Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
2017 var et begivenhedsrigt år.
Når jeg i min rolle kigger tilbage på 2017, er det naturligvis ikke Trump, kvalifikationen til VM eller letbanen i Aarhus, jeg tænker mest på.
Kald det en erhvervsskade, men 2017 var i min optik først og fremmest året, hvor rækkevidden og konsekvenserne af cyberkriminalitet blev skræmmende tydelige for virksomheder verden over.
Faktum er, at vi i 2017 så ubehageligt mange angreb, succesfulde hacks og læk af hidtil uset, ja undskyld sproget, kvalitet.
Mest opsigtvækkende var WannaCry-skandalen, hvor ransomware i maj ramte virksomheder på stribe rundt om i verden, heriblandt hele det engelske sundhedsvæsen, NHS.
Senere kom NotPetya, som Mærsk i dag anslår kostede op imod 200 millioner dollar.
Der er desværre mange flere eksempler.
I 2017 betalte ofrene for ransomware-angreb til sammen to milliarder dollar i løsesum, fastslog Bitdefender for nyligt i en undersøgelse. Det er en fordobling i forhold til 2016.
Andelen af ransomware-angreb, som rammer virksomheder, er også stigende.
I 2016 udgjorde angreb rettet mod virksomheder 22,6 procent, mens det i 2017 var vokset til 26,2 procent, fastslår Kaspersky Lab her.
Denne type af angreb er avancerede og vanskelige at undgå. Men det står klart, at effekten af mange af de angreb, vi så i 2017, også var et resultat af menneskelige fejl.
Nogle uger inde i det nye år er det derfor nærliggende for alle virksomheder at spørge sig selv, om retningslinjerne for hvordan medarbejderne bør agere online, er klare nok.
Om medarbejderne forstår, hvor vigtig en rolle hver enkelt spiller, når det handler om, at disse angreb mod virksomheden ikke bliver succesfulde.
Her er nogle af de opmærksomhedspunkter, som, jeg mener, bør være allestedsnærværende i danske virksomheder i 2018.
Hold dine systemer opdaterede
WannaCry blev så udbredt, fordi den angreb enheder med styresystemer, der ikke var opdaterede.
For at minimere risikoen, er det derfor helt afgørende, at alle enheder (pc’er, servere og mobile enheder) konstant holdes opdaterede, og at alle enheder også har en opdateret sikkerhedssoftware installeret.
Samtidig ved vi, at langt de fleste angreb starter med e-mails med skadeligt indhold.
Modtageren bliver bedt om at klikke på et link eller en vedhæftet fil, som herefter installerer malware, ofte uden at modtageren opdager det.
Der skal altså ikke mere end ét klik fra en medarbejder til, før skaden er sket.
I kombination med ikke-opdaterede systemer, kan det være fatalt.
Sørg derfor for, at det er rutine og en fast procedure at opdateringer installeres, så snart de er tilgængelige.
Og overvej, som virksomhed, om det er en god ekstra beskyttelse at investere i de nye former for præ-scanninger af e-mail indhold, så medarbejdere kun præsenteres for links og vedhæftninger, der er blevet testet og fundet uskadelige.
Beskyt din online-identitet
62 procent af alle datalæk kan spores tilbage til en stjålen identitet, hvor en hacker er lykkedes med at stjæle personlige oplysninger for at få adgang til data og filer, vurderer Verizon her.
Størstedelen af disse tyverier lykkes på grund af svage passwords.
Sørg derfor for, at det er kutyme for alle virksomhedens medarbejdere at skifte password mindst hver tredje måned.
Brug forskellige passwords til forskellige konti og services.
Lad være med at bruge personlig information i dine passwords.
Man kan med fordel overveje at tilføje totrinsbekræftelse eller andre services, som hjælper med at validere brugere, for eksempel Windows Hello, hvor medarbejderne kan logge ind via fingeraftryk eller ansigtsgenkendelse.
Undgå offentligt Wi-Fi
Det er fristende at hoppe på offentligt tilgængelige Wi-Fi for at ordne presserende ting, når man er på farten. I toget, på kaffebaren eller i lufthavnen.
Problemet er bare, at offentlige hotspots er umådeligt nemme at overvåge og udnytte for cyberkriminelle.
Ofte kan de se det meste af det, der foregår på de åbne netværk.
Hvis man alligevel vælger at gå på et offentligt netværk, bør man derfor - som medarbejder - som minimum undgå al aktivitet, der involverer personhenførbare oplysninger.
Don’t go phishing
Vi har hørt det mange, mange gange før: Vær påpasselig med, hvordan du reagerer på henvendelser fra afsendere, som du ikke kender, eller som ved nærmere eftertanke måske alligevel er lidt mistænkelig.
Desværre er opfordringen vigtigere end nogensinde før.
Phishing-angreb bliver mere og mere sofistikerede, og det er et faktum, at det i dag kan være meget svært at afgøre, om afsenderen er valid.
Som hovedregel bør man som medarbejder aldrig klikke på links fra personer eller organisationer, som man ikke kender.
Og selvom du mener, at du kender afsenderen, så overvej altid, om der er en anledning til, at du får mailen.
Har du for eksempel selv bedt om en password-ændring? Hvis ikke, så er det nok ikke reelt, og mailen bør slettes.
Pointen her er selvfølgelig ikke at pege fingre.
Det er fuldt forståeligt, at sikker it-adfærd ikke er top of mind hos alle medarbejdere.
Det er bare vigtigt at påpege, at hver eneste medarbejder er en afgørende brik, hvis man som virksomhed vil sikre sig mod effekten af cyberangreb i 2018.
Sikkerhedsforanstaltninger som antivirus, firewalls og så videre er blot tekniske forsvarsværker.
De skal følges op med sikker it-adfærd fra medarbejderne og meget gerne af værktøjer, der hjælper medarbejderne med at kunne færdes sikkert.
Billedligt talt kan du som it-chef eller leder godt bygge et fort, men tykkelsen og højden af murværket er ligegyldigt, hvis bare én enkelt medarbejder uforvarende åbner porten.
Lad os hjælpe vores medarbejdere til mere sikker it-adfærd i 2018.
Forhåbentlig bliver det året, hvor færre cyber-kriminelle lukkes ind.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
