Cyberbrottsligheten mot samhällsviktig infrastruktur fortsätter att öka. Enligt Stöldskyddsföreningen ökade antalet dataintrång med skadlig kod i utpressningssyfte med 117 procent i november 2022 jämfört med samma månad året innan. Ingen går säker, men det finns saker du kan göra för att förhindra att information hamnar i fel händer.
1. Använd en lösenordshanterare
Statistiken talar sitt tydliga språk; 92 procent av oss vet att vi inte ska återanvända lösenord – 65 procent gör det ändå. Därför är det inte så konstigt att dåliga lösenord fortfarande är en stor sårbarhet för många myndigheter och kommuner. Lösningen? Använd en lösenordshanterare och single-sign-on. Då slipper ni komma ihåg en massa lösenord och krångla med att återställa bortglömda lösenord. Men! Det krävs ett komplext lösenord till ditt “huvudlösenord”. Tänk även på att de konton som är kopplade till single-sign-on och lösenordshanteraren bör ha multifaktor-autentisering, det vill säga att användaren identifierar sig i flera steg, till exempel via sms eller en app. Då blir din verksamhet mindre sårbar om ett lösenord skulle användas någon annanstans (vilket inte är osannolikt med tanke på statistiken ovan). Hackare testar ständigt tusentals vanliga lösenord, och ett lösenord kan enkelt knäckas genom datorkraften i en vanlig laptop. Säkerställ att ni har en bra policy kring lösenord, utbilda medarbetarna och använd inte samma lösenord på flera ställen.
2. Var vaksam på länkar!
Majoriteten av skadlig programvara kommer via e-post och så kallat nätfiske. Syftet är att få dig att klicka på en länk eller ladda ner en fil för att på så vis ge hackare möjlighet att installera skadlig programvara på ditt nätverk. Ofta ser mailet ut som om det kommer från ett företag du litar på, alternativt en kollega eller vän. Spearfishing är en form av nätfiske där hackaren riktar in sig på individer med ett budskap som känns personligt. Via nätfiske riskerar du att bli inlurad på en webbsida som ser trovärdig ut, du anger dina inloggningsuppgifter och ger på så vis hotaktörerna tillgång till ditt användarnamn och lösenord. Här gäller det att vara på sin vakt. Vid minsta tveksamhet – fråga personen som mailet kommer från och logga aldrig in från en sida du nått via en länk. Du kan alltid välja att gå in på företaget via webbläsaren och kontrollera uppgifterna där. Multifaktor-autentisering motverkar följdeffekter om du skulle råka klicka på en nätfiske-länk. En lösenordshanterare känner igen vilken sida du är på och kommer inte att föreslå ditt lösenord på en icke godkänd sida.
3. Se över behörighetsstrukturen
Har du koll på vem som har tillgång till vad inom organisationen? De funktioner som använder ett konto, oavsett om de är mänskliga eller maskiner, ska endast ha tillgång till det som behövs. Säkerheten ska vara uppbyggd som en lök, i flera lager, för att minska skadan om någon tar sig igenom skalet. Inlogg till konton i den dagliga verksamheten ska vara personlig och hanteras via en lösenordshanterare. Se upp för admin-konton som flera personer på avdelningen använder samma lösenord till, exempelvis ett databaskonto eller en mjukvara. Den typen av icke-personliga konton är dåligt utifrån ett säkerhetsperspektiv.
Sist men inte minst…
Glöm inte utbildning. En organisation är aldrig starkare än dess svagaste länk. Den mänskliga faktorn är ofta orsaken till en incident – medveten eller omedveten. Därför är det viktigt att informera om risker, upprepa viktiga säkerhetsåtgärder och utbilda medarbetarna regelbundet. Transparens, vaksamhet och systematiskt kvalitetsarbete är A och O.
Vill du veta hur vi på Visma PubliTech jobbar med säkerhet? Här berättar vi mer om varför vi alltid sätter säkerheten först.