7 måder at ødelægge en virksomhed med et enkelt klik

2024 Forfatter: Malcolm Clapton | [email protected]. Sidst ændret: 2024-01-15 16:41

Én ondsindet e-mail og en naiv medarbejder kan koste din virksomhed penge eller omdømme. Sammen med Microsoft fortæller vi dig om, hvilke cyberhygiejneregler du skal tale med dit team om.

Find endnu flere tips til, hvordan du beskytter dig selv mod digitale trusler.

Nye typer cybertrusler dukker op hver dag. Det kan se ud til, at hackere og svindlere kun er ude efter markedets giganter. Men dette er ikke tilfældet. 63 % af alle angreb er rettet mod små virksomheder, og 60 % af små virksomheder lukker ned efter et cyberangreb. Desuden er ofrene for angrebene ikke nødvendigvis Silicon Valley-startups. Den Russiske Føderations generalanklagemyndighed registrerede 180.153 cyberkriminalitet i de første seks måneder af 2019. Og det er 70 % mere end i 2018.

Selvom du har en hel it-afdeling og antivirus er installeret på alle computere, er dette ikke nok til pålidelig beskyttelse. Derudover er der altid en menneskelig faktor: Medarbejdernes forkerte handlinger kan føre til en digital katastrofe. Derfor er det vigtigt at tale med dit team om cybertrusler og forklare dem, hvordan de kan beskytte sig selv. Vi har samlet syv situationer, hvor én persons indiskretion kan koste din virksomhed dyrt.

1. Klik på et ondsindet link

Situation: der sendes en mail til medarbejderens mail, som ligner en almindelig post fra en kendt modtager. Brevet indeholder en knap, der fører til et websted, der ikke vækker mistanke hos en person. Medarbejderen følger linket og bliver omdirigeret til fidussiden.

Den beskrevne mekanisme er det såkaldte phishing-angreb. Microsofts undersøgelser siger, at dette er en af de mest almindelige svigagtige ordninger. I 2018 steg antallet af sådanne angreb med 350 %. Phishing er farligt, fordi det omfatter elementer af social engineering: Angribere sender e-mails via e-mail på vegne af en virksomhed eller en person, som ofret helt sikkert har tillid til.

Svigagtige ordninger bliver mere og mere komplekse: Angreb finder sted i flere faser, og e-mails sendes fra forskellige IP-adresser. En phishing-e-mail kan endda være forklædt som en besked fra en virksomhedsleder.

For ikke at blive fanget, skal du omhyggeligt læse alle bogstaver, bemærke uoverensstemmelser i et bogstav eller symbol i adressen, og i tilfælde af mistanke - kontakt afsenderen, før du gør noget.

2. Download af en inficeret fil

Situation: medarbejderen har brug for ny software for at virke. Han beslutter sig for at downloade programmet i det offentlige domæne og ender på et websted, hvor malware foregiver at være nyttig software.

Virus på internettet er ofte forklædt som fungerende software. Dette kaldes spoofing - forfalskning af formålet med et program for at skade brugeren. Så snart medarbejderen åbner den downloadede fil, falder hans computer ind i risikozonen. Desuden downloader nogle websteder automatisk ondsindet kode til din computer - også uden at du forsøger at downloade noget. Disse angreb kaldes drive-by downloads.

Yderligere konsekvenser afhænger af virustypen. Ransomware plejede at være udbredt: det blokerede computeren og krævede en løsesum fra brugeren for at vende tilbage til normal drift. Nu er en anden mulighed mere almindelig - angribere bruger andres computere til at mine kryptovalutaer. Samtidig bremses andre processer, og systemets ydeevne falder. Derudover kan svindlere, når de har adgang til en computer, få fortrolige data til enhver tid.

Artyom Sinitsyn Direktør for informationssikkerhedsprogrammer i Central- og Østeuropa, Microsoft.

Virksomhedens ansatte skal være opmærksomme på, at fungerende software ikke kan downloades fra internettet. Personer, der poster programmer på nettet, påtager sig intet ansvar for sikkerheden af dine data og enheder.

En af de første regler for cybersikkerhed er at bruge licenseret software. For eksempel giver den alle de løsninger, du har brug for til din virksomhed, samtidig med at den garanterer fuldstændig beskyttelse af dine oplysninger.

Det er ikke kun sikkert, det er også praktisk: Med Microsoft 365 kan du bruge alle Office-apps, synkronisere din Outlook-e-mail med din kalender og opbevare alle dine vigtige oplysninger i OneDrive-skyen på 1 TB.

3. Overførsel af filer over ubeskyttede kanaler

Situation: medarbejderen skal dele en arbejdsrapport med fortrolige oplysninger med en kollega. For at gøre det hurtigere uploader han filen til sociale medier.

Når medarbejderne synes, det er ubehageligt at bruge virksomhedschats eller anden kontorsoftware, leder de efter løsninger. Ikke for bevidst at skade, men simpelthen fordi det er nemmere på den måde. Dette problem er så almindeligt, at der endda er en særlig betegnelse for det - skygge-IT. Sådan beskriver de en situation, hvor medarbejderne opretter deres informationssystemer i modstrid med det, virksomhedens it-politik foreskriver.

Det er indlysende, at overførsel af fortrolige oplysninger og filer via sociale netværk eller kanaler uden kryptering indebærer en høj risiko for datalækage. Forklar medarbejderne, hvorfor det er vigtigt at overholde protokoller, der styres af IT-afdelingen, så medarbejderne i tilfælde af problemer ikke er personligt ansvarlige for tab af information.

Artyom Sinitsyn Direktør for informationssikkerhedsprogrammer i Central- og Østeuropa, Microsoft.

4. Forældet software og mangel på opdateringer

Situation: medarbejderen får besked om udgivelsen af en ny softwareversion, men hele tiden udskyder han systemopdateringen og arbejder på den gamle, fordi der "ikke er tid" og "meget arbejde".

Nye softwareversioner er ikke kun fejlrettelser og smukke grænseflader. Det er også tilpasningen af systemet til de trusler, der er opstået, samt overlapning af informationslækagekanaler. Flexera rapporterer, at det er muligt at reducere systemets sårbarhed med 86 % blot ved at installere de seneste softwareopdateringer.

Cyberkriminelle finder jævnligt mere sofistikerede måder at hacke sig ind i andres systemer. Eksempelvis bruges kunstig intelligens i 2020 til cyberangreb, og antallet af hacking af cloud storage vokser. Det er umuligt at yde beskyttelse mod en risiko, der ikke eksisterede, da programmet afsluttede. Derfor er den eneste chance for at forbedre sikkerheden at arbejde med den nyeste version hele tiden.

Situationen er den samme med ulicenseret software. Sådan software kan mangle en vigtig del af funktionerne, og ingen er ansvarlig for dens korrekte drift. Det er meget nemmere at betale for licenseret og understøttet software, end det er at risikere kritisk virksomhedsinformation og bringe hele virksomhedens drift i fare.

5. Brug af offentlige Wi-Fi-netværk til arbejdet

Situation: medarbejder arbejder med bærbar computer i en cafe eller lufthavn. Den forbinder til det offentlige netværk.

Hvis dine medarbejdere arbejder eksternt, skal du informere dem om farerne ved offentlig Wi-Fi. Netværket i sig selv kan være falsk, hvorigennem svindlere stjæler data fra computere, når de forsøger at oprette forbindelse. Men selvom netværket er reelt, kan der opstå andre problemer.

Andrey Beshkov Head of Business Development hos Softline.

Som følge af et sådant angreb kan vigtige oplysninger, logins og adgangskoder blive stjålet. Svindlere kan begynde at sende beskeder på dine vegne og kompromittere din virksomhed. Opret kun forbindelse til betroede netværk, og arbejd ikke med fortrolige oplysninger via offentlig Wi-Fi.

6. Kopiering af vigtig information til offentlige tjenester

Situation: medarbejderen modtager et brev fra en udenlandsk kollega. For at forstå alt præcist, kopierer han brevet til oversætteren i browseren. Brevet indeholder fortrolige oplysninger.

Store virksomheder udvikler deres egne virksomhedstekstredaktører og oversættere og instruerer medarbejderne til kun at bruge dem. Årsagen er enkel: Offentlige onlinetjenester har deres egne regler for lagring og behandling af oplysninger. De er ikke ansvarlige for fortroligheden af dine data og kan overføre dem til tredjeparter.

Du bør ikke uploade vigtige dokumenter eller fragmenter af virksomhedskorrespondance til offentlige ressourcer. Dette gælder også tjenester til læse- og skrivetestning. Der er allerede tilfælde af informationslækage gennem disse ressourcer. Det er ikke nødvendigt at oprette din egen software, det er nok at installere pålidelige programmer på arbejdscomputere og forklare medarbejderne, hvorfor det er vigtigt kun at bruge dem.

7. Ignorerer multifaktorgodkendelse

Situation: systemet beder medarbejderen om at knytte en adgangskode til en enhed og et fingeraftryk. Medarbejderen springer dette trin over og bruger kun adgangskoden.

Hvis dine medarbejdere ikke gemmer adgangskoder på et klistermærke på skærmen, er det fantastisk. Men ikke nok til at eliminere risikoen for tab. Bundles "adgangskode - login" er ikke nok til pålidelig beskyttelse, især hvis der bruges en svag eller utilstrækkelig lang adgangskode. Ifølge Microsoft, hvis en konto falder i hænderne på cyberkriminelle, har de i 30 % af tilfældene brug for omkring ti forsøg på at gætte adgangskoden til andre menneskelige konti.

Brug multifaktorgodkendelse, som tilføjer andre kontroller til login/adgangskodeparret. For eksempel et fingeraftryk, Face ID eller en ekstra enhed, der bekræfter login. Multifaktorautentificering beskytter mod 99 % af angreb, der har til formål at stjæle data eller bruge din enhed til minedrift.

Artyom Sinitsyn Direktør for informationssikkerhedsprogrammer i Central- og Østeuropa, Microsoft.

For at beskytte din virksomhed mod moderne cyberangreb, herunder phishing, kontohacking og e-mail-infektion, skal du vælge pålidelige samarbejdstjenester. Teknologier og mekanismer til effektiv beskyttelse skal integreres i produktet fra begyndelsen for at kunne bruge det så bekvemt som muligt uden at skulle gå på kompromis med digitale sikkerhedsspørgsmål.

Dette er grunden til, at Microsoft 365 indeholder en række intelligente sikkerhedsfunktioner. For eksempel beskyttelse af konti og login-procedurer mod kompromis med en indbygget risikovurderingsmodel, multi-faktor-godkendelse, som du ikke behøver at købe yderligere licenser til, eller adgangskodefri godkendelse. Tjenesten giver dynamisk adgangskontrol med risikovurdering og under hensyntagen til en lang række forhold. Microsoft 365 indeholder også indbygget automatisering og dataanalyse, og giver dig også mulighed for at styre enheder og beskytte data mod lækage.