Gør dine medarbejdere til verdensmestre i IT-sikkerhed med landets sjoveste skuespillere og førende eksperter

Tailgating betyder, at en kriminel får adgang til en virksomhed ved at følge efter andre (gennem hoveddøren). Enten ved at snige sig ind eller ved at lade som om, at man er ansat, der har glemt sit adgangskort. Tailgating er et reelt problem i Danmark, og her er det ikke nok med gode sikkerhedsforanstaltninger – det er de ansatte, som bærer et stort ansvar for at beskytte virksomheden.

Der findes masser af gratis online tjenester, som kan være fristende at bruge i hverdagen. Når man anvender gratis online tjenester, skal man typisk uploade noget information, som tjenesten kan bearbejde. Her skal man være opmærksom på, at man ikke har styr på, hvor disse oplysninger ender.

Password handling er den måde, man håndterer sine passwords på. Det vil sige, hvordan man husker sine passwords, om man genbruger sine passwords, og om man deler dem med andre. Selv verdens stærkeste password er ikke meget værd, hvis ikke man håndterer det fornuftigt.

Hvis man ikke anvender stærke passwords, er risikoen for at andre f.eks. gætter dit password relativt stor. Der findes mange forskellige metoder til at gætte andres passwords, lige fra at prøve lister med kendte passwords til at anvende såkaldt brute force, hvor man i princippet bare gætter på tilfældige kombinationer, indtil man kommer ind.

Når man skriver ud, sker det, at man glemmer at hente sine udskrifter i printeren eller kopimaskinen. Hvis informationer ligger frit fremme, er de både nemme at tilgå, stjæle, kopiere m.v. for uvedkommende. Man skal derfor sikre sig, at også informationer i fysisk form beskyttes og bortskaffes på sikker vis.

USB-nøgler, eksterne harddiske, hukommelseskort m.v. kan indeholde store mængder data. Samtidig er de nemme af miste eller glemme – og det er derfor vigtigt, at man beskytter indholdet af disse medier, så f.eks. følsomme og/eller fortrolige oplysninger ikke kommer til uvedkommendes kendskab.

Shoulder surfing refererer til handlingen med at indhente personlige eller private oplysninger gennem direkte observation. Det involverer, som navnet indikerer, at kigge over en persons skulder for at indsamle relevant information. Shoulder Surfing kan være en særdeles effektiv måde at indsamle fortrolige oplysninger på, specielt i omgivelser med mange mennesker som f.eks. busser, toge m.v.

Snakker eller arbejder man med fortrolige oplysninger på sin PC på offentlige steder, risikerer man, at nogen kigger med over skulderen, og enten hører eller ser oplysninger som ellers var at betragte som fortrolige. Det kan både medføre tab af oplysninger, give input til andre typer af angreb, og principielt også være ulovligt, hvis der f.eks. er tale om oplysninger om fysiske personer.

Hvis man lader sin computer stå åben, kan alle andre udgive sig for at være dig – det er jo dig, der er logget ind, og evt. handlinger fra computeren vil derfor ske i dit navn. Hvis ikke man har forskellige brugerkonti, risikerer man at uvedkommende kan få adgang til informationerne på computeren. Derfor bør man altid låse computeren, når man forlader den.

I dag er vi afhængige af at være forbundne hele tiden. Det er derfor fristende at hoppe på et tilgængeligt Wifi-netværk, hvis man f.eks. sidder i lufthavnen. Men hvis man forbinder sig til et trådløst netværk, man ikke kender, risikerer man, at dem, der kontrollerer netværket, kan følge med i alt, hvad man foretager sig på nettet og opsnappe brugernavne og passwords.

Hvis man efterlader værdigenstande i bilen, frister man ofte svage sjæle. En ting er værdien af selve den fysiske genstand, der forsvinder, men man risikerer også både spildt arbejdstid, tab af informationer og data og i værste fald forretningshemmeligheder.

OneDrive, DropBox og Google Drive er alle online-tjenester, som i deres gratis versioner anvendes af private. Hvis virksomhedens data befinder sig på disse tjenester på private konti, er der risiko for, at virksomheden mister vigtige data, samt at virksomheden heller ikke har kontrol over, hvor og hvordan data deles via disse tjenester.

Malicious attachments er vedhæftninger, der er designet til at angribe den enhed, hvorpå de bliver åbnet. Mange kompromitteringer hos virksomheder, starter med en malicious attachment, der bliver åbnet. I nogle tilfælde vil det blot være denne enhed, der inficeres med malware, mens det andre gange giver de kriminelle mulighed for at tage kontrol over enheden og herfra angribe andre systemer.

Malicious websites er websites, der eksempelvis enten prøver at få installeret malware på besøgendes enheder eller narre dem til at indtaste sensitive informationer. Malicious websites bruges ofte som en del af et phishingangreb, hvor brugeren lokkes til at afgive informationer eller installere malware, der senere kan bruges til en mere omfattende kompromittering.

Social Engineering handler om gennem psykologisk manipulation at få et offer til at udføre en handling eller afsløre noget information, som vedkommende ellers ikke ville have gjort. Der kan være ved at udnytte, at mange mennesker er autoritetstro, deres frygt for negative konsekvenser eller deres hjælpsomhed. Det kan således bruges til at kompromittere en virksomhed, svindle eller samle information.

USB Key drop er en metode til at bryde ind på en pc ved at ”tabe” en usb-nøgle med skadelig software på f.eks. en parkeringsplads i håb om, at den person, som finder usb-nøglen, vælger at sætte den i sin pc. Det ligger i vores natur, at vi gerne vil være hjælpsomme. Derfor er det fristende at sætte en funden usb-nøgle i computeren for at se, om man kan identificere ejeren.

Ukorrekte links, er en betegnelse for links, som peger et andet sted hen, end det man umiddelbart tror. Ukorrekte links bruges ofte som en del af et phishingangreb, hvor brugeren lokkes til trykke på et link, som leder hen til en ondsindet side. Trykker man på linket, risikerer man f.eks. at blive offer for malware eller at blive franarret oplysninger.

Phishing er et udtryk man bruger om en ondsindet aktør, der prøver at narre oplysninger ud af en anden person ved at sende en mail. Spearphishing er en særlig variant, hvor angriberen ofte kender til afsenderen, og derfor er i stand til at gøre angrebet mere målrettet og troværdigt. Phishingangreb kan føre til tab af oplysninger, uønsket adgang til data og systemer og meget mere.

Datalæk er, når information bliver offentliggjort utilsigtet. I den digitaliserede verden er de fleste mennesker registreret rigtigt mange steder, og dermed er der potentielt meget information at hente om den enkelte (f.eks. på sociale medier). Datalæk med login-oplysninger kan også anvendes af angribere til at kompromittere virksomheder, hvis det samme password anvendes flere steder.

De fleste mennesker bruger de officielle app stores. Der er dog også brugere som vælger at installere applikationer uden om de officielle app-stores, fordi man f.eks. ønsker at installere et nyere styresystem på telefonen, end det leverandøren understøtter. Når man vælger at gøre det, er det forbundet med en væsentlig højere risiko for, at noget går galt, eller at telefonen har sårbarheder, som kan udnyttes.

HTTPS giver i sig selv ingen garanti for, at en given hjemmeside er sikker. Det HTTPS sikrer, er at kommunikationen mellem din enhed og hjemmesiden er krypteret, og derfor ikke så nemt kan opfanges af alle, men det betyder ikke, at indholdet på siden er sikkert. I dag anvendes HTTPS af langt de fleste hjemmesider – også dem som indeholder malware eller forsøger at narre de besøgende.

Ikke alle typer data og informationer skal behandles ens. Nogle oplysninger er mere fortrolige eller på anden måde kritiske end andre. Derfor skal forskellige typer af data og informationer også behandles ud fra den værdi, som de udgør for virksomheden. Det gælder både digitalt såvel som informationer i fysisk form f.eks. i form af udskrifter, kontrakter og fakturaer, som ligger på skriveborde.

Der opdages nye sårbarheder i operativsystemer og programmer hver eneste dag. Ofte er det disse sårbarheder, som gør at f.eks. ransomware kan komme ind på en PC. Det er derfor vigtigt, at man sørger for at holde både sit operativsystem og sine programmer opdateret – både på computerne, tablets og mobiltelefoner.

Hvis der sker en uønsket hændelse, enten pga. fejl eller fordi man f.eks. er under angreb, er det vigtigt, at man rapporterer hændelsen til de rette personer, så man kan agere hurtigt og forsøge at minimere skaden. Rapporterer man ikke hændelser og/eller sårbarheder, risikerer man, at skaden bliver meget større, eller at en uønsket hændelse sker fremover.