AGS Bloggen

Hvorfor du bør tenke på IT sikkerhet i budsjettet!

Skrevet av Pål Bjerknes | 15. september 2020


Hvorfor du bør tenke på IT sikkerhet i budsjettet! 

I dagens digitale verden er vi sterkt sårbare med tanke på at alt vårt arbeid ligger på datamaskinen, våre digitale spor blir lagt igjen overalt hvor vi går på internett. Mengden med sensitiv informasjon vi taster inn.

Vi hopper rett i det!

I dette innlegget skal vi lære hvordan vi kan sikre oss mot forskjellige trusler på nett.
Det første eksempelet er et innlegg min kollega Aleksander Fevang skrev om for en stund siden.
Dette handler om Phishing!

Om du trenger en rask oppfrisker kan du se video her:

Se videoen her i denne linken eller i avspilleren nedenfor.



En hacker bruker relasjoner til å lure deg !

La oss si at du får en e-post fra din kollega. Eller nærmere bestemt i mitt tilfelle daglig leder Anne Karine. Her etterspørres det om du kan hjelpe til med å bestille gavekort på nett.



Den egentlige e-postadressen er sensurert, men kommer fra en adresse som ikke er Anne Karine sin.
Alt ser veldig troverdig ut. 

Det som vil skje om du svarer vil du få videre instrukser som etter hvert leder til at du skal betale. Summene varierer, og målet er å få lurt fra deg penger.



"Anne Karine, eller?"

Typiske feil du kan se etter: 

Legg også merke til at denne e-posten tilsynelatende kommer fra min daglige leder.
Navnet er nesten riktig, men det er flere mangler her, vi bruker <hele navnet> med <etternavn> en bestemt <signatur> og hvilken <stilling> personen har i bedriften.


Se eksempelet på en reel epost fra Anne Karine:




"Dette var et eksempel på en Reel e-post om et hyggelig pust i bakken med litt sosialt"

 

Klikk meg!




Ville du klikket her?

"Dette er et klassisk og godt eksempel på en e-mail man kan få tilsendt."
Her er målet til hackerne å få deg til å klikke på lenken <restore here> og oppgi brukernavn og passord, men hva skjer om du gjør dette?



 

La oss ta et dypdykk!

La oss si vi <klikket på lenken>, nettleseren navigerer oss til en side som ser veldig lik ut som den faktiske siden. Siden inneholder logo, utseende og alt ser riktig ut,

Men, Ingen ting her stemmer, legg merke til at e-posten nevner Microsoft 365. Der Microsoft 365 har mulighet for å sette at passord skal utløpe. I de fleste tilfeller benyttes ikke dette.

Okey, så vi <logger inn på siden>. I frykt for at vårt passord skal utløpe vi <skriver inn>, men det er feil!
Vi forsøker igjen, også feil, til slutt gir vi opp, ingen av passordene i hukommelsen fungerer, så det må være noe tull!


Et par dager senere begynner det å tikke inn e-poster fra Outlook. <Kan ikke leveres> og det kommer gjerne en del av dem, du forsøker å sende en e-post til din nærmeste kollega og du får fortsatt kan ikke leveres!
Det er kanskje ikke så tydelig, men <E-posten har blitt hacket>!

Microsoft har automatisk blokkert din e-postadresse fra å sende epost, fordi den har begynt å sende såkalt <spam-mail> Hackerene har fått det de ville ha, informasjon!


Selges på det mørke nettet




Men hvordan tjener en hacker på dette?

Når du oppgir informasjonen din på en falsk side blir den etter hvert tilgjengelig gjort på det mørke nettet.
Den selges, gjerne i en liste over flere andre e-postadresser til den som byr høyest!

Deretter er det opp til kjøper hva den skal brukes til. Enten om det er videresending av phishing, eller annen kriminalitet. Normalt sett blir den benyttet til å sende falske e-poster, og forsøke å angripe nye offere.

Konsekvensene av en phishing e-post:

På landsdekkende basis anslås det at et årlig tap til phishing er på rundt 14 milliarder pr 2014.
Dette øker for hvert år som går.

5% av alle private og offentlige bedrifter oppdager at de har vært hacket, men i realiteten kan man anslå opp mot 66 prosent har vært utsatt for dataangrep hvert år pr 2014.


Hva inngår i begrepet tap, og hvor går pengene?

De fleste går til hackerene. Innen 2021 anslår man at hacking vil utgjøre skader for 6 trillioner dollar, pr år på global basis.Dette inkluderer tap direkte til hackerene, opprydningsarbeid og tiltak i ettertid av angrepet.0

Mange bedrifter velger å iverksette tiltak etter at de har vært angrepet, noe som dessverre er for sent.
Da har skaden allerede har skjedd, noen tiltak er billige å iverksette.
Andre derimot er mer omfattende og koster mer, men beskytter mot forskjellige typer angrep.





Gratis: lær deg forskjellene på ekte og falsk epost:

Google har laget en god <test deg selv>, her har de mange gode eksempler som kan være både enkle og vanskelige å finne ut av, men går grundig igjennom forskjellige ting du må passe opp for.
Du kan teste den her: https://phishingquiz.withgoogle.com/

Her er det også forskjellige eksempler hver gang du tar den.
Noe som gjør den både morsom og utfordrende, det viktigste er at du lærer hva du må være obs på!

"Send den også til Kollegaene dine, så er du med på å øke bevisstheten rundt et stort problem på verdensbasis!"

Det kan også være kjekt å sjekke www.haveibeenpwned.com, og endre passord på disse tjenestene du er oppført med.


Gratis: Vær skeptisk til alt du mottar fra ukjente!

En god forehåndsregel er å være ekstremskeptisk til alt på internett, kjenner du ikke avsender?
Sjekk litt rundt hvem <e-posten> faktisk kommer fra.



Denne <e-posten> utgir seg å være fra tech teamet til AGS, men er målrettet mot meg. Slik vi ser i den røde ringen.
Du kan også klikke på avsendernavn for å se <e-postadressen> den stammer fra for eksempel:




For å få opp denne holder du pekeren over navnet til personen du har mottar e-mail fra.
Du vil da få opp en liten meny med en liten hake på, klikker du på denne haken vil du kunne se informasjon om personen. En reel person du tidligere har hatt kontakt med vil ha litt informasjon i denne fliken.

Her kan vi for eksempel verifisere at e-postadressen er riktig, og kanskje kan vi også finne telefon.nr til denne personen. Likevel kan man utgi seg for å være denne personen, men da vil informasjonen i denne fliken avvike fra den som står som sender uten denne fliken oppe!

Om du likevel skulle undre, Ring din IT-Leverandør, det er bedre å spørre en gang for mye, enn ikke i det hele tatt!
Det er viktig å være kritisk til alt man ser på nettet!

Sterke passord, men hva er et sterkt passord?

Et godt og sikkert passord er upersonlig, det vil si at det ikke inneholder noe informasjon som er knyttet til deg.

  • Ikke navn,

  • ikke bosted

  • lignende som kan være fritt tilgjengelig på nett





Hackere kan bruke noe som heter social engineering, hvor de finner ut mest mulig om deg med informasjonen.

Vi legger ut på nett, og spor som blir lagt fritt tilgjengelig. Gode eksempler på dette er Facebook, mange vet ikke hvordan personvernseinstillingene på sin konto er satt.

Dette gjør at hvem som helst kan søke deg opp, og se hva du har gjort i det siste.
Utfra dette kan de finne ut ganske mye om deg. Med andre ord, noen blir kjent med deg.
Uten å noen gang ha snakket med deg!

Her er en liste over 10 mest brukte passord pr 01.06.2020

  •  123456

  •  123456789

  •  qwerty

  •  password

  •  1234567

  •  12345678

  •  12345

  •  iloveyou

  •  111111

  •  123123






Vårt tips til et godt og sikkert passord er å ikke bruke ord


Ord finnes i ordbøker, noe som blir brukt i et stort angrep som pågår mens du leser dette.
Et såkalt ordbokangrep hvor noen har kjøpt en stor liste e-postadresser, og bruker <roboter> matet med flere tusen forskjellige ordbøker til å generere og teste passord.

Et godt passord bør likevel inneholde:

  • 1 stor bokstav
  • 1 liten bokstav
  • 1 tall
  • Minimum 10 tegn
  • Minimum 1 spesialtegn som alfakrøll, utropstegn, eller «hæshtag» som mange kaller det i dag (#)

Gratis: Bruk et passordhvelv

Å ha en tjeneste som et passordhvelv hjelper deg med å kunne lage kompliserte nettpassord, og samtidig huske alle.

Et eksempel på en slik tjeneste er Lastpass.
Hvor du har et hovedpassord på 12 tegn, krav til minimum 1 bokstav, en stor bokstav, et tall og spesialtegn.


Du får også hjelp til å sette opp et hint til deg selv, i tilfelle du skulle glemme hovedpassordet.
Lastpass støtter alle de fleste tjenester på nett. Det gir deg mulighet til å kopiere passordet med kopierings funksjon på pc-en, dersom du skulle trenge å logge deg på et program, som for eksempel Office 365 på pc-en.


Billig: Bestill Microsoft 365 ATP

Dersom du ønsker at falske e-mailer skal bli luket ut før det kommer inn i din innboks,
kan du bestille <Microsoft 365 ATP.>

<Advanced Treath Protection> er også en mulighet, dette er et smart e-post filter som sjekker om e-mailene som kommer inn til deg er ekte eller ikke.

Dersom de er falske vil de ikke bli sendt videre til din innboks, og du får en tryggere hverdag!
Skulle du likevel få spam, kan vi justere hvor streng filteret skal være, og heller hviteliste om det er epost du venter på, men ikke har fått.


Høy pris, men verdt det: Microsoft 365 Business premium




Hvis du har <microsoft 365 Business premium> får du en totalsikkerhetspakke. 

Som omfatter: 

  • bruker
  • epost
  • sharepoint
  • onedrive
  • pc
  • mobil


Pc-en blir sikret med noe som heter bitlocker. Dette er kryptering av lagringsplassen på pc-en.
Som gjør at man ikke får ut informasjon hvis ikke alt stemmer, og ingen ting på pc-en er endret.

Som for eksempel om disken er tatt ut av pc-en og satt inn i en annen må man taste inn en tilfeldig generert kode for å åpne tilgangen. Denne koden blir lagret i et system for dette, bak låste områder i skyen


Det settes også opp diverse regler som sikrer at man ikke kan få tilgang til kontoen utenom bestemte land.
Dette gjør at hackere ikke får tilgang uansett om de har riktig passord eller ikke.

Regler og krav til pc-en blir også satt, som for eksempel må pc-en ha brannmur aktivert.
Gyldig antivirus for å være i samsvar med systemet, den må også være kryptert med bitlocker,
som beskrevet i forrige avsnitt.

"Dette bedrer sikkerheten, og du kan være trygg på at du jobber sikkert!"

Mobilen blir også inkludert i denne sikkerhetspakken, og krav stilles også til denne, den gjør det også enklere å skille jobb og fritid. Dersom du har telefonen din gjennom jobb, for på android enheter settes det opp en arbeids profil.

Som skiller arbeid fra dine private apper, noe som gjør det enklere å sikker jobbinformasjonen.
Sørger for at denne ikke blir blandet med personlig informasjon, eller kommer på avveie!


Om du synes 2 faktor funksjonen beskrevet tidligere høres slitsom ut, skal jeg nå fortelle deg om 2 faktoren som er inkludert i <Microsoft365 Business premium>, den er nemlig veldig enkel!

Istedenfor en sms, har vi nå en egen app, som kontoen er lagt inn i.
Når du logger på fra en ny enhet eller ukjent sted vil du få et varsel, hvor du kan trykke <godkjenn> eller <avslå på>.
Dette avhenger om du kjenner igjen pålogging forsøket.

Dette er veldig enkelt!"

Office ber deg bekrefte deg på telefonen, på høyre side ser vi et eksempel på hvordan et varsel fra appen ser ut




Lekkasjesikkerhet

Enkelte bedrifter i dag opplever å få informasjon lekket, dokumenter på avveie, kundeinformasjon stjålet og lignende! Microsoft har også en løsning på dette, Azure Information Protection.

Dette gjør at man kan merke dokumenter med forskjellige lapper. For eksempel konfidensiell, eller hemmelig, og sette opp regler for hva man kan gjøre med disse dokumentene.
Dette stopper bevist og ubevisst lekkasjer av bedriftens hemmeligstemplede informasjon!

Du kan også merke e-poster, slik at man for eksempel ikke kan:

  • videresende 
  • ta skjermdump 
  • kopiere teksten
Slik at informasjonen er sikkert riktig mottager, og ikke sendes til andre som ikke har noe med informasjonen å gjøre.


Under stadig utvikling

 

Microsoft 365 sikkerhetspakke er under stadig utvikling, og Microsoft legger hele tiden til nye funksjoner som kan komme deg til nytte.

For eksempel:  har vi noe som heter autopilot, jeg skal ikke gå så veldig i dybden på dette nå.
Men jeg kan si så mye at når man bestiller en pc kan man få den forhåndskonfigurert til din bedrift.

Det eneste du trenger å gjøre når du mottar pc-en er å starte den opp, trykke <windowstasten> 5 ganger.
Logge deg på din Microsoft 365 konto, pc-en vil da automatisk starte seg opp og installere bedriftens programmer.
Sette opp til din bruker, nesten ferdig ut av boksen med andre ord!




Vi runder av

Vi har i dette innlegget sett på noen phishing eposter og lært hvordan vi kan skille dem ut fra ekte epost.
Vi har sett på noen gratis alternativer til bedre sikkerhet, hvordan man kan lære seg forskjellen på en ekte epost og falsk.

Vi har også gått igjennom ATP, som er et smart e-postfilter, og gått lett igjennom Microsoft 365 sikkerhetssystem.

Noen fnyser kanskje litt av dette, og kaller det paranoia, men, du er mer utsatt enn du tror!

For i gamle dager (15+ år siden) så var holdningen slik;

«Nehei! Jeg blir ikke hacket, jeg er jo ikke intressant!»
- Bedriftseier

I dag har svaret blitt til:
«Det er ikke lenger et spørsmål om man blir hacket, men når!»
- Din IT Partner

Alle bedrifter i dag er intressante for hackere, all informasjon har en verdi, og alle, uansett størelse er intressante for hackere.

Helt til slutt; hva gjør du om du mistenker at du eller en kollega har blitt hacket?

Det du må gjøre er å ringe IT Avdelingen din så fort som mulig, og følge instruksjonene nøye.
IT avdelingen din bør ha et sett med direksjoner på hva som bør gjøres i slike tilfeller!

Hvis du vil vite mer om ATP, eller Microsoft 365 sikkerhet? Ta kontakt med oss! Vi guider deg til en trygg og sikker digital hverdag, og finner den sikkerhetspakken som passer din bedrift!



AGS Sikkerhetssenter

Vi er alltid på vakt for deg! Oppdag vårt sikkerhetssenter og hold tritt med truslene. La oss ta oss av trusseljungelen, slik at du kan fokusere på det du elsker.