Totrinnskontroll, tofaktor, 2-faktor-autentisering, 2FA, flerfaktor-autentisering og så videre. Hva du kaller det er ikke så viktig. Det som er viktig er at du bruker det.
– Vi snakker om å kontrollere tilgangen til dataene våre ved å legge på et ekstra lag med sikkerhet i tillegg til brukernavn og passord, sier CISO Steinar Opdahl hos Serit i Alta.
Sosial manipulering er tema for Nasjonal sikkerhetsmåned. Dette har blitt en vanlig metode for svindel, kapring av konto og uautorisert tilgang til bedrifters digitale systemer. Målet er å manipulere noen til å gjøre spesifikke handlinger eller avsløre informasjon som angriperne kan misbruke.
– Det er en selvfølge for oss å bruke bank-ID for sikker identifisering og signering på nett. Det bør det også være når det kommer til bruk av tofaktor, sier CISO Steinar Opdahl på Serit-gruppens kontor i Alta.
Tofaktor = lag på lag med sikkerhet
I Serit-gruppen snakkes det ikke om datasikkerhet uten at det snakkes om grunnleggende tiltak som sterke passord og totrinnsverifisering. En fersk undersøkelse fra Norsis viser at kun halvparten av oss bruker totrinnspålogging.
– Mange vet for eksempel ikke at Microsoft 365 tilbyr en egen tofaktorløsning, alt avhengig av type abonnement og oppsett. For Microsoft 365-kunder betyr det i utgangspunktet at administrator internt i bedriften må aktivere tjenesten før de kan logge seg på Microsoft sine skytjenester med godkjenning via totrinnskontroll. For kunder som ikke har en administrator internt, vil det være aktuelt å bestille dette fra oss sånn at vi kan aktivere tjenesten for dem. Når tofaktor (MFA) for Microsoft 365 er aktivert, er det enkleste i ettertid å bruke Microsoft Authentication Smart Phone-appen for å verifisere seg. Vi hjelper selvsagt til med konfigureringen hvis kunden ønsker det. Når det kommer til vårt kontor i Alta, så kan jeg nevne at vi har vi to datasentre. Kunder som har tjenester i datasentrene våre, er pålagt å bruke tofaktor.
30 % vet de tar sjanser med høy risiko
Ok, så totrinnsfaktor og sterke passord er et must. Men hva med adferden vår? Ifølge Norsis undersøkelse svarer 30 % av nordmenn at de tar sjanser på nettet som de vet er risikable. Dette er en økning på 13 % siden 2020. Menn i alderen 18-34 skiller seg ut, med hele 47 % som sier de tar sjanser som de vet innebærer risiko.
– Dataangrep mot bedrifter har blitt lønnsom virksomhet for hackerne. Det bør bekymre bedriftene mer, og det samme bør tallene fra Norsis. Ofte er de ansatte veien inn til bedriftens systemer. Før var hackerne folk som var gode på data og programmering. Nå skjer mye av hackingen ved hjelp av automatiserte programmer som gjør det mye lettere å ta seg inn på folks personlige kontoer, eller få tak i data som kan ramme virksomheter hardt, sier Opdahl.
Så mange som 1 av 4 nordmenn sier i samme undersøkelse at de sjelden eller aldri sjekker lenker og vedlegg de åpner. Det kan bety at mange ikke har kunnskap til å vurdere potensielt utrygge lenker, eller at de ikke forstår risikoen de i verste fall utsetter seg selv eller bedriften for.
– I tillegg til tofaktor og sterke passord, er opplæring og jevnlige oppdateringer av enheter viktige sikkerhetstiltak. Det samme er back-up. Og sunn skepsis. Alle kan bli lurt, særlig med tanke på at det er blitt vanlig at nettkriminelle sender e-post som ser ut til å komme fra en legitim avsender. Skulle man være uheldig å trykke på skumle lenker, så er det viktig at man ikke holder det hemmelig; si det til teknisk ansvarlig eller ledelse.
– Ta i bruk riktig DMARC-nivå!
Til slutt vil han nevne et annet viktig tiltak; implementering av anbefalt DMARC-nivå (Domain based Message Authentication, Reporting and Conformance).
– DMARC er en autentiseringsmetode som bruker SPF og DKIM for å verifisere at e-posten faktisk er sendt av eier av domenet. Vi skal ikke bli for tekniske, men enkelt forklart er poenget at mottaker kan forsikre seg om at en e-post faktisk kommer fra deg, og ikke fra en forfalsket avsender som «ser ut som deg». Typisk for slike e-poster er at de ser veldig ekte ut og avsender vil ha deg til å gjøre en eller annen aktiv handling; svare på meldingen, klikke på en lenke, oppdatere kontoopplysninger eller betale et pengebeløp. Det gjelder å være på vakt, og det er fullt mulig å beskytte e-post mot såkalt spoofing.
Vil du vite mer om våre sikkerhetsløsninger?
Vi har solid kompetanse på datasikkerhet for din bedrift. Kontakt oss for en uforpliktende prat!