Håndbog i IT-sikkerhed

Transkript

1 Håndbog i IT-sikkerhed

2 Håndbog i IT-sikkerhed Inventio.IT A/S 2016 Forfatter: Mads Kristensen - IT Chef

3 Indhold Introduktion 5 Gode råd omkring et sikkert IT miljø 7 Anbefalinger til en stærk adgangskode 12 Brug af internet og i virksomheden 15 Korrekt brug af infrastruktur 19 Ordbog 21 Noter 25 Hvem er Inventio.IT A/S 27

4 Virksomheder bruger millioner af dollars på firewalls, kryptering og sikre adgangs enheder, og det er spild af penge, fordi ingen af disse foranstaltninger sikrer det svageste led i IT-sikkerheden. - Kevin Mitnick, berømt hacker

5 Introduktion Formålet med denne bog er, at skabe opmærksomhed om IT-sikkerhed, og hvorfor det er vigtigt for din virksomhed. Sikkerhedstrusler mod danske virksomheder har aldrig været større. Der opleves stadig flere og flere angreb på virksomheders IT-systemer og data. IT-sikkerhed er i høj grad afhængig af, at alle medarbejdere i virksomheden er bevidste om brugen af IT. Medarbejdere der udviser rettidig omhu og har en naturlig skepsis, er en stor fordel for virksomheden. Vi håber, at denne bog giver anledning til diskussioner, og virksomheden udarbejder en IT-politik, som har til formål at højne sikkerheden. God læselyst. Inventio.IT A/S Bemærkninger: Inventio.IT s anbefalinger til IT-sikkerhed er baseret på egne erfaringer, best practice og anbefalinger fra Center for Cybersikkerhed. Ord efterfuldt af * angiver yderligere forklaring i Ordbogen på side 21.

6 Mennesker repræsenterer det svageste led i IT-sikkerhed og er ofte ansvarlig for svigt i sikkerhedssystemer. - Bruce Schneier, krypterings ekspert

7 Gode råd omkring et sikkert IT miljø Følgende afsnit indeholder IT-sikkerhedsråd, som skal styrke sikkerheden i virksomheden. Desværre kan du ikke gardere dig 100% mod angreb, men med disse anbefalinger kan du forhindre mange. Har du mistanke om, at du er blevet hacket? Kontakt omgående den IT-ansvarlige i din virksomhed. Flere sikkerhedsforanstaltninger giver højere sikkerhed Ledelsen skal skabe opmærksomhed om brugen af IT-sikkerhed*. Udarbejd en IT-sikkerhedspolitik* for virksomheden (maks. 2-3 sider). Uddan og hold medarbejdere opdateret i virksomhedens IT politik. Opdatér Windows regelmæssigt. Opdatér regelmæssigt computerprogrammer, såsom Adobe, Java* og Flash. Udfør regelmæssigt kontrol af sikkerhedskopiering. En stærk adgangskode beskytter din computer Opret en stærk adgangskode på minimum 8 tegn (læs mere i afsnittet på side 12). Adgangskoden må ikke indeholde personlige oplysninger, såsom firmanavn, brugernavn, navne på familiemedlemmer, steder, kæledyr, fødselsdage, adresser, hobbyer, osv., da disse er lette at gætte. 7

8 Sikkerhed ved brugen af din computer Opsæt flere brugerbegrænsninger på din computer, da det giver højere sikkerhed. Lås skærmen, log af, eller sluk computeren, når den ikke bruges. Kryptér data på din bærbare og mobile enhed. Gemmer du adgangskoder elektronisk, skal de være krypteret. Skift adgangskode, hvis du har mistanke om misbrug. Skriv ikke dine adgangskoder ned på papir. Vær forsigtig med fortrolig og personfølsom data Gem filer eller databaser på virksomhedens netværksdrev, da de her bliver sikkerhedskopieret. Udfør regelmæssigt backup* af din data. Udvis forsigtighed, når du arbejder med fortrolig og personfølsom data. Gem og del ikke fortrolig eller personfølsom data på USB-drev, eller på en gratis webtjeneste til fildeling. 8

9 Udvis forsigtighed og kritisk sans, når du surfer på internettet Vær opmærksom på, at din adfærd, og de oplysninger, du skriver på internettet, kan være letlæselige for andre, medmindre de er blevet krypteret. Undlad at downloade eller åbne/installere filer fra kilder, du ikke har tillid til. Åbn ikke mistænksomme s med vedhæftede filer. Klik ikke på links i s fra en afsender, som du ikke har tillid til (indtast i stedet links manuelt på afsenderens hjemmeside). Din adgangskode og dit bruger-id er personligt, og skal ikke deles med andre. Vær opmærksom og udfør kontrol, hvis du bliver bedt om at overføre penge Hvis en person, som du har tillid til (f.eks. en kollega eller chef), beder dig om via at overføre penge, skal du være ekstra opmærksom. Der kan være tale om svindel (kaldet CEO Fraud*). Acceptér aldrig overførelse af penge via , uden at have talt med personen først. Ring og få verificeret indholdet i en. Indfør regel om, at to eller flere i virksomheden skal godkende pengeoverførsler. 9

10 Sådan beskytter du din computer mod virus og malware Opdatér din computer regelmæssigt. Installér et anerkendt antivirus og antimalware program*, og husk regelmæssig opdatering. Vær selektiv omkring, hvilke vedhæftede filer du åbner. Aktivér firewall* på din computer. Hackere kan bryde igennem en ikke-opdateret firewall. Hold derfor din firewall regelmæssigt opdateret. Hold varsomt øje med dine computerenheder Lad ikke din computer stå på et ulåst eller ikke-overvåget kontor natten over. Efterlad ikke din computer, tablet eller smartphone uden opsyn. Lån ikke din computer, tablet eller smartphone til fremmede personer. Print ikke fortrolige dokumenter på en ikke-overvåget printer. Send ikke fortroligt materiale videre til andre udenfor virksomheden, medmindre det er godkendt af ledelsen. Hvis du mister fortroligt materiale, kontakt omgående den IT-ansvarlige i din virksomhed. For at sikre tilgængeligheden af dine data, skal du gemme data på ét af virksomhedens drev, der er inkluderet i en fungerende backup, som jævnligt kontrolleres. 10

11 Backup er vigtigt For de fleste virksomheder kan det have fatale konsekvenser at miste data. Derfor er det vigtigt regelmæssigt at foretage backup. Backup af data kan være en bekostelig og tidskrævende affære. Derfor anbefales det, at inden du udarbejder en backup-strategi, stil dig selv spørgsmålene; Hvad har virksomheden råd til at miste? Hvor længe kan virksomheden være uden data? En backup-strategi kan indeholde Beslut, hvilke data der skal tages backup af. Beslut, hvor ofte der skal tages backup. Kontroller regelmæssigt at backuppen virker. Implementér backup*. Det er en god idé, at udarbejde en business continuity plan* eller en disaster recovery plan*. Planen skal beskrive, hvordan virksomheden skal reagere i tilfælde af ingen eller begrænset adgang til data. 11

12 Anbefalinger til en stærk adgangskode Gennemgå nedenstående anbefalinger, inden du opretter din adgangskode Skal indeholde mindst 8 karakterer. Ændres efter 180 dage. Udskift nogle bogstaver med tegn eller tal. F.eks. erstat a S med $, I med! og o med 0 (nul). Bland store og små bogstaver. Brug gerne ikke alfabetiske karakterer, såsom (, : ; * % &! $ ). Brug ikke en adgangskode der er nem at gætte, som f.eks. navne på børn, ægtefælde eller hund. Vælg ikke ord fra ordbogen. Brug ikke din fødselsdato eller andre offentlig tilgængelige informationer. Password123 har 11 tegn, med store og små bogstaver og tal. Problemet med Password123 er, at det ikke opfylder kompleksiteten til en stærk adgangskode. Brug derfor i stedet: P@$$w0rd!23. 12

13 Vigtigheden af komplekse adgangskoder Når mindre komplekse adgangskoder anvendes, er det nemmere for hackere* at knække koden ved eks. password cracking*. Manglende kompleksitet, og svag eller ingen password lockout*, gør det muligt at gætte en adgangskode (Password Guessing*). Password guessing betyder, at en hacker forsøger at få adgang til kontoen, ved at afprøve forskellige slags password. Hackeren forsøger at bruge de mest anvendte og sandsynlige adgangskoder, men kan også bruge et værktøj der kaldes dictionary attack*. 13

14 Din adgangskode og dit brugernavn er personligt, del det ikke med andre Alle brugere - f.eks. medarbejdere samt interne og eksterne personer - der har adgang til virksomhedens data, er ansvarlig for deres eget brugernavn og adgangskode. Det er personligt, og må ikke deles med andre. Ligeledes må du ikke give tilladelse til, at andre benytter dit login. Derudover må du ikke bruge andres login og adgangskode, for at tilegne dig adgang til virksomhedens data. Derfor skal du holde dit bruger-id og din adgangskode hemmelig Hvis adgangskoder deles mellem to eller flere brugere, kan de aktiviteter, der udføres med dette bruger-id ikke spores. Ingen kan derfor holdes ansvarlig for tab eller ulovligheder. Hvis der med et delt brugernavn og adgangskode udføres ulovligheder mod virksomhedens data, er det vanskeligt at fastslå, hvem der har begået ulovlighederne. 14

15 Brug af internet og i virksomheden Når du bruger internettet fra virksomhedens netværk, repræsenterer du virksomheden, da elektronisk kommunikation efterlader spor (cookies*). Det er vigtigt at din adfærd på internettet følger virksomhedens retningslinjer. Hvis du modtager pop-up vinduer fra hjemmesider, chatbeskeder, eller andre anmodninger om bruger-id og adgangskode, bør du være særlig opmærksom. Det kan være et forsøg på, at få adgang til dit system. Kontakt øjeblikkeligt den IT-ansvarlige i din virksomhed, hvis det sker. Kig efter HTTPS i URL en eller en lille lås i højre hjørne af din browser. Det indikerer, at de oplysninger du sender via din browser* er krypteret. Vær opmærksom på, hvad du downloader Vær påpasselig med, hvilke eksekverbare filer eller programfiler du henter fra internettet. Undtagen hvis ansøgningen er fra en kendt og pålidelig kilde, samt den digitale signatur* er blevet kontrolleret uden problemer. Installér kun software fra producenter og leverandører du har tillid til. Køb eventuel et filter, der kontrollerer links og downloads inden de installeres. 15

16 Download eller opbevaring af spil, musik eller lignende indhold, der ikke er korrekt licenseret, eller materiale der er beskyttet af ophavsret, er ikke tilladt. Brug ikke peer-to-peer-klient-software*, såsom bittorrent*, da den type software kan være en skjult adgang for hackere. Udvis forsigtighed ved brugen af Vi kommunikerer i stigende grad via . bør betragtes som et åbent postkort, der let kan læses af alle der håndterer en fra afsender til modtager. Der er stor risici for at hackere kan opsnappe informationer under forsendelsen. Du kan beskytte din ved at sikre den med en kryptering. Det svarer til at sende, dit før omtalte postkort, i en forseglet kuvert. en kan ikke læses før den endelige modtager åbner kuverten. Vær opmærksom, når du modtager s med vedhæftede filer og links. Vær opmærksom på, at virus også kan komme fra en ven eller familiemedlem. Tjek om mailen indeholder åbenlyse stavefejl, forkert tekst eller korte sætninger, såsom Attention!! eller Du har uforløst pakken i selve meddelelsen. Det kan være indikator for virus. Udvis forsigtighed, når du udleverer din . Du kan risikere SPAM*. Videresend ikke private eller personlige s til din virksomhed . 16

17 Sådan kan du undgå Ransomwareangreb Der opleves i stigende grad angreb af Ransomware mod virksomheder. Ransomware er et ondsindet program, der ofte ukritisk installeres af brugeren. Enten ved at brugeren klikker på et link eller en vedhæftet fil i en . Hackeren kan ved hjælp af programmet, kryptere brugerens filer og net værksdrev. Brugerne skal ofte betale en løsesum, hvis de vil have adgangen til deres filer tilbage. Har man ikke en velfungerende backup, kan alle filer være tabt for evigt. Vær opmærksom og udvis forsigtighed, inden du klikker på et link eller åbner filer i en mail, også selvom du har tiltro til afsenderen. Kopiér i stedet linket og indsæt i din browser. Acceptér aldrig pop-op vinduer, der beder dig downloade eller installere programmer. 17

18 Social Engineering Denne form for angreb bruges til at tvinge sig adgang til virksomhedens data. Hackeren manipulerer brugeren på forskellig vis, for at opnå brugerens tillid. Det giver hackeren adgang til følsomme informationer, som eksempelvis kan afsløre adgangskoden. Hackerangrebet foregår ofte i flere etaper, og bygger på brugerens tillid. Angrebet kan foregå enten elektronisk eller via telefonopkald fra hackeren. Et phising-angreb* er en teknik, hvor der sendes en falsk med et link til en falsk hjemmeside, og brugeren snydes til at videregive fortrolige oplysninger. Det er vigtigt, at du ikke accepterer nogen former for hjælp, medmindre du selv har bedt om det. Acceptér aldrig tilbud om gratis rådgivning, besvar ikke spørgeskemaer eller undersøgelser fra upålidelige kilder. Brug ikke gratis sikkerhedsprogrammer, medmindre den specifikke leverandør er godkendt af den IT-ansvarlige i din virksomhed. 18

19 Korrekt brug af infrastruktur Anbefalinger til brug af internettet Brugernes måde at benytte internettet, er afgørende for sikkerheden. En uhensigtsmæssig anvendelse af internettet, kan skabe potentielt risiko for hele virksomheden, og medfører betydelige omkostninger. Problemer med sikkerheden kan opstå, når en bruger bevidst eller ubevidst benytter ulovlige, offensive, farlige eller ikke forretningsrelaterede internetsider og programmer. Samtidig kan en manglende IT-politik i virksomheden også være årsagen til sikkerhedsproblemer. Derfor er det vigtigt, at ledelsen præsenterer en IT-politik, således at alle brugerne kender retningslinjerne. Retningslinjer for brug af Wi-Fi Mange virksomheder tilbyder medarbejdere og kunder adgang til internettet gennem en trådløs (Wi-Fi*) løsning. Vi anbefaler, at virksomheden følger nedenstående retningslinjer for brug af trådløst netværk på arbejdspladsen. Aktivér en kode på det trådløse netværk. Koden skal ofte udskiftes. Sørg for, at virksomhedens access point* opdateres regelmæssigt. Udvis sund fornuft, ved brug af offentligt og gratis trådløst netværk. På offentligt netværk: Undgå at bruge websider der kræver personlige eller økonomiske oplysninger. 19

20 Offentlige og gratis trådløse netværk, såsom på caféer, biblioteker, lufthavne og hoteller, er praktiske på farten, men ofte ikke sikrer. Hvis du opretter forbindelse til et trådløst netværk, og sender oplysninger via hjemmesider eller mobile apps, kan det muligvis tilgås af andre. Derfor anbefales det, at du tilgår fortrolig data gennem virksomhedens VPN* forbindelse. Brug kun din computer til forretningsrelaterede opgaver Computere, computernetværk og relaterede ressourcer er virksomhedens ejendom og bør derfor kun anvendes i forbindelsen med dit arbejde. Software og programmer, der ikke er forretningsrelateret, bør ikke installeres på virksomhedens computere. og anden elektronisk kommunikation, bør udelukkende bruges til forretningsrelaterede arbejdsopgaver og ikke personlige anliggender. Sociale medier For en mest fordelagtig og sikker kommunikation på de sociale medier, anbefales det, at skrive i virksomhedens IT-politik, hvordan du ønsker der skal kommunikeres. Således at virksomheden ikke udsættes for unødvendige trusler. 20

21 Ordbog backup - Backup strategi om at have mindst 3 kopier af virksomhedens data. 2 kopier på forskellige medier, f.eks. netværksharddisk og sever, og en 3. kopi på en ekstern lokation. Access point - Trådløs forbindelse mellem et netværk og dets enheder. Antivirus program - Program der sikrer en PC mod virus. Backup - Kopi af data. Kopien er lavet for at kunne genskabe data, hvis de originale data skulle gå tabt. Bittorrent - Program hvor brugere kan dele filer og programmer. Business continuity plan - Procedurebeskrivelse der sikrer at virksomheden kan fortsætte sine aktiviteter i tilfælde af trusler eller nedbrud. Browser - Program til visning af hjemmesider. F.eks. Internet Explorer og Google Chrome. CEO Fraud - Svindel hvor en person udgiver sig for at være virksomhedens topchef, og beder om en pengeoverførsel. 21

22 Cookie - Simpel tekstfil den gør det muligt at genkende brugerens computer og samle information om, hvilke sider og funktioner, der benyttes. Dictionary attack - Hacker bruger ord fra en ordbog til at bryde en adgangskode. Digital signatur - Elektronisk underskrift, der sikrer korrekt identifikation af brugeren. Disaster recovery plan - Beskrevet procedure om, hvorledes virksomheden skal reagere og genetablere deres IT i tilfælde af mistet eller ændret adgang til en eller flere IT ressourcer. Firewall - Adskiller virksomhedens netværk med internettet, og sikrer den kommunikation og data der sendes på netværket. Hacker - Person der finder og udnytter svagheder i sikkerheden i et computersystem eller i et computernetværk. IT-sikkerhed/IT security - Beskytter IT-systemer mod uautoriseret adgang eller utilsigtet ændring af data. IT-sikkerhedspolitik/IT security - Beskriver virksomhedens retningslinjer og procedure for IT-sikkerhed. 22

23 Java-program - Platform uafhængigt computer-sprog, der bruges til at afvikle programmer og hjemmesider. Malware - Fællesbetegnelse for ondsindet program, hvis formål er at gøre skadelige eller uønsket ting på computer eller netværk. Password cracking - Processen med at gætte eller genvinde en adgangskode på en uautoriseret måde, f.eks. ved at bruge hacker-værktøj. Password guessing - Tvinge sig adgang til en konto ved at afprøve forskellige adgangskoder. Password lockout - Ved forkert adgangskode, f.eks 5 gang i træk, låses computerens konto automatisk. Peer-to-peer-klient-software - Software til download af film, musik og programmer. Oftest fra ulovlige kilder. Phishing-angreb - Svindler forsøger at franarre godtroende internetbrugere fortrolige oplysninger ved at sende s eller oprette falske internetsider. Ransomware - Digital form for gidseltagning. Hackeren krypterer brugernes filer og dokumenter, så de ikke kan tilgås. Hackerne kræver løsepenge for at frigive dem. 23

24 Social Engineering - Forsøg på at manipulere brugeren til at videregive fortrolige oplysninger, f.eks. betalingskort- eller bank oplysninger. Typisk sker det via telefon. SPAM - Betegnelse for uønskede reklamer, der sendes via mail eller i nyhedsgrupper. Spyware - Program der usynligt installerer sig på brugerens computer med det formål, at samle informationer og spore aktiviteter. VPN - Betyder Virtuel Privat Netwærk. Forbindelse der typisk oprettes over internettet, så man kan arbejde på farten, og tilgå virksomhedens netværk på en sikker og krypteret forbindelse. WiFi - Teknologi der bruges til at lave et trådløst netværk. 24

25 Noter 25

26

27 Hvem er Inventio.IT A/S Inventio.IT A/S er grundlagt i 2001, og er en sund dansk virksomhed med stabil vækst og overskud. Vi er IT-totalleverandør, og installerer, implementerer og varetager drift af IT-løsninger. Vores force er især ERP-løsninger, Hosting og IT, men vi udvikler også skræddersyede løsninger til kunder, som har behov for det. Tryghed og tillid er nøgleord, når man skal vælge samarbejdspartner, derfor lægger vi hos Inventio.IT vægt på at have en organisation, hvor alle medarbejdere er kompetente, erfarne, troværdige og med stort engagement i hver enkel kunde. Vi er godt 80 medarbejdere, og med vores afdelinger på Sjælland, Fyn og Jylland dækker vi hele landet. Vi fokuserer på små og mellemstore virksomheder, her gør vi bedst brug af alle vores kompetencer. Vi servicerer også vores internationale kunders datter- og søsterselskaber i resten af verdenen. 27

28

29 Kompetencer ERP-systemer IT- og sikkerhedsløsninger Hosting Microsoft Dynamics C5 Microsoft Dynamics NAV Microsoft Dynamics CRM Installation, drift og opdateringer Specielle tilpasninger Egen udviklede ekstramoduler Brancheløsninger Kurser og workshops Support og hotline Salg af hardware og software Installation og service af server Installation og service af PC er IT-infrastruktur Outsourcing Office 365 Sikker Firewall, Server, VPN Citrix løsninger Hosted Desktop Hosted Exchange Komplet Hosted IT-løsning Hosted Microsoft Dynamics C5 Hosted Microsoft Dynamics NAV C5online NAVonline Online Backup 29

30

31

32 Inventio.IT A/S 2016