I de seneste år har skiftet til fjernarbejde, som Covid-19 har forårsaget, i forbindelse med den digitale transformation af mange organisationer givet cyberkriminelle nye muligheder. Derfor er det essentielt for alle virksomheder, store som små, at forstå de største cybersikkerhedstrusler og sikkerhedsproblemer for websteder, så de kan forsvare sig. Læs videre for at få mere at vide.
Første cybersikkerhedsrisiko for virksomheder: Ransomware
Det siges, at 80% af virksomheder i hele verden oplevede en eller anden form for ransomware-angreb i 2021. Ransomware er software, der låser brugere ude fra deres computere, eller begrænser adgangen til data ved at kryptere oplysningerne. Brugeren skal indtaste en særlig nøglekode for at genoprette adgang, og hackeren giver kun brugeren nøglen, hvis løsesummen betales. Den mest skadelige ransomware sletter al brugerdata, selvom løsesummen betales.
Mange små eller mellemstore virksomhedsejere tror, de er små fisk i et hav af store virksomhedshvaler, der er langt mere attraktive for kriminelle. De læser om store cyberangreb på store organisationer, og føler sig forholdsvis sikre, men store virksomheder har lært på den hårde måde, at de skal forstærke deres beskyttelse mod cyberindtrængere, og hærde deres forsvar mod fremtidige angreb.
Som resultat kan cyberkriminelle finde det lettere at rette sig mod små og mellemstore virksomheder, som ofte har minimal beskyttelse, og mangler den viden, de skal bruge til at forhindre datatyveri fra deres computere. Adgangskoder kan stjæles, ligesom oplysninger som bankkontooplysninger, hjemmeadresser, og CPR-numre. Med denne information kan cybertyve tømme konti, stjæle identiteter, og lancere cyberangreb mod virksomheder og endda regeringer.
Sådan kan virksomheder beskytte sig mod ransomware
Sikkerhedsforanstaltninger i lag: For at reducere risikoen for ransomware kan du tage en lagbaseret tilgang til cybersikkerhed. Det betyder, at du skal bruge forskellige sikkerhedsværktøjer i kombination. For eksempel kan du bruge en god antivirus på alle enheder og holde den opdateret, installere en firewall, og anvende spamfiltre og beskyttelse mod datatab i skyen. Med en kombination af værktøjer betyder det, at hvis en slår fejl, er der andre, der virker som backup.
Tag backup af din data: Sørg for, at din virksomhed har en fuld offline-backup af dit system, som er opdateret og adskilt fra hovednetværket. Dette tillader dig at tilgå dine data, selvom din virksomhed holdes som gidsel. Test din backup regelmæssigt for at sikre dig, at den virker, når du har brug for den.
Gennemgå din politik om egne enheder: Med skiftet til fjernarbejde bruger ansatte ofte deres egne bærbare computere eller mobilenheder til at arbejde og tilgå virksomhedens netværk. Dette kan være risikofyldt, siden disse enheder måske ikke har ordentlig antivirus eller anden sikkerhedssoftware installeret. Hvis ansatte arbejder på farten, kan de tilgå offentlige Wi-Fi-netværk, som ikke er sikre. For at modvirke dette, kan du begrænse netværksadgang til enheder, der udstedes af virksomheden, og kræve at ansatte skal tilgå netværket gennem en VPN, et Virtuelt Privat Netværk.
Anden cybersikkerhedsrisiko for virksomheder: Phishing
Phishing er endnu en betydelig cybertrussel mod virksomheder. Phishing er forsøg på at erhverve sig følsomme oplysninger såsom brugernavne, adgangskoder og kortoplysninger igennem svindelmails, der er designet til at ligne ægte mails, og nogle gange gennem falske websteder. Traditionelt blev phishingsvindel udført via e-mail. Men i de seneste år er mere phishingsvindel blevet udført gennem sms (kendt som smishing) og telefonopkald (kendt som vishing).
Begrebet spear phishing bruges til at referere til phishingforsøg, der er målrettet et særligt individ eller en særlig virksomhed. Cyberkriminelle bruger teknikker indenfor social manipulation til at personalisere beskeder til deres mål, hvilket får dem til at se ud som om, de er legitime e-mails fra kendte kontakter. De bruger forskellige kilder til online information, såsom sociale medier og firmawebsteder, til at profilere deres mål. De ringer måske endda til en virksomhed, og lader som om, de er kunder, for at erhverve sig detaljer om bankkonti og lignende.
Falske e-mails går ofte direkte til en virksomheds kontoadministrator med en anmodning om at overføre penge til en kundes bankkonto. E-mailen indeholder bankkontoens oplysninger og detaljer om overførslen. Intetanende administratorer har sendt mængder fra et par tusind dollars til et par millioner dollars til cyberkriminelles bankkonti.
Sådan kan virksomheder beskytte sig mod phishing
Tænk over dit digitale fodspor: Tænk over de oplysninger, din virksomhed gør offentligt tilgængelige online, altså dit digitale fodspor, og hvordan det kan gøre ansatte mål for denne type kriminalitet. For eksempel forøger du risikoen for at blive mål for phishing, hvis du viser din overordnede stab, med links til deres LinkedIn-profiler, deres e-mail adresser og deres telefonnumre. (Du kan læse mere om Privatlivsspørgsmål angående LinkedIn her.)
Brug e-mailfiltre: Alene garanterer et e-mailfilter ikke, at du ikke modtager phishingmails, men det forøger din beskyttelse. E-mailudbydere tilbyder en bred vifte af filtre til spam og junk mail, så det er værd at undersøge markedet, før man vælger den rette udbyder.
Brug antivirus: En omfattende og opdateret antivirus, der er installeret på alle enheder, vil hjælpe med at beskytte din virksomhed mod phishingangreb, såvel som en lang række af andre cybertrusler. En antivirus med funktioner mod phishing scanner vedhæftede filer i e-mails for at tjekke, om de er risikable.
Vær på vagt: Hold øje med de afslørende tegn på phishing. For eksempel indeholder en e-mail fra din bank, der beder dig om at opdatere personlige oplysninger sandsynligvis ikke stavefejl og grammatiske fejl. Hvis en e-mail forsøger at skynde på dig, som for eksempel ved at fortælle dig, at din konto er blevet hacket og skal nulstilles omgående, så kunne det være et advarselstegn. Hvis en besked indeholder en URL, så hold musen over URL'en for at tjekke, at den fører til den rette side. Det er også vigtig at sikre sig, at URL'en har et SSL-certifikat og starter med HTTPS. Generelt, hvis du modtager en e-mail fra en ukendt afsender, skal du ikke åbne nogen vedhæftede filer.
Tredje cyberrisiko for virksomheder: Svage adgangskoder
Endnu en vigtig IT-sikkerhedsrisiko for virksomheder er ansatte, der bruger svage adgangskoder, der let kan gættes. Adgangskoder, der er svage eller lette at gætte, eller adgangskoder, der genbruges for flere konti, kan føre til, at følsomme data eller finansielle oplysninger kompromitteres. Små virksomheder har særlig stor risiko for, at ansatte bruger svage adgangskoder, fordi de er mindre bekendte med online sikkerhedsrisici. I gennemsnit bruger 19% af fagfolk i virksomheder adgangskoder, der er lette at gætte, eller deler adgangskoder på tværs af konti.
Hackere skriver programmer, der bruger ordbøger på millioner af adgangskoder i et forsøg på at tiltvinge sig adgang til personer og virksomheders IT-systemer. Dette kaldes brute-force angreb og de kan ofte bryde ind i computere. Når en hacker finder en kode til en softwareapplikation, er sandsynligheden for, at de får adgang til andre konti med samme adgangskode høj.
Sådan kan virksomheder beskytte sig mod svage adgangskoder
Indfør en stærk adgangskodepolitik, der håndhæves af teknikken: En stærk adgangskode består af mindst 15 tegn, inklusive en blanding af små og store bogstaver, tal og særlige tegn. Brugere bør undgå simple talsekvenser som "12345," eller navne på ægtefæller, børn og kæledyr i en adgangskode, siden hackere let kan få disse oplysninger fra sociale medier. Nogle virksomheder kræver, at ansatte skal skifte adgangskode til log-in mindst hver 90. dag.
Brug en adgangskodeadministrator: Dine ansatte skal tænke over, om de vil bruge en adgangskodeadministrator til at generere og huske lange, komplekse adgangskoder, der kan indsættes i applikationers loginsider.
Slå flerfaktorsautentificering til: Flerfaktorsautentificering, MFA, sørger for, at brugere skal bruge mere end en adgangskode for at få adgang til virksomhedskonti. Dette involverer ekstra verifikationstrin, såsom at sende et kodeord til en mobilenhed. Dette ekstra sikkerhedslag hjælper med at holde angribere fra at tilgå virksomhedskonti, selvom de gætter en adgangskode.
Skift standardadgangskoder: En almindelig fejl er, ikke at skifte forhandlerens standardadgangskoder på smartphones, bærbare computere og andet IT-udstyr. Skift alle standardadgangskoder før enheder distribueres til dine ansatet. Tjek regelmæssigt enheder og software for at opdage uændrede standardadgangskoder.
Fjerde cyberrisiko for virksomheder: Mobilenheder
Virksomheder forsyner ofte deres ansatte med smartphones, bærbare computere og tablets for at gøre fleksibelt fjernarbejde muligt. Som resultat er mere data lagret på tablets og smartphones end nogensinde. Disse enheder er lige så kraftige som traditionelle computere, og fordi de er mobile og derfor forlader kontoret og hjemmets sikkerhed, skal de have endnu mere beskyttelse end stationært udstyr. Men i mange virksomheder mangler mobile enheder stadig beskyttelse mod trusler som phishing, malware og angreb mod mobile styresystemer, hvilket gør dem en af de største risici for cybersikkerheden.
Sådan kan virksomheder beskytte mobile enheder
Slå adgangskodebeskyttelse til: Brug en kompleks pinkode eller adgangskode for at forhindre almindelige kriminelle i at tilgå din telefon. Mange enheder inkluderer nu fingeraftryk eller ansigtsgenkendelse for at låse din enhed, hvilket reducerer afhængigheden af adgangskoder. Disse funktioner er ikke altid slået til som standard, så tjek, at de er slået til.
Sørg for, at mistede enheder kan spores, låses eller slettes: Hvis en enhed mistes eller stjæles fra en ansat, skal du ikke kun kunne spore den, men også slette alt på den, uanset hvor den er. Adgangskoder kan bremse tyve i et kort stykke tid, men at kunne slette alle værdifulde oplysninger fra enheden, før de får en chance for at se dem, eliminerer risikoen. Sørg altid for, at denne funktion er slået til på alle mobilenheder, dine ansatte bruger.
Tag backup af dine data: Ligesom du regelmæssigt tager backup af dine computerdata, skal du også tage backup af din virksomheds mobilenheder. Hvis en enhed bliver tabt eller stjålet, giver det ro i sjælen at vide, at dine dyrebare data er sikre og kan gendannes.
Opdater dine enheder og apps: Sørg for, at du har den seneste udgave af software og apps, så du drager nytte af de seneste sikkerhedsopdateringer.
Opret en politik om mobil sikkerhed: Før en ansat begynder at arbejde fra en mobilenhed, skal du indføre en politik om acceptabel brug, der følger lovmæssige regler. Vejledning om, hvad man gør, hvis en enhed bliver tabt eller stjålet, betyder, at de ansatte ved, hvordan de skal handle, og forhåbentlig gør sådan omgående. Bed dine ansatte om at læse og underskrive en kopi af politikken, før de bruger en mobilenhed til arbejdet, for at vise, at de er opmærksomme på risikoen, og hvordan man forbliver sikker.
Krypter altid data: Det er essentielt at slå kryptering på arbejdsmobiltelefoner til. Kryptering af mobilenheder virker ved at konvertere data på din telefon til en ulæselig form. Ligesom adgangskodebeskyttelse på telefoner, skal brugere indtaste krypteringspinkoden eller -adgangskoden for at dekryptere data. Moderne smartphones kommer oftest med et niveau af adgangskodebeskyttelse og kryptering, selvom nogle er sikrere end andre. For eksempel, med Android, bliver du bedt om at slå kryptering til, når du opretter din adgangskode. Slå kryptering til på alle fysiske enheder, og understøt det med datakrypteringssoftware, hvor det er nødvendigt.
Femte cybersikkerhedsrisiko for virksomheder: Menneskelige fejl
Ifølge en undersøgelse fra IBM i 2021, udgør menneskelige fejl 95% af brud på cybersikkerheden. Med andre ord tillader utilsigtede handlinger, eller mangel på handlinger, brud at finde sted. Ofte er det simple fejl, som at klikke på mistænkelige vedhæftede filer i e-mails, at besøge suspekte hjemmesider, eller brug af svage adgangskoder eller den samme adgangskode til flere konti (og derfor er der et stort overlap med andre risici nævnt i denne artikel, siden menneskelige fejl ofte forbinder dem). Cyberkriminelle udnytter essentielt menneskelige svagheder.
Sådan kan virksomheder beskytte sig mod menneskelige fejl
Giv træning: De fleste menneskelige fejl er konsekvenser af, at de ansatte ikke kender risikoen. Man kan reducere menneskelige fejl gennem effektiv opmærksomhedstræning indenfor cybersikkerhed, inklusive at undervise de ansatte i risikoen ved social manipulation. Målet er at gøre dem opmærksomme på cybersikkerhedstrusler mod virksomheden, så du kan give dem god IT-etikette. Træning af ansatte, en regelmæssig e-mail eller et nyhedsbrev på intranettet, eller introduktionskurser hjælper alle.
Begræns adgangskodebelastningen: Selvom det er essentielt at have en stærk kodeordspolitik, er den bedste måde at reducere menneskelige fejl at sænke antallet af adgangskoder. Dette kan opnås ved at bruge adgangskodeadministratorer med multifaktorautentificering for at øge sikkerheden, og ved at skifte til enheder med biometrisk autentificering så som fingeraftryksidentifikation.
Mindre virksomheder kan være særligt sårbare overfor online sikkerhedsrisici
Små og mellemstore virksomheder kan være særligt sårbare overfor cybersikkerhedstrusler. Det er fordi:
- De ofte ikke tror, de bliver angrebet, og derfor ikke er forberedte.
- De kan have ældre systemer, eller en mangel på sikkerhedsprotokoller og træning, hvilket gør dem lettere at hacke.
- Det er mindre sandsynligt, at de har store, dedikerede IT-hold, der har styr på de seneste IT-sikkerhedsrisici og problemer med webstedssikkerhed.
Vurder cybersikkerhedsrisikoen for din virksomhed
For at evaluere de største cybersikkerhedstrusler mod din virksomhed, skal du starte med at vurdere dine nuværende sikkerhedssystemer. Lav en liste over aktiver, inklusive al software og hardware. Generer en list over, hvor data opbevares, og hvem der har adgang. Hold disse oplysninger i sikkerhed, og begræns, hvem der kan se dem. Analyser dine nuværende sikkerhedssystemer for at opdage, hvor der kan være sårbarheder. En risikovurdering for din virksomhed vil hjælpe med at holde den sikker.
Udover de tips, der nævnes i denne artikel, er to andre praksisser, man kan følge:
- Hav en cyberangrebsplan: Vær forberedt på nødssituationer. Du vil gerne være i stand til at beskytte din virksomhed, ansatte og kunder, hvis du angribes, så hav en plan, der fortæller, hvad du skal gøre, hvis uheldet er ude.
- Hold dig opdateret på de seneste cybertrusler mod virksomheder: Kendskab til de seneste cybersikkerhedstrusler, mens de udvikler sig, holder dig på forkant og i stand til at forsvare dig.
Til sidst, er endpointsikkerhed en essentiel del af at begrænse cybersikkerhedstrusler mod din virksomhed. Et endpoint refererer til en enhed, der er forbundet til dit netværk, inklusive bærbare computere, stationære computere, smartphones, printere, servere osv. Endpointsikkerhed er den proces, hvor man beskytter endpoints, der bruges i arbejdsøjemed, mod trusler mod cybersikkerheden. Cloud-baseret endpointsikkerhedssoftware are ideelt for små og mellemstore virksomheder, da det kræver færre lokale ressourcer at administrere, og færre forpligtelser på forhånd, men giver kontinuert overvågning og evnen til at overvåge dine endpoints, uanset hvor du er.
Læs mere om Kasperskys løsninger til endpointsikkerhed her.
Kaspersky Endpoint Security modtog tre AV-testpriser for den bedste ydeevne, beskyttelse og brugbarhed for et endpointsikkerhedsprodukt til virksomheder i 2021. I alle tests viste Kaspersky Endpoint Security fremragende ydeevne, beskyttelse og brugbarhed for virksomheder.
Relaterede artikler og links:
- Hvad er IoT og IoT-sikkerhed
- Trusselsunderretning
- Hvad er APT og tegn på APT
- Hvad er endpointsikkerhed?
Relaterede produkter: