Medarbejderne er det svage led
Engang var en gemen tyvs bedste værktøjer en skruetrækker og et brækjern. I dag kan det lige så vel være en internetforbindelse og viden om computere.
Mængden af cyberkriminalitet vokser nemlig støt. Center for Cybersikkerhed – en del af Forsvarets Efterretningstjeneste – har siden 2012 holdt øje med cyberangreb og cyberspionage mod danske virksomheder. Og konklusionen i centerets årlige opgørelse, der udkom for nylig, er utvetydig:
“Truslen om cyberspionage eller cybercrime har altid været høj, men nu er den meget høj,” siger Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed.
En af de ting, som de it-kriminelle især har øvet sig på, er at udnytte ansatte i virksomheder for at få adgang til vitale it-systemer.
De it-kriminelle er nemlig snu og har luret, at medarbejdernes ofte benytter lidt for svage passwords. De har også bemærket, medarbejderne sommetider kan snøres, så de sænker paraderne. Det er med andre ord blevet forholdsvist let for dem at trænge ind bag virksomhedernes mure.
For den it-kriminelle er det enkelt: Kan de bare lokke én medarbejder til at klikke på et inficeret link eller en vedhæftet fil med såkaldt malware, kan det bane vejen for et cyberangreb eller cyberspionage.
Mennesket er det svage led
Hvor it-sikkerhed for 10 år siden typisk var noget, der blev håndteret i den anden ende af kablerne via firewalls og andet halv-intelligent udstyr, er det i dag nødvendigt at højne medarbejdernes bevidsthed om truslen.
Og der er flere grunde til, at kriminelle retter deres blik mod virksomheders it-udstyr.
For det første arbejder mange virksomheder i dag med digitale produkter, der kommunikerer via internettet. Det betyder, at de er sårbare for angreb.
For det andet betyder it meget mere i virksomhederne.
Med såkaldte ransomware-angreb udnytter it-kriminelle sårbarheder og ‘kidnapper’ virksomheders it-systemer, hvorefter de kræver en løsesum for at åbne for systemerne igen.
At kræve en løsesum er faktisk et af de mest udbredte angreb.
I 2020 var producenten af ure og navigationsudstyr Garmin eksempelvis ramt. Angrebet gjorde det umuligt for brugerne at uploade deres træningsindsats til producentens motions-univers, der giver motionister mulighed for at følge træningsplaner og analysere deres indsats.
Herhjemme blev også den danske nyhedstjeneste Ritzau i fjor sat ud af spillet i mange dage.
Crime og spionage
Ifølge Center for Cybersikkerhed ses cyberspionage ofte foretaget fra lande som Kina og Rusland - mens cybercrime ofte har sin oprindelse i lande fra det tidligere Østeuropa, samt - i stigende grad både fra Afrika og Sydamerika.
I offentligheden hører vi om enkelte profilerede sager, men flertallet hører vi aldrig om. Mange virksomheder ønsker af gode grunde ikke at dele deres beretninger om cyberangreb, når de bliver ramt. Mange mener, det udstiller deres sårbarhed.
I dag kan kampen mod de it-kriminelle imidlertid kun vindes, hvis alle konstant er på mærkerne, lyder det fra Center for Cybersikkerhed.
Selv små forandringer, der kan skabe slinger i valsen og sænke medarbejdernes parader, udnyttes, fortæller Thomas Lund-Sørensen. Det gælder eksempelvis hjemsendelsen af medarbejdere i forbindelse med corona-nedlukningerne.
“Der var ikke så mange virksomheder, der var forberedt på at have så mange medarbejdere siddende uden for murene og derfor uden det normale sikkerhedsnet, der omgiver arbejdspladsen. Det gav i sig selv en høj risiko,” fortæller Thomas Lund-Sørensen.
Chef for Center for Cybersikkerhed, Thomas Lund Sørensen.
Center for Cybersikkerhed
- Etableret i 2012, som en enhed under Forsvarets Efterretningstjeneste.
- Centerets formål er at koordinere, overvåge og oplyse om trusler mod den danske stat.
- I 2012 havde centeret 25 ansatte. I dag er antallet af ansatte tidoblet.
Sådan løfter du din it-sikkerhed
- Vær skeptisk og dyrk mistilliden. Vi er for tillidsfulde, når nogen henvender sig til os på nettet.
- Brug fornuftige og forskellige passwords og slå to-faktor godkendelse til, hver gang du har chancen.
- Få et antivirusprogram.
Kilde: Thomas Lund-Sørensen, Center for Cybersikkerhed.
Så snu er hackerne
I jagten på dit password, benytter hackerne sig af den viden, de kan opsnappe. Her er fire ting, du skal passe på:
- Mange mennesker genbruger det samme password flere steder. Det er en dårlig idé. Dermed kan hackerne opsnappe passwords og prøve dem af i andre systemer.
- Vi er alle forskellige - men faktisk bruger vi ofte næsten de samme bogstav- og talkombinationer som passwords. Det er faktisk sådan, at hackerne har et helt katalog over de mest anvendte passwords, som de kan sætte en maskine til at prøve af på forskellige it-systemer.
- Hardware og software - eksempelvis din router i hjemmet - bliver ofte leveret med et standardpassword. Men mange glemmer at skifte det, og dermed er udstyret åbent for hackere.
- Hackere forsøger ofte at ‘fiske’ passwords ud af folk ved at udgive sig for at være en anden i eksempelvis en e-mail. Det kaldes i tekniske termer ’social engineering’, fordi målet er at få modtageren til at sænke paraderne.
Kilde: Center for Cybersikkerhed.
Sådan holder du styr på dine password
- Der findes mange forskellige råd og systemer til valg af passwords. Når du har valgt din foretrukne metode, er det vigtigt, at du ikke deler den med andre.
- Det er vigtigt, dit password er minimum 12 tegn, hvis det ikke er suppleret med fler-faktor-autentifikation, hvor du f.eks. skal bekræfte adgangen på din mobiltelefon.
- Brug en passwordmanager til at huske og holde styr på dine passwords. En passwordmanager fungerer typisk på alle computere og kan også fås som app til din telefon.
Kilde: Center for Cybersikkerhed
Sådan konstruerer du et sikkert password
- Brug det første bogstav fra hvert af ordene i en sætning: Jcgpa,hd-res = Jeg cykler gerne på arbejde, hvis det ikke regner eller sner (Her er ordet ”ikke” erstattet med tegnet ”-”)
- Vælg en sangtitel og kombiner med kunstnernavn og tegn/tal: HvalenValborg1976Shu-Bi-Dua
- Kombiner ord inspireret af f.eks. et rum i hjemmet: GryderOpskriftKnivSkabMad
- Kombiner ord inspireret af din seneste rejse: CafeMuseumPoolSolFerie
Kilde: Center for Cybersikkerhed
