+45 40 80 70 40
support@infowise.dk
IT-Sikkerhed
IT-sikkerhed er ikke bare en knap man trykker på. Det er noget man tænker ind i alt, man foretager sig.
Hvordan griber vi det an?
Udgangspunktet er en IT-sikkerhedsanalyse af nuværende it-systemer og procedurer.
Vores sikkerhedsekspert og en tekniker kommer på besøg hos jer, og gennemgår alt fra serverkonfigurationer til beredskabsplaner. Derefter får I tilsendt en rapport.
HVAD INDEHOLDER RAPPORTEN?
En sikkerhedsanalyse lavet af Infowise gennemgår alle tænkelige aspekter af din virksomhed, heriblandt:
- Backup/recovery
- Serversikkerhed
- Passwordsikkerhed
- Dataskik, sikkerhedsdokumentation og GDPR
- Fysisk sikkerhed
- Netværkssikkerhed
- Enhedshåndtering: arbejdsmaskiner og mobile enheder
- Procedurer og beredskabsplaner
OG HVAD SKER DER SÅ?
Det kommer selvfølgelig an på rapportens konklusion. I nogle tilfælde har vi på baggrund af it-sikkerhedsanalysen udarbejdet konkrete beredskabsplaner og sikkerhedsprocedurer, for at forebygge eventuelle nedbrud eller angreb. I andre tilfælde vælger virksomheder at overdrage IT-driften til os.
Det sker også ofte, at vi finder ud af, at alt er som det skal være. I det tilfælde gør vi ikke meget andet end at glæde os.
Digitale trusler, der skader din IT-sikkerhed
Malware
Malware er en samlebetegnelse for skadelig software, der er designet til at forårsage skade eller uautoriseret adgang til en computer, netværk eller et digitalt system.
Eksempler på malware inkluderer vira, der kopierer sig selv og spreder sig til andre filer, orme, der automatisk replikerer og spredes til andre enheder, trojanere, der udgiver sig for at være nyttige programmer, men i virkeligheden har skjulte, skadelige formål, og spyware, der indsamler informationer om brugerens aktiviteter uden deres viden.
Eksempel: En bruger kan downloade en tilsyneladende harmløs fil fra en upålidelig kilde på internettet. Denne fil kan indeholde en virus, som derefter inficerer brugerens computer og herefter spreder sig til virksomhedens servere og potentielt sletter eller stjæler filer.
Ransomware
Ransomware er en ondsindet software, der krypterer filer på en inficeret enhed eller et netværk, hvilket gør dem utilgængelige for brugeren.
Angriberen kræver en løsesum (typisk i kryptovaluta) for at levere nøglen til at dekryptere filerne.
Ransomware spredes ofte via e-mailvedhæftninger, ondsindede websteder eller ved at udnytte sårbarheder i systemer.
Eksempel: En medarbejder i en virksomhed åbner en e-mail, der ser ud til at være fra en overordnet, og klikker på en vedhæftet fil. Denne fil indeholder ransomware, som krypterer alle filer på medarbejderens computer og virksomhedens servere og kræver en løsesum for at gendanne dem.
PhishinG
Phishing er en form for svindel, hvor angriberen udgiver sig for at være en legitim kilde (f.eks. en bank, et socialt medie eller en anden betroet instans) for at narre brugeren til at afgive følsomme oplysninger som adgangskoder, kreditkortoplysninger eller personlige data.
Disse data bruges så til f.eks. at få adgang til virksomhedens systemer eller misbruge kreditkort osv.
Dette sker typisk via falske e-mails, der ser ud til at være fra en velkendt afsender eller gennem manipulerede websites, der ligner de ægte.
Eksempel: En bruger modtager en e-mail, der angiveligt er fra deres bank og beder om at opdatere deres adgangskode og kreditkortoplysninger ved at klikke på et link. Denne e-mail er faktisk fra en svindler, og linket fører til et falsk websted, der ser ud som bankens officielle side.
CEO-fraud (Whaling)
CEO-fraud er en form for målrettet phishing, hvor angriberen udgiver sig for at være en højtstående leder i en organisation, såsom CEO eller direktør.
Angriberen beder ofte en medarbejder i virksomheden om at udføre en handling, som f.eks. at overføre penge eller give adgang til følsomme oplysninger, under påskud af at det er en presserende ordre fra toppen.
Eksempel: En medarbejder i økonomiafdelingen modtager en e-mail, der angiveligt er fra CEO’en og anmoder om en øjeblikkelig overførsel af en stor sum penge til en specifik konto. E-mailen er dog fra en svindler, og pengene ender i angriberens lommer.
Hacker
En hacker er en person, der besidder tekniske færdigheder og viden om computer- og netværkssystemer.
Hackere kan inddeles i kategorier som “hvide” (etiske hackere, der bruger deres færdigheder til at sikre systemers sikkerhed og finde sårbarheder), “grå” (hackere, der kan bevæge sig i etiske eller ikke-etiske retninger) og “sorte” (angribere med onde hensigter, der udnytter sårbarheder for personlig gevinst eller skade).
Eksempel: En hacker kan udnytte en sårbarhed i en virksomheds firewall for at få adgang til data og f.eks. stjæle følsomme kundeoplysninger.
Man-in-the-Middle attack
Dette er en angrebstype, hvor en tredjepart indsætter sig mellem to kommunikerende parter, så de kan overvåge eller manipulere kommunikationen.
Dette kan give angriberen mulighed for at stjæle følsomme data, ændre informationer eller endda injicere ondsindet kode i den igangværende kommunikation, uden at nogen af de involverede parter er klar over det.
Eksempel: En angriber får via phishing adgang til én af virksomhedens mailkonti og kan derigennem overtage kommunikationen mellem virksomheden og dennes leverandør.
Du kan læse mere om de forskellige former for digital afpresning her.
Et par spørgsmål…
Kan i undervise mine medarbejdere?
Infowise tilbyder skræddersyede workshops og præsentationer til både bestyrelser og medarbejdere. Vi underviser både i strategi og i arbejdsprocesser.
Men nogle gange er undervisning ikke nok. Mennesker er vanedyr, og man kan derfor med adfærdsdesign og intelligent kommunikation præge folk til at træffe bedre beslutninger – især når det kommer til IT-sikkerhed.
Hvad med persondataloven?
I vores optik er persondataloven todelt: juridisk og teknisk. Sidstnævnte har vi naturligvis stor erfaring med. Vi er uddannet i persondatalov og har partnere på advokatfronten som kan varetage den juridiske del.
Det er en nødvendighed at have styr på it-sikkerheden, for at være GDPR-compliant.
Hvad er en beredskabsplan?
En beredskabsplan specificerer blandt andet hvem der har ansvaret, hvor, hvad og hvem man skal kontakte i tilfælde af nedbrud/angreb, og ikke mindst hvor lang tid it-systemerne maksimalt kan undværes.
Jo mere kritisk digital infrastruktur virksomheden har, desto større er behovet for en beredskabsplan.