Data Theft

Af JOS Svendsen, 20. februar 2018

Dårlig it–sikkerhed kan true forretningen

Det er en rigtig god idé at have et øje på ens it-sikkerhed. Lukker man øjnene for denne trussel, kan man risikere at miste penge, tid, arbejde og ikke mindst anseelse. Heldigvis kan man med lidt omtanke sikre sig mod de cyberkriminelle.

Der er nogle, som mener, at den tredje verdenskrig er startet; den foregår bare ikke på en larmende slagmark med kanoner og granater, men i stedet i stille cyberspace. Her kommer der flere og flere, der ser en god forretning i digital kriminalitet. Og det er en kriminalitet, som er rettet både mod private, virksomheder og nationer. Det er nemlig nemmere – og billigere at destabilisere et lands infrastruktur, end det er at rasle med kanonerne. I den mindre skala er der cyberkriminalitet mod virksomheder. Der var engang, hvor det at blive hacket var en pinlig, men lidt uskadelige oplevelse, hvor skaderne var relativt små. Det kunne f.eks. være, at ens websted fik en ny forside, eller ens dokumenter blev slettet. Sådan er det ikke mere. Nu spænder cyberkriminaliteten langt videre - fra digital kriminalitet beregnet til at bringe ens virksomhed på knæene til hardcore industrispionage. Fra digital gidseltagning til identitetstyveri. Og der er langt mere cyberkriminel aktivitet end nogen sinde. Dagens trusselbilleder er sådan, at det ikke er et spørgsmål, om man bliver angrebet. Det er et spørgsmål om, hvornår man bliver det.

Tab af arbejde

Bliver man ramt af et cyberangreb, er der både direkte og indirekte omkostninger ved angrebet. De direkte kan være tab af vigtige filer, som er blevet slettet af en virus, eller krypteret, hvor man skal betale for at få dem dekrypteret. Det kan også være et såkaldt DOS-angreb (Denial of Servcie), hvor ens webserver bliver bevidst overbelastet. Det er surt, hvis man lever af online salg. I alle tilfælde bliver ens mulighed for drive ens forretning ramt. Det er så en ting, men der er også omkostninger ved at få skaderne udbedret. Er der tale om internet angreb, skal ens internetudbyder på banen, er der tale om en ramt computer eller lagringssystem, skal det retableres fra en backup. Begge dele koster tid og/eller penge. Og lige det kan være problematisk inden en deadline.

Tab af digital identitet

En af de ting, som cyberkriminelle går efter, er ens digitale identitet. Login-informationer, kreditkort-informationer og andre personlige data. Disse informationer kan sælges videre på nettet, eller de kan simpelthen misbruges. Bruger man f.eks. samme login og password på ens computer, som man bruger på online shops, ens websted og ens e-mail, er der rige muligheder for at tømme ens konto, lukke en ude fra ens websted eller andre ubehagelige ting. Her skal man være klar over, at hele ens interne netværk er en angrebszone. Er forsvaret nede bare et sted, er hele netværket i fare. Det gælder fra ens internet-router til enheder, som man normalt ikke forbinder med netværk. Mange kameraer har i dag WiFi, og bruger man samme brugernavn og password her, som på ens computer, tja så er vejen åben ind for en ihærdig cyberkriminel. Det lyder måske søgt, men har ens virksomhed digitale værdier i form af film eller video, som er i høj kurs på det sorte internetmarked, er man et mål.

Tab af prestige 

Den gamle myte om, at al omtale er god omtale, er noget vrøvl. Hvis man f.eks. mister en kopi af den nye Star Wars film, som man skulle undertekste, sådan at filmen er at finde overalt på nettet, er det helt sikkert ikke noget, som fremmer den fremtidige forretning. Og det er ikke noget, man kan holde hemmeligt. Dertil er branchen for lille. Den kommende EU-lovgivning specificerer endda, at alle tab af persondata skal meldes til myndighederne. Så manglende IT-sikkerhed kan ikke alene betyde kundeflugt, men også være decideret ulovligt.

Tab of Intellectual property

IP eller Intellectual Property er noget, som i dag kommer mere og mere i fokus for de cyberkriminelle. Her kommer ens business ind. Er man et lille produktionsselskab, der er specialiseret i salg af videoer om søfugle, er man ikke lige så interessant som det produktionsselskab, der ligger inde med episoderne af næste sæson af Game of Thrones.

Og tab af IP spænder videre end tyveri af værker. Det kunne for eksempel være, at man havde fået en super idé til en ny serie og havde synopsis liggende, man kunne have bygget computermodeller til animation, taget billeder af kendte skuespillere uden for meget tøj på til brug for design af kostumer og meget andet, som ikke er beregnet til at blive delt uden for ens fire vægge.

Kort sagt, der er massevis af årsager til at være opmærksom på IT-sikkerhed. Man kan sikre sig rimeligt godt ved nogle simple tiltag. Ordet ”rimeligt” betyder her, at man kan undgå de mest oplagte trusler, og det kan langt hen ad vejen være nok.

De simple midler til bedre IT-sikkerhed

Langt de fleste er bekendt med de helt elementære sikkerhedsforanstaltninger som anti-virus og firewalls, men det er rent mekaniske midler. Det er også et spørgsmål om at tænke sikkerhed, når man færdes både på det interne netværk og på nettet.

Vi har samlet nogle gode råd fra sikkerhedsmedierne, som kan mindske risikoen for skader fra de ondsindede cyber-kræfter.

Hold softwaren opdateret

Software skal hele tiden holdes opdateret for at kunne imødegå de sidste nye sikkerhedstrusler. Det gælder både styresystemer og appikationer. Mange angreb sker på systemer, der netop ikke er opdaterede. Derfor er der en rigtigt dårlig idé at sige nej, når ens computer foreslår en sikkerhedsopdatering. Bliver man ved med det, kan systemet til sidst bliver så sårbart, at man løber en stor sikkerhedsrisiko. Der kan være alle mulige årsager til at have ældre systemer på ens netværk. En af dem er ældre software, som måske ikke kan køre på den nyeste version af styresystemet. Her er Final Cut Pro 7 et eksempel. Denne software kan ikke køre på High Sierra-versionen af Apples styresystem. Så er mulighederne enten at skifte redigeringssoftware eller lade være at opdatere styresystemet. Set fra et sikkerhedssynspunkt er der kun den første løsning. En anden ting er, at software i routere og andre netværkskomponenter naturligvis også skal opdateres. Man skal tænke sikkerhed i hele netværket, så kig på alle enheder, der sidder på ens netværk og check på fabrikantens hjemmeside, om der er opdateringer.

Hold forretningssystemer isolerede

Her er filosofien, at det er svært at hacke noget, man ikke kan nå. Det vil sige, at man holder ens produktionssystem uden internet, med mindre det er strengt nødvendigt, som ved opdatering af software. Brugere og deres password, skal så være lokale for forretningssystemet, og ikke de samme som andre systemer. Der skal også være en streng politik for brug af eksterne media som USB-drev og eksterne harddiske. Der er ingen, der siger, at man skal kunne checke fodboldresultater eller mail fra samme computer, som man bruger til redigering. 

Sørg for at der er backup

Med fremkomsten af den såkaldte ransomware, hvor ens data krypteres af fremmede, og man skal betale for at få dem dekrypteret, er ens sikkerhedskopier blevet en vigtig del af ens forsvar. Har man en frisk sikkerhedskopi af de data, som er blevet highjacket, er skaden minimal, hvis man rammes af ransomware. Det gælder naturligvis for alle angreb på ens computer. Ofte er det ikke muligt at fjerne skadeligt software 100%. Det betyder, at det drejer sig om at formatere harddisken, installere styresystemet igen og rulle ens backup tilbage. Derfor drejer det sig om at have en backupstrategi for alle ens data, og ikke mindst en procedure for, hvordan man får reetableret ens data igen. 

Sørg for en passwordpolitik

Siden ingen ved 100%, om et password er blevet afsløret, skal de skiftes med jævne mellemrum. Det kan alle styresystemer klare. Det samme gælder for alle online services. Har man mange systemer og udnytter online services, kan det blive en noget komplicereret affære, da kravet er, at alle systemer har hvert sit stærke password. Det vil sige, at passwordet indeholder store og små bogstaver, tal og specialtegn. Det kan være besværligt at huske alle disse forskellige passwords. Man kan få programmer til dette. Lad i alle tilfælde være med at skrive passwords ned på en gul lap. Er man ikke til komplicerede passwords, kan man bruge biometrisk sikkerhed i form af fingeraftrykslæsere eller andre metoder, der giver et ekstra lag af sikkerhed.

Distribuer filer på sikker vis

Mediefolket distribuerer typisk store filer til hinanden. Det sker ofte via transportable diske eller USB-drev. Her kommer kryptering ind. Både diske og USB-drev kan krypteres – og det bør de være.

Skulle man få den idé at ville gøre det online, så pak filen eller filerne i en ZIP-fil med password. Det at putte mediefilen ind i en ZIP-fil, gør den ikke mindre, men giver en svag beskyttelse i form af passwordet. Når filen først er udpakket, er det naturligvis ligegyldigt med passwordet på zip-filen. Brug fortrinsvis filsende-services som WeTransfer - ikke online fildeling som Dropbox eller langt værre FTP, der er svagt rent sikkerhedsmæssigt. Ved online services kan der være svage passwords eller endnu værre samme password som andre services. Dermed kan de være en vej ind i ens systemer.

Konklusion 

IT-sikkerhed er både et spørgsmål om teknologi og en portion sund fornuft. Det drejer sig i høj grad om at tænke i at gøre livet så besværligt som muligt for de cyberkriminelle og samtidigt have et så sikkert system som muligt.

Naturligvis skal man have en aktiv firewall og antivirus på alle ens computere. Men IT-sikkerhed er lige så meget et spørgsmål om at have den rigtige indstilling og tænke i sikkerhed.

 

Artiklen er fra ProAV - December 2017

ProAV Digital

ProAV 7forside

Nyt nummer ude nu!

Læs bl.a. om:

  • Podcast til folket
  • Hurtigere redigering
  • Profox
  • Kort & Dokumentar
  • Det brede filmlook

Læs alt lige her

Annoncering

Få kontakt til en købestærk målgruppe i Danmarks eneste PRO AV magasin

Se mere her

Typisk ProAV læser

74,5% er meget tilfreds med det redaktionelle indhold

Se mere her