Artikel top billede

Fem store sikkerhedsfejl som du helt sikkert begår

Virksomhederne bliver hacket så ofte, at man skulle tro, at hackerne kan trylle, men i virkeligheden handler det om en kronisk mangel på forståelse for helt basale sikkerhedsspørgsmål.

Sikkerhedsfejl #1: Opdateringerne

Computerworld News Service: Virksomhederne er så sårbare over for hacking, at hackere påstår, at de kan pege deres systemer mod stort set hvilken som helst virksomhed og bryde ind uden de store problemer.

De fleste helt almindelige sikkerheds-testere er ofte i stand til at bryde ind i en virksomhed på ganske få timer.. 

For de professionelle kriminelle er det endnu nemmere.

Men sådan behøver det ikke være.

Problemet er, at de fleste it-administratorer bliver ved med at begå de samme fejl igen og igen.

Sikkerhedsfejl #1: Du går ud fra, at alt er opdateret
De fleste virksomheder mener, at at der er styr på opdateringerne. 

De mener i virkeligheden, at styresystemet er opdateret på de fleste computere. Men hvad med de sårbare applikationer, der ofte bliver udsat for angreb? Her ser det knapt så godt ud. 

Der findes eksempelvis rigtigt mange Apache Webserver i virksomhederne, der aldrig bliver ordentligt opdateret.

Det samme gælder computere med Adobe Acrobat Reader, Adobe Flash eller Java. Det er ikke noget tilfælde, at netop disse applikationer også er dem, der oftest bliver udnyttet af de kriminelle. Og problemet har eksisteret i årevis.

Har købt dyre opdateringsprogrammer

It-administratorerne tror, de har styr på opdateringerne, fordi de har købt dyrt opdateringsprogram, uddelegeret opgaven til en eller anden, fået bedre opdateringer i det hele taget og krydset det af på to-do-listen.

Pyt med at opdateringerne aldrig har fungeret perfekt, at det ikke er alle computerne, der bliver opdaterede, og at der stadig står sårbar software tilbage. Det går ligesom i glemmebogen.

Derudover afholder mange it-afdelinger sig fra at opdatere applikationer på grund af problemer med kompatibiliteten.

Hvis afdelingen for eksempel har opdateret Java, og der bagefter sker en eller anden tilfældig fejl i en af applikationerne, vil it-afdelingen ofte forbyde allle at opdatere Java.

På den måde kan computerne stå hen i årevis uden at blive opdateret.

Ledelsen er godt tilfreds og tror, at opdateringsproblemet er løst, men i virkeligheden er det værre end nogensinde.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #2: Applikationerne

Sikkerhedsfejl #2: Du ved ikke, hvilke applikationer der kører

De fleste it-afdelinger har ingen anelse om, hvilke programmer der kører på deres computere.

Nye computere kommer preloadet med forskellige programmer, som brugeren i virkeligheden ikke har brug for, og brugerne selv henter andre programmer.

Det er ikke unormalt, at en pc kører i hundredevis af programmmer ved opstart.

Men hvordan kan du håndtere programmer, som du ikke engang ved eksisterer?

Mange af de pågældende rogrammer indeholder store velkendte sårbarheder eller bagdøre fra leverandøren, som alle og enhver kan udnytte.

Hvis du gerne vil sikre dit miljø, skal du skabe et overblik over alle de programmer, der kører, smide de unødvendige programmer ud og sikre resten.

Sikkerhedsfejl #3: Du ser det forkerte sted

Sikkerhedsfejl #3: Du overser anormaliteterne
Selv om hackere kan bryde ind uden at blive opdaget, så er det svært for dem at hacke løs uden at gøre noget som helst unormalt.

De er nødt til at undersøge netværket og forbinde computere, som normalt aldrig taler sammen.

Hackere foretager altså handlinger, som ingen af de normale brugere nogensinde foretager.

De færreste it-administratorer har nogen særlig god fornemmelse af, hvilke aktiviteter og aktivitetsniveauer, der kan regnes for at være normale.

Hvis du ikke har defineret det normale, hvordan kan du så spore anormaliteter og udsende advarsler?

År efter år fortæller The Verizon Data Breach Investigations Report, at næsten alle databrud kunne have været undgået, hvis ofrene havde implementeret alle de nødvendige kontroller lige fra begyndelsen.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #4: De slappe regler

Sikkerhedsfejl #4: Du er ikke skrap nok med passwords
Vi ved alle sammen godt, at et password skal være langt og komplekst, og at det skal skiftes med jævne mellemrum.

Langt de fleste administratorer vil sige, at at deres egne passwords er stærke, men ofte passer det ikke.

Eller måske er de stærke på nogle områder, mens de er svare på de områder, hvor det virkelig gælder - eksempelvis til konti, der bruges på tværs af virksomheden eller på tværs af et domæne, eller andre former for superbruger-konti.

Men jo stærkere kontoen er, jo svagere er passwordet, og jo større er sandsynligheden for, at det aldrig bliver skiftet.

Hvis du gerne vil vide, hvor effektiv password-politikken er i virksomheden, så skulle du prøve at undersøge, hvor mange dage, der er gået, siden de forskellige passwords sidste blev skiftet.

Jeg vil godt garantere, at du kan finde konti, der ikke er blevet ændret i tusindvis af dage.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Sikkerhedsfejl #5: Manglende uddannelse

Sikkerhedsfejl #5: Du uddanner ikke brugerne i nye trusler 
Vi siger, at slutbrugerne er vores svageste led, med alligevel uddanner vi dem ikke i de nyeste trusler - altså de angreb, der har fundet sted i løbet af de seneste fem år.

De fleste brugere ved alt om vedhæftede virus i e-mails - den slags angreb, der var populære for 10 år siden.

Men prøv at spørge slutbrugerne, om de er klar over, at den største infektionstrussel i dag stammer fra hjemmesider, som de allerede kender, stoler på og besøger hver eneste dag.

De fleste slutbrugere ved ikke noget om ondsindede reklamer på deres yndlingshjemmeside eller om det faktum, at populære søgemaskiner på nettet kan inficere dem.

De kender ikke forskel på deres egen antivirus-software og det falske program, der lige poppede op på et vindue på skærmen.

De ved det ikke, fordi vi ikke har lært dem det.

De fem sårbarheder er langt fra nye. 

De har eksisteret i hvert fald i 20 år. 

Problemet bliver krydset af på listen, så de kan koncentrere sig om noget andet - men faktum er, at hele miljøet er grundlæggende fejlbefængt.

Det eneste, det ville kræve at opdage det, var at stille et par spørgsmål eller køre nogle få forespørgsler.

Læs også: Derfor rager passwordsikkerhed din it-afdeling en fjer

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere


Internationale dataoverførsler: Bananrepublikker og spionage

Det er nu lovpligtigt at dokumentere beskyttelsesniveauet af persondata, når de overføres til tredjelande. Vi sætter derfor fokus på, hvordan virksomhederne styrer deres internationale dataoverførsler fri af tredjelandes overvågning. Vi dykker samtidig ned i hele det spegede kompleks omkring Schrems II, FISA 702 og EO 12.333, og hvordan det spiller sammen med dansk fortolkning og praksis.

25. maj 2021 | Læs mere





mest debatterede artikler

Premium
Vigtig opdatering på vej til Windows: Får omsider din HDR-skærm til at funkle
Microsofts Windows 10-styresystem vil i fremtiden kunne arbejde bedre med de flotte farver og den høje kontrast, som HDR-skærme tilbyder.
Computerworld
Nye informationer om det største iPhone-hack nogensinde ser dagens lys: 128 millioner brugere blev ramt
Hidtil hemmeligholdte detaljer om verdens største iPhone-hack er kommet frem under retssagen mellem Apple og Epic Games. 128 millioner brugere blev ramt, og mere end 4.000 apps blev inficeret. Se detaljerne her.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Overvåg kritiske industrielle systemer og beskyt dem mod angreb
Industrial Control Systems (ICS) udgør hjertet i alle forsynings- og produktionsvirksomheder og kan være overraskende sårbare overfor cyberangreb. Dette whitepaper giver et godt overblik over problematikker og muligheder for at sikre jeres systemer.