andre virksomheter ber aldri om passordet ditt.
Nå har de fleste BankID på kodebrikke eller telefonen, og denne fungerer faktisk som en tofaktorautentisering. Det kan hjelpe deg å stoppe at noen kommer inn i nettbanken din, selv om du har gitt fra deg passordet. Hvis det likevel skjer er det bare å bytte, og så er du good to go.
Du kan sjekke om det ligger lekkede passord på nettet knyttet til mailkontoen din. Det gjør du ved å søke i kilder som for eksempel Have I Been Pwned.
4) Unngå delte kontoer
Dette er vanlig i mange bedrifter, og byr fort på problemer av mange årsaker. For det første må du bytte passord hver gang noen slutter, og det er det ikke alle som har rutiner for. Det betyr at tidligere ansatte tar med seg tilgang videre. Stort sett går jo dette greit, men det er slett ikke alltid…
På slike kontoer er det dessuten som regel svake passord for at alle skal huske dem, og da er ulempen at den blir enklere å hacke. I tillegg er det lett å dele denne typen konto videre. Det gjør det vanskelig å ha kontroll på hvem som har tilgang, og det er nesten umulig å finne ut hvem som har gjort hva på hvilket tidspunkt. Og mens vi snakker om tilgang – når en konto er delt får man gjerne høyere tilgangsnivå enn man egentlig trenger.
Som om ikke det er nok, er det vanskelig å bruke tofaktor på en delt konto. Om du gjør det og får beskjed om å oppgi et telefonnummer som ikke er ditt, må du jo spørre en kollega (eller en som har sluttet…!) hver gang du skal logge deg inn.
Så konklusjonen er altså: Hver person, sin konto. Da sikrer du at alle får riktige tilganger.
5) Ha fokus på datasikkerhet
Her handler det om gode rutiner, repetisjon og deling. Repetisjon for å minne kollegene dine på hvor viktig datasikkerhet er, og deling av egne og andre bedrifters erfaringer dersom noe har gått galt. Et eksempel på dette er å være åpne og fortelle om datainnbrudd – rett og slett forklare hva som har skjedd, hvilke skader det gjorde, hva som ble tiltakene i etterkant og hvordan dere kom ut av det. Da kan både dere og andre lære av feilene som ble gjort.
Hvis du opplever noe du ikke forventer eller noe unormalt, må du gi beskjed til den eller de som har ansvaret for sikkerheten i bedriften din slik at det kan sjekkes ut
Noen bedrifter har repetisjon i form av å sende ut “tvilsomme” mailer til sine ansatte, for å se hvem som biter på. Dette kan være en god idé for læringens skyld, men du kan også risikere at kollegene dine føler seg lurt, og det kan skape dårlig stemning.
Og det kanskje aller viktigste: Snakk med sikkerhetssjefen på jobben din om disse fem punktene – og annet du måtte lure på. Det er ingen spørsmål som er for dumme når det gjelder datasikkerhet for deg og bedriften din.
Vi blir flinkere på datasikkerhet, men…
Når du har kommet et stykke på vei på disse fem punktene, vil de datakriminelle ifølge Anders få en litt tyngre hverdag.
– Start med disse, og ta andre ting etter hvert. Det kan være smart å ikke gå ut for bredt og sikte for høyt, slik at det blir uoverkommelig for folk flest. Så snart du og bedriften din blir noen prosent flinkere, er dere på god vei.
Så er jo spørsmålet sånn på tampen – blir vi generelt sett flinkere eller dårligere på datasikkerhet?
– Vi blir flinkere, men det blir jo svindlerne også. Så det nytter ikke å sove i timen, men følge med og fortsette det gode arbeidet. Vi skal heller ikke svartmale, for det er økende fokus på datasikkerhet og det er bra.
– Da kan vi kanskje si at den perfekte arbeidsdagen for deg er når du ikke har noe å gjøre?
– Ja, for da har jeg gjort en god jobb!