Martin FossedalVi ser ofte at IT-risiko er sterkt undervurdert, både hos bedrifter og privatpersoner. Uten riktige sikkerhetstiltak er det, for mange, en smal sak å få tilgang til private og jobbkontoer med sensitiv informasjon. Det meste starter med sluttbrukeren – hvilke tiltak må gjøres?
I dagens jobbhverdag er det ikke uvanlig å bruke private enheter til alt jobbrelatert. Kombineres dette med mangelfull opplæring og teknologisk forståelse blant ansatte, blir farene umiddelbare og risikoen øker betraktelig. I bedrifter er sluttbrukeren den største trusselen og svakeste ledd for hacking og uvedkommen tilgang til kontoer.
Skrekkeksempler
Hos mange av våre kunder lagres innloggingsdetaljer i Notater-appen lokalt på iPhone. Med en kode på iPhone som er lett å gjette eller snike til seg over skulderen, er det enkelt for en som stjeler telefonen å få tilgang til den ansattes påloggingsdetaljer og deretter sensitiv bedriftsinformasjon
Sosial manipulering er en stadig voksende form for hacking. Kort fortalt skjer dette når en hacker snakker med uvitende personer og får så mye personlig informasjon at passord blir enklere å gjette. Når da 65% bruker samme passord på alle kontoer, fører dette til voldsom eksponering av data. Både for privatpersonen og tilknyttede bedriftskonter.
To-faktorautentisering
Som et minimum av sikkerhetstiltak anbefaler vi alle bedrifter to-faktorautentisering på alle kontoer. I praksis betyr dette at eieren av kontoen må bekrefte at det er han eller hun som logger. Når kontoen logges på får eieren en SMS, e-post eller melding på en annen tilknyttet enhet som må bekreftes før innloggingen kan fullføres.
Dette betyr at selv om noen har brukernavnet og passordet, trenger man en ekstra bekreftelse fra eieren av kontoen før påloggingen kan gjøres.
De aller fleste kontotjenester tilbyr denne funksjonen. Stadig flere bedrifter går over til skylagring for filer og dokumenter som betyr at tilgang til sensitiv data kun er en innlogging unna. Denne veien inn blir vesentlig lenger med to-faktor autentisering.
I nyere operativsystem har Apple et stort fokus på sikkerhet og personvern. Om du allerede har aktivert to-faktorautentisering, kan du ikke deaktivere det og ved oppdatering av operativsystem blir du også oppfordret til å aktivere dette.
De to største leverandørene av skytjenester, Microsoft Office 355 og Googles G Suite, tilbyr to-faktor. Som et minimum bør dette aktiveres på alle ansattes kontoer.
Vær bevisst
To-faktor en liten del av helheten, men kritisk for å minimere risiko hos det svakeste ledd; sluttbrukeren. Dette må innføres som en del av en klar og tydelig IT-innstruks. Samtidig er det viktig at de ansatte forstår samspillet mellom de teknologiske verktøyene og risikoen de potensielt utsetter bedriften for.
Våre beste råd er å
– være bevisst på opplæring
– sørge for tydelighet og konsekventhet ved bruk av teknologi
– investere i gode systemer og oppsettet av disse