Medbring dine egne enheder (BYOD)/Usikrede personlige enheder
Kombinationen af fjernarbejde og det øgede behov for onlinekommunikation og fildeling har betydet, at grænserne mellem private og professionelle enheder er blevet mere og mere udviskede. En almindelig løsning er at implementere en BYOD (Bring Your Own Device)-politik, som tillader brug af personlige enheder, så længe de har tilstrækkelig sikkerhedssoftware, og medarbejderne følger virksomhedens politikker om adgangskoder og fysisk sikkerhed.
BYOD skaber desværre betydelige risici og overholder normalt ikke bedste praksis, f.eks. ved at oprette forbindelse til usikrede Wi-Fi-forbindelser eller undlade at installere sikkerhedsopdateringer, hvilket kan skabe sårbarheder, der er modne til at blive udnyttet. Disse sårbarheder kan også skabe risici for din personlige cybersikkerhed samt for din arbejdsplads eller virksomhed.
Personale (phishing/social engineering)
Uanset hvor dine medarbejdere arbejder fra, er menneskelige fejl stadig en almindelig årsag til databrud. Derfor er medarbejderne en af de mest udsatte indgangsporte for et angreb. Det kan komme i form af phishing eller social engineering for at narre brugere til at klikke på et skadeligt link eller dele følsomme oplysninger.
Den største fare her er, at personen sandsynligvis ikke er klar over, at de er blevet manipuleret med, hvilket giver ransomware eller anden malware tid til at sprede sig over netværket.
Medarbejderne bør trænes i at identificere mistænkelig aktivitet, og hvordan man hurtigt rapporterer det. Desuden bør de kun bruge enheder, der har antivirus og anti-malware installeret til at scanne for og forhindre uautoriserede app-installationer og andre trusler, så de kan opdage problemer, der ellers kunne blive overset.
Websteder
Hackere ser hjemmesider som en vej med omfattende data ind i en virksomheds netværk. Når først en virksomheds websted er blevet hacket, kan malware blive distribueret, eller data kan blive stjålet og brugt til social engineering. Mens store websteder normalt er højt profilerede mål, bør man i mindre virksomheder ikke antage, at deres data ikke er værdifulde nok til at blive angrebet.
En angrebsmetode er Distributed Denial of Service (DDoS), som genererer en voldsom mængde trafik for at forstyrre et websteds ydeevne.
SQL Injection-angreb indsætter skadelige koder på dit websted, som kan omgå sikkerheden og gøre det lettere at stjæle data, herunder login- og betalingsoplysninger, og omdirigerer brugerne til en falsk version af webstedet. Med så mange forskellige motiver er beskyttelse afgørende for dit websted. Ud over uddannelse og firewalls bør der være strenge adgangskontrolpolitikker for at sikre, at kun de, der aktivt har brug for adgang, kan foretage ændringer. Test af indtrængen bør bruges til at simulere et cyberangreb og hjælpe dig med at evaluere netværkets ydeevne og identificere sårbarheder.
Internet of Things
Stigningen af nye enheder i vores dagligdag har været dramatisk. Fra stemmestyring i højttalere til printere, dørklokker, kameraer og termostater prioriteres brugervenlighed ofte over sikkerhed. Det kan gøre Internet of Things (IoT)-enheder til et mål for angribere, der vil udspionere dig. Hvis en enhed bliver hacket, kan det give cyberkriminelle mulighed for at tage kontrol over andre IoT-enheder, der er forbundet til det samme netværk.
Adgangskoder
Adgangskodesikkerhed er en meget almindelig, og altid anbefalet, praksis til at forhindre databrud. Men det undermineres ofte af komplicerede krav. Når medarbejderne arbejder, vil de gerne kunne logge ind hurtigt og arbejde på deres projekter i stedet for at skulle nulstille og ændre adgangskoder, der er svære at huske. Derfor er dårlige vaner som at oprette svage adgangskoder (korte, nemme at huske), dele adgangskoder samt at skrive dem ned på papir stadig udbredte.
Uddannelse vil hjælpe med at øge bevidstheden, men i dette tilfælde er der brug for praktiske løsninger for at give en bedre balance mellem sikkerhed og brugervenlighed.
Adgangskodestyring er en fremragende løsning på problemet med "for mange adgangskoder". Adgangskoders styrke kan kontrolleres, adgang kan deles sikkert, og nye adgangskoder kan genereres automatisk for at fremskynde loginprocessen og holde konti sikre. Desuden skal brugeren kun huske ét password – nemlig det til adgangskodestyring.
Man bør bruge Multifaktorgodkendelse sammen med stærke adgangskoder, hvor det er muligt, for at verificere brugerens identitet gennem deres enhed, lokation eller biometri sammen med deres adgangskode.
Øget brug af cloud og onlineværktøjer
Cloudlagring og cloudbaserede værktøjer giver mange fordele for forretningsbrugere, især dem med medarbejdere, der arbejder hjemmefra. Tredjeparts-cloudtjenester, ofte kendt som "software as a service (SaaS)", leverer software via en internetforbindelse i stedet for at skulle installeres og vedligeholdes på stedet. Blandt fordelene er adgang til højere niveauer af processorkraft, overkommelige priser og fjernadgang til software og værktøjer.
Men alle data, der er gemt uden for dit sikre netværk, kan være i fare for databrud eller endnu værre, et serverangreb. Hvis der introduceres en tredjepartsudbyder, kan det også medføre mangel på kontrol over dataforbrug og politikker.
For at beskytte dine cloudbaserede data er multifaktorgodkendelse og effektive cloudsikkerhedsløsninger, såsom Avast Business Hub, afgørende.
Usikret Wi-Fi-netværk
Der er mange risici ved at oprette forbindelse til usikrede Wi-Fi-netværk. Uden kryptering kan alt, hvad du foretager dig online, ses. Dette omfatter browserhistorik, loginoplysninger og dataoverførsel. Med disse oplysninger kan en hacker stjæle følsomme data og få adgang til virksomhedens konti. Der kan også forekomme identitetstyveri, og dine oplysninger kan blive brugt til et social engineering-angreb på dine kolleger.
Usikrede Wi-Fi-netværk findes oftest på togstationer, i lufthavne og på caféer, hvor der angives ‘gratis Wi-Fi’ eller ‘hotspots.’ Denne type forbindelse bør kun bruges som en sidste udvej og kun til browsing – aldrig til transaktioner eller sider, der kræver et login.
I stedet for at bruge en ukendt forbindelse, bør brugere på farten i stedet bruge deres mobiltelefoner og tablets til at etablere en sikker forbindelse.
Hjemmets Wi-Fi-netværk bør også kontrolleres omhyggeligt for at sikre, at de korrekte sikkerhedsindstillinger er på plads.
Ukrypteret fildeling
I et hybrid arbejdsmiljø er muligheden for at dele dokumenter direkte afgørende for samarbejde og produktivitet. Men hvis filer sendes uden kryptering, bliver et databrud en betydelig mulighed.
Selvom det er IT-afdelingens ansvar at sikre, at de værktøjer (f.eks. firewalls) og processer, der bruges, er effektive til at sikre filer mod nye trusler, skal enkeltpersoner også være proaktive. Medarbejderne skal følge bedste praksis for sikkerhed, såsom kun at bruge autoriserede sikkerhedsværktøjer, når de sender og modtager filer for at forhindre fejl, der kan undgås.
Få mere at vide om kryptering af data i transit.
Skygge-IT
Skygge-IT henviser til den sikkerhedstrussel, der opstår, når uautoriserede enheder eller software opretter forbindelse til virksomhedens netværk uden IT-medarbejdernes viden eller tilladelse. Det er en voksende trussel, som fremhævet i vores 2021 Mobile Workforce Report.
Skygge-IT er ofte ikke bevidst og kan være noget så simpelt som en medarbejder, der logger ind på arbejdskonti på en personlig enhed eller bruger uautoriseret software og værktøjer på en arbejdscomputer.
Mangel på ressourcer under pandemien har været med til at gøre skygge-IT mere udbredt, da nogle virksomheder opfordrede medarbejderne til at bruge personlige enheder på grund af mangel på ressourcer.
Uanset årsagen øger forbindelser, der er ukendte for IT-medarbejderne, netværkets angrebsflade og skaber yderligere indgangspunkter, som hackere kan udnytte.
Netværk
Når man gennemgår netværkssikkerhed, er der to problemstillinger, der skal overvejes. Fysisk netværkshardware er et almindeligt indgangspunkt for angreb i traditionelle kontorlokaler. Det omfatter routere, servere og fysisk lagerplads. Disse elementer kræver en kombination af fysisk sikkerhed og softwarebaserede løsninger for at holde dem sikre.
Udvalget af forskellige typer netværksangreb bliver ved med at vokse – fra ransomware og malware til phishing, som kan indsamle kontooplysninger, der bruges til routere og andre fysiske elementer, og potentielt overdrage netværkets adgangskontrol til hackeren.
Den anden type er softwarebaseret sikkerhed for netværkstrafik. Det omfatter antivirus, serversikkerhed og firewalls. Implementering af disse foranstaltninger og regelmæssig sikkerhedskopiering vil bidrage til at minimere virkningen af et databrud eller angreb.
En anden almindelig bekymring er et man-in-the-middle-angreb, som kan opsnappe kommunikation i en lang periode uden at blive opdaget, hvilket bringer endnu mere sikker information i fare for tyveri. Derfor er det vigtigt, at netværks- og serversikkerhedssoftware opdateres regelmæssigt, så man kan identificere angreb, der ikke ønsker at blive opdaget.
Fysisk sikkerhed i det offentlige rum
Enhedssikkerhed handler ikke kun om software. For dem, der arbejder, mens de rejser, er fysisk sikkerhed en betydelig sikkerhedsrisiko. De mest almindelige eksempler på dette er, at man mister sin telefon eller glemmer sin bærbare computer i et tog.
Fysisk sikkerhed indebærer også fortrolighed, og det bør være en vigtig overvejelse, når man bruger en enhed på farten. Oprethold din sikkerhed ved ikke at lade andre passagerer se din skærm, og undgå at tale højlydt om forretningsanliggender og følsomme emner – begge dele kan give oplysninger, der kan bruges til spear-phishing.
Som en sikkerhedsindgang, der er afhængig af den enkelte bruger, bør alle medarbejdere undervises i sikkerhedsrisici og forventninger til fjernarbejde.
Hvad kan man gøre for at beskytte sig mod et cyberangreb eller brud på datasikkerheden?
Sikring af netværkets perimeter
Mens de fleste virksomheder blev tvunget til hurtigt at tilpasse sig fjernarbejde under pandemien, forbliver de grundlæggende principper for forretningssikkerhed de samme, uanset hvor en medarbejder befinder sig. Selvom "kontoret" ikke længere er begrænset til et enkelt, fysisk rum eller en bygning, er sikring af netværkets perimeter stadig et af de vigtigste punkter, din virksomhed skal være opmærksom på, for at sikre, at kundernes tillid, omsætning og produktivitet opretholdes, og at nedetid i tilfælde af et cyberangreb minimeres.
Hybridarbejde er en udfordring for virksomheder i alle størrelser, men årsagerne varierer typisk. En lille virksomhed har normalt ikke de økonomiske ressourcer, som deres større kolleger har adgang til, og de vil også have færre medarbejdere og enheder at overvåge og administrere.
Nøglen til succes er uddannelse. Et minimumsniveau af uddannelse i sikkerhed for personalet sammen med best practice vil hjælpe personalet med hurtigt at opdage mistænkelig aktivitet og minimere trusler, der kunne være undgået. Avasts quiz om grundlæggende cybersikkerhed er en glimrende måde at få en forståelse af dit teams sikkerhedsviden, og identificere, hvilke aspekter der kræver yderligere uddannelse.
Beskyt din virksomhed med avanceret antivirus
Beskyt din virksomhed mod disse trusler mod indgangspunkter og andre komplekse cyberangreb ved at bruge Avast Business' cybersikkerhedsløsninger til din lille virksomhed eller dit hjemmekontor.