I vores digitale tidsalder er e-mail blevet livsvigtigt for kommunikation for virksomheder, uanset størrelse, men det udgør også en betydelig sikkerhedsudfordring, især for små virksomheder. Da cybertrusler stadig udvikler sig og bliver mere avancerede, har det aldrig været vigtigere at beskytte følsomme oplysninger og sikre, at e-mailkorrespondance er fortrolig.
I de seneste år har vi set en dramatisk stigning i cyberangreb via virksomheders e-mailservere, uanset hvilke. Det bør ikke komme som en alt for stor overraskelse i betragtning af den globale tendens til hjemmearbejde i løbet af de seneste få år. Hjemmearbejde er kommet for at blive, og for de fleste cybersikkerhedsspecialister er det overraskende, at mange organisationer (især små virksomheder, som er de mest sårbare for denne type angreb) ikke har indført basal cybersikkerhedspraksis for at beskytte deres systemer mod Business Email Compromise (BEC) og andre mere traditionelle former for e-mailorienterede cyberangreb.
Business Email Compromise er en alvorlig type af digital svindel og afpresning, som søger at udnytte den daglige bølge af e-mailkommunikationer mellem virksomheder. Gennem en kompliceret social engineering-proces udgiver cyberkriminelle sig for at være medarbejder eller en betroet forretningsforbindelse og overbeviser ofre i samme virksomhed om at overføre følsomme oplysninger eller midler til en skjult konto. Denne type angreb varierer i alvor, men er sædvanligvis meget bekosteligt for den angrebne virksomhed. Derfor har vi besluttet at udarbejde denne vejledning til bedste praksis, retningslinjer, protokoller og politikker inden for e-mailsikkerhed, der specielt er rettet mod små virksomheder (denne praksis gælder dog lige så meget for organisationer af enhver størrelse). Tiden er inde til at sørge for, at små virksomheders e-mails er sikre, og at alle følsomme oplysninger er beskyttet mod uønskede øjne.
Bedste praksis for e-mailsikkerhed i små virksomheder
Bedste praksis for e-mailsikkerhed for små virksomheder er den samme som for store organisationer; de beskytter mod tre typer cyberangreb via e-mail: phishingsvindel, spydphishing-angreb og falske fakturaer. Lad os starte med de væsentlige e-mailsikkerhedsforanstaltninger:
Virksomheders e-mailkonti er til arbejdsbrug
Selv om det måske virker ret enkelt og ligefremt, er det værd at understrege for alle tilfældes skyld. Arbejde er en vigtig del af alles liv, og det kan være fristende at bruge sin arbejds-e-mail til at tilmelde sig eller logge ind på visse tjenester, som ens personlige konti ikke har adgang til. Men at bruge sin arbejds-e-mail til personlige aktiviteter på nettet giver en svindler mulighed for nemmere at profilere dig, hvilket kan føre til et meget mere målrettet cyberangreb. På samme måde kan du give hackere en bedre chance for at stjæle dine brugeroplysninger i virksomheden, hvis du bruger din personlige computer eller dit wi-fi-hjemmenetværk, som begge normalt ikke er så sikre som en virksomhedsforbindelse eller de brugerdefinerede computere, der anvendes på din arbejdsplads. Dette fører os også til vores næste bedste praksis.
Brug ikke din arbejds-e-mail på et offentligt wi-fi-netværk
Selv når du bruger din virksomheds sikre computer til at tilgå din arbejds-e-mailkonto, er offentligt wi-fi den perfekte port for hackere og cyberkriminelle til at infiltrere din computer og stjæle dine følsomme data. Hvis det ikke er muligt at undgå at bruge en offentlig forbindelse, anbefaler vi, at du bruger et VPN, når du opretter forbindelse til dine vigtige virksomhedsservere og for at forbedre din generelle slutpunktssikkerhed. Et virtuelt privat netværk (VPN) fungerer ved at skabe en form for krypteret privat tunnel mellem brugerens fjerncomputer og organisationens dertil beregnede servere. Som følge heraf beskytter det alle de data, du sender over usikre netværk, via realtidskryptering. Hvis du vil vide mere om VPN, og hvordan det fungerer, kan du læse vores artikel, "Hvad er et VPN?".
Stærke adgangskoder og adgangsudtryk
Når man vil hacke en virksomheds e-mailkonto, er første trin et brute-force angreb på kontoen og at forsøge at gætte adgangskoden eller adgangsudtrykket. Det er derfor, at vi anbefaler, at alle medarbejdere bruger “stærke” adgangskoder eller adgangsudtryk. En adgangskode anses for at være "stærk", når den er tilstrækkelig lang (12-14 tegn) og består af både særlige tegn, tal, store og små bogstaver. På samme måde skal "stærke" adgangsudtryk følge næsten de samme regler, med undtagelse af at de skal være mellem 15-20 tegn lange og bruge bogstaver fra andre sprog (hvis det er muligt).
For hver af disse er det vigtigste at huske, at de skal være unikke og kun må bruges til én applikation. Det betyder, at du får brug for flere adgangskoder eller adgangsudtryk, afhængig af hvor mange systemer du bruger på din arbejdsplads. Som følge heraf anbefaler vi at bruge en password manager eller en adgangskodeboks, som også har en adgangskodegenerator til at danne stærke adgangskoder og gemme alle dine unikke adgangskoder og adgangsudtryk. Selvom adgangskodebokse og password managere kan hackes, er dine adgangskoder stadig sikre, fordi de er krypterede; det er nærmest umuligt at dechifrere industriel standardkryptering såsom 256-bit AES (Advanced Encryption Standard). Selvom en hacker "kommer ind i" selve boksen, betyder det ikke, at han eller hun kan gøre noget derinde med dine krypterede data.
Phishingsvindel og træning af opmærksomhed på vedhæftede filer
En af de nemmeste måder at beskytte sin virksomhed på er at investere i en enkel cybersikkerhedsuddannelse for alle medarbejdere. Hvis det ikke er en mulighed for din virksomhed, anbefaler vi, at du lærer din arbejdsstyrke om farerne ved phishingsvindel og angreb via e-mailvedhæftninger, også kendt som skadelige vedhæftninger eller HTML-smuggling. De vigtigste punkter, der skal dækkes, er:
- Opmærksomhed på almindelige phishingsvindelnumre, f.eks. falske hjemmesider og login-vinduer, som indsamler en brugers loginoplysninger og efterligner almindelige pop op-vinduer, f.eks Microsoft Outlooks login-vindue.
- Viden om de mest almindelige e-mailvedhæftningsvektorer, som malware kan være skjult i, er .DOCX, .HTML og .EXE. Dette omfatter også en nylig og populær form for cyberangreb via e-mail kendt som HTML-smuggling.
- Advar dine medarbejdere om aldrig at klikke på et link, der ser mistænkeligt ud, eller hvor afsenderen er ukendt. Skadelige links er den nemmeste måde for svindlere at udføre et vellykket angreb på over for dine medarbejdere og din virksomhed, sædvanligvis via en form for phishingsvindel-hjemmeside.
Aktivér multifaktorgodkendelse
En sikkerhedspraksis, som bliver stadig mere populær på grund af sin effektive virkning, er multifaktorgodkendelse. Det refereres sommetider til som MFA, tofaktorgodkendelse eller 2FA, og multifaktorgodkendelse giver din virksomheds e-mailkonti flere sikkerhedskontrolniveauer, inden en medarbejder får adgang til sine meddelelser. Det kan for eksempel være en ekstra adgangskode, en kode fra en sikker sms, eller et svar på et forudbestemt sikkerhedsspørgsmål.
Glem ikke at logge ud
Igen vil dette måske virke indlysende, når man bruger sin arbejds-e-mail, men det er vigtigt at huske på, at en stor del af cybersikkerhedsangreb begynder med utilfredse medarbejdere, der ønsker at skade en tidligere arbejdsgivers virksomhed. At overtage en andens konto og udgive sig for en anden medarbejder er en af de nemmeste måder at begå cyberkriminalitet på og undgå opdagelse. Så for at undgå at du selv eller dine medarbejdere uforvarende bliver mistænkte, skal du sikre dig, at alle i virksomheden husker at logge ud efter hver session og aldrig at dele deres loginoplysninger med hinanden.
E-mailscanning og beskyttelsessystemer
I takt med at social engineering-trusler og e-mailrelaterede cyberangreb bliver stadig mere komplekse, er e-mailscanning og et beskyttelsessystem det bedste forsvar mod avancerede skadelige e-mailvedhæftninger og indlejrede script-angreb. Vi anbefaler en automatiseret antivirusløsning, som omfatter maskinel indlæring og statisk kodeanalyse, som vurderer det faktiske indhold af en e-mail og ikke kun typen af den vedhæftede fil. Ønskes en avanceret online cybersikkerhedsløsning anbefaler vi Kaspersky Security for Microsoft Office 365. Vores premium-pakke er et prisvindende system til både virksomheder og private brugere og omfatter fjernassistance og 24/7-support.
E-mailsikkerhedsprotokoller og standarder
En af de vigtigste måder, du kan beskytte virksomhedens e-mailsystem på, er ved at implementere de rigtige e-mailsikkerhedsprotokoller. E-mailprotokoller, der normalt betragtes som første forsvarslinje mod e-mailrelaterede cyberangreb, er udviklet til at beskytte kommunikationer, når de passerer gennem webmailtjenester. Kort sagt, mailservere leverer e-mailmeddeleser mellem modtageres mailklienter ved hjælp af e-mailprotokoller. Protokollerne fortæller serveren, hvordan meddelelserne skal håndteres og leveres. Sikkerhedsprotokoller verificerer og autentificerer processen.
Der findes en række forskellige protokoller, som kan bruges til at beskytte virksomheders e-mails:
- SPF – giver ejere af e-maildomæner mulighed for at identificere og verificere, hvem der er godkendt til at bruge deres domænenavne til at sende e-mails.
- DMARC – giver domæneejere mulighed for at få besked og svare, når en meddelelse ikke kunne autentificeres.
- SMTPS og STARTTLS – krypterer e-mailudvekslinger mellem klienter og servere.
- DKIM – gør det muligt for brugeren at blive knyttet til en digital signatur for autentificering.
- S/MIME – definerer, hvordan MIME-formaterede data kan krypteres og autentificeres.
- OpenPGP – er baseret på rammen for Pretty Good Privacy (PGP) og er en krypterings- og autentifikationsstandard for e-mails.
- Digitale certifikater – er en måde, hvorpå man kan verificere afsenderens oplysninger via ejerskab af offentlig nøgle.
- SSL/TLS – bruges ikke direkte i e-mailsikkerhed, men det krypterer netværkstrafik mellem servere (omfatter webmailmeddelelser), fordi det bruges til HTTPS.
Mange populære udbydere af e-mailklienter bruger SPF, DKIM og DMARC (konfigureret via DNS-registreringer) for at beskytte deres brugeres privatliv. Vi anbefaler at implementere som minimum disse tre til virksomhedens e-mailsystem.
E-mailsikkerhedspolitikker, retningslinjer og compliance
E-mailsikkerhedspolitikker, retningslinjer og compliance definerer reglerne og regulativerne omkring brug af arbejds-e-mailkonti på en arbejdsplads. Alle de ovenfor anførte punkter bør udgøre en væsentlig del af organisationens e-mailsikkerhedspolitikker. Herudover bør disse retningslinjer også omfatte regler om:
- Brugeradgang og brug af enhed.
- Databehandling og lagring.
- Regler for at sende, slette og opbevare e-mails.
- Bredden af politikkernes anvendelsesområde, herunder netværk og systembrug.
- Etisk adfærd og hensigtsmæssig opførsel.
- Adgangskodekryptering og andre sikkerhedsværktøjer, som bruges i e-mailklienter.
- Cybersikkerhedsuddannelsesmateriale vedrørende e-mailmalware, og hvordan man spotter falske vedhæftninger, links eller meddelelser.
- E-mailovervågning og registreringspraksis for medarbejdere indført i virksomheden.
- Hvor og hvordan man rapporterer malware, trusler eller ulovligt indhold, der modtages pr. e-mail.
Kort sagt bør enhver organisation, fra en lille virksomhed til en stor koncern, have en Security Compliance Model (SCN), som tydeligt fastlægger og definerer ovenstående emneområder. Disse retningslinjer fungerer som en juridisk ramme (der kan håndhæves af nationale myndigheder), som kan sikre, at alt indhold i virksomhedens e-mails er sikkert og anonymt. Dette er især vigtigt i betragtning af, at kunder og samarbejdspartnere er blevet mere på vagt over for virksomheder, der har sikkerhedsbrud på digital kommunikation.
I vore dages digitale landskab er e-mail uundværlig for virksomheder, både små og store, men det er også et hovedmål for cyberangreb. I takt med at hjemmearbejde bliver stadig mere almindeligt, øges risikoen for e-mailrelaterede cyberangreb. Beskyt din lille virksomhed problemfrit med Kaspersky’s Small Business Security, som er specielt udviklet til at opfylde behovene hos små virksomheder.
Relaterede artikler:
- Hvad er en password manager eller adgangskodeadministrator, og er de sikre?
- Sådan krypterer du e-mails i Outlook, Gmail, iOS og Yahoo
- Sådan stopper du spam-mails: Tips og tricks
- Phishing-e-mails: Sådan genkender du og undgår phishing-e-mails
Anbefalede produkter: