Mange danske små og mellemstore virksomheder oplever stigende problemer med forskellige typer angreb fra hackere og andre cyberkriminelle. Samtidig mangler disse virksomheder ofte både viden og ressourcer til at dæmme op for de cyberkriminelle – men ifølge it-sikkerhedsekspert, Helge Djernes, kan man komme langt med meget lavpraktiske tiltag.
Det kan være vanskeligt at sikre små og mellemstore virksomheder (SMV’er) bedre imod cyberkriminalitet, når man ikke har et professionelt it-setup eller ekspertise.
For de færreste almindelige virksomheder har ekspertise, ressourcer og baggrundsviden til at stable et dyrt sikkerheds-setup på benene. Men en række lavpraktiske tiltag kan øge sikkerheden i virksomheden.
Herunder følger en kort liste over enkle, praktiske tiltag.
Opdatér og patch software regelmæssigt
Softwareprogrammer, operativsystemer og firmware opdateres, når opdateringer offentliggøres fra leverandøren. Herved lukkes hovedparten af tekniske sårbarheder. Patchprocessen kan ofte (semi-)automatiseres og udføres på et tidspunkt, hvor der er personale til evt. rollback.
Begræns adgang og privilegier
Giv medarbejdere adgang til de systemer og data, der er nødvendige for deres arbejde og ikke mere. Fjern adgange, når arbejdsbehovet ikke længere gælder. I en lille virksomhed er det lettere at få hånd om dette, end når virksomheden har vokset sig stor.
Den tilgængelige tid er som regel også mindre (færre medarbejdere), men antal brugere og systemer er i reglen mindre og det er vigtigt at få sat en governance, som holder, når virksomheden får vokseværk.
Brug en password manager
Mennesker er i reglen dårlige til at lave (og huske) komplekse passwords. Aftal i stedet at alle bruger en kommerciel, personlig password-manager og at den indbyggede password-generator indstilles til jeres anbefalede passwordkompleksitet – samt at alle systemer skal have eget password. Nogle personlige password managers kan dele passwords.
Implementer tofaktorautentificering (2FA)
Adgang til virksomhedens netværk og systemer udefra skal betinges af 2FA, som også skal aktiveres for brug af eksterne systemer, ofte cloud baserede.
Da meget phishing går via tilsyneladende troværdig kommunikation fra eksterne systemer, bør denne mulighed elimineres – eller i hvert kraftigt reduceres.
Virtual Private Network (VPN)
Sørg for at alle virksomhedens PC har VPN installeret – og at medarbejderne, hvis de kan bruge egne maskiner til at tilgå virksomhedens systemer og data, kun kan gøre dette via en af virksomheden godkendt VPN.
Uddannelse af medarbejdere
Underret medarbejderne om mulige cyberangreb, herunder hvordan man identificerer phishing-e-mails, undgår at klikke på skadelige links, kun tilgår offentlige Wi-Fi-netværk med VPN samt gør deling af erfaringer til faste dialogpunkter ved personalemøder og events.
Det en en inkomplet liste, men forholdsvis billig at implementere – og med stor effekt.
Implementering af disse basale sikkerhedstiltag kan derfor hjælpe til at beskytte virksomheden mod potentielle cybertrusler, selvom der ikke er penge til et stærkere og mere omfattense setup, ejheller målrettet og omfattende viden om cybersikkerhed.
Helge Skov Djernes er informationssikkerhedsekspert i sikkerhedsfirmaet Djernes & Diernaes.