Coronavirusen har lagt landet ned

Det føles som science-fiction og lyder som en børnebog:

Gør som Dronningen og Søren & Mette siger

Men det er desværre virkeligheden for alle danskere, og størstedelen af Europa. Heldigvis er vi ikke ligeså hårdt ramt som Italien. Lad os gøre vores for at det forbliver sådan.

Mange af os forsøger så vidt muligt at arbejde hjemmefra, som var vi på kontoret. Men vi er ikke på kontoret, hvor IT-afdelingen passer på os og kollegaerne sidder ved siden af og kan spørges. Og derfor skal vi tænke os om.
De cyberkriminelle er iskolde, og gør hvad de kan for at udnytte situationen til deres fordel. Primært forsøger de sig med e-mails: Har I fået opsat den nye e-mail sikkerhedsscanner fra Office365? Den er også meget effektiv overfor spam-mails.

Hvordan kommunikerer I, kollegaerne imellem?
I kan enten bruge Teams, som er en del af de fleste Office365 abonnementer.
Det er næsten som at være på kontoret. Vi har ofte et videolink åbent, så det nærmest føles som om man sidder ved siden af hinanden. Det er let at chatte og dele filer den vej. Og SIKKERT.

Eller I kan bruge den gode sikre e-mail: Kører I Office 365? Så er mails kollegaerne imellem sikkert. I kan dele personfølsomme oplysninger imellem jer uden problemer.
Men skal de ”ud af huset”, altså sendes til en uden for jeres e-mail-domæne, så SKAL de sendes krypteret, hvis de indeholder personfølsomme oplysninger. Ja, CPR-numre er personfølsomme, det ved alle. Men et telefonnummer kombineret med et navn, eller en adresse? Eller helbredsoplysinger? Er det personfølsomt? JA, det er det! Heldigvis kan det opsættes i Office 365, så I kan sende krypteret.

Vi hjælper jer gerne med at få

• Opsat jeres Office 365 scanner, så I ikke modtager virus og phishing-mails
• Opsat Microsoft Teams, så I kan samarbejde sikkert
• Opsat Office 365, så I kan sende krypterede/sikre mails med Information Rights Management / Office 365 Message Encryption

Gode råd til organisationen
• Sørg for at der kan kommunikeres med alle medarbejdere, og at de er bekendt med de besluttede kommunikationskanaler.
• Vær opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte denne situation. De vil f.eks. forsøge at udbrede ransomware og sende phishinglinks og -sms’er, under dække af corona.
• Sørg for at medarbejderne kender processerne for fjernadgang, og tester, at de virker (f.eks. VPN, fler-faktor autentifikation osv.)
• Sørg for at infrastrukturen der understøtter fjernadgangen, har kapacitet og licenser nok til at dække det øgede antal brugere, der skal have samtidig adgang.
• Sørg for at automatisk opdatering af medarbejdernes arbejdscomputere også virker, når de arbejder hjemmefra. Hvis dette ikke er en mulighed, skal medarbejderne mindes om at opdatere dem jævnligt.
• Sørg for at være bevidst om risici ved eventuelle midlertidige adgange eller tilladelser, og at revurdere dem når behovet ikke længere er til stede.
• Når situationen er normal igen, så husk at opsamle erfaringerne til at forbedre fjernadgang, processer og beredskabsplaner.
Gode råd til medarbejderen
• Brug de værktøjer og kommunikationskanaler din arbejdsplads stiller til rådighed (Teams, VPN, direkte opkobling Sharepoint eller andre sikre services)., og husk at sikkerhedspolitikkerne også gælder når du arbejder hjemmefra.
• Vær for eksempel opmærksom på regler for brug af f.eks. private mailkonti og filudvekslingstjenester (Teams, OneDrive, Sharepoint, Dropbox etc.).
• Hvis din arbejdscomputer ikke holdes opdateret automatisk, skal du huske at holde den opdateret selv.
• Test at din fjernadgang virker, så eventuelle problemer kan afhjælpes med det samme.
• Vær opmærksom på evt. falske mails eller sms, som du modtager under dække af nyheder om corona. I disse dage kan man ikke lige spørge sidemanden.
• Husk også at beskytte den fysiske adgang til din arbejdscomputer, når du arbejder hjemmefra.
Hvis man har papirer med oplysninger om fysiske personer, så sørg for både at opbevare og skaffe dem af vejen på betryggende vis.
Hvis der opstår et akut behov for at lagre dokumenter lokalt (på enheden), så sørg for, at:
• Enheden eller filen med dokumentet er krypteret.
• Ingen andre (heller ikke børnene...) har adgang til enheden.
• I har styr på den aktuelle version af filen, så data ikke fortabes eller bliver forkerte.
• Filen bliver uploadet til sagsbehandlingssystemet så snart det er muligt - og at den lokale kopi derefter straks slettes. (Eks. Hvis internetforbindelsen forsvinder pga. overbelastning).
Det er en helt særlig situation, og vi skal alle finde en måde at arbejde på i denne nye kontekst. Hvis vi husker på de gode vaner om databeskyttelse, vi allerede har taget til os - og også bruger dem, når vi arbejder hjemmefra - så passer vi også på hinanden på denne måde.
(Kilde: Datatilsynet og Center for Cybersikkerhed)

Jo bedre vi passer på os selv og hinanden, desto hurtigere er det overstået.

CFSC (Center for Cybersikkerhed under Forsvarets Efterretningstjeneste) har udgivet nye retningslinjer for hvordan man bør oprette sit password og vedligeholde det. Men er det så vigtigt hos os, tænker du måske?

Det kommer naturligvis an på hvilke oplysninger I har liggende i jeres IT-systemer. Men I har helt sikkert personhenførbare oplysninger liggende! Og derfor er det absolut værd at tænke over! 

For hvad er personfølsomme/personhenførbare oplysninger egentlig?

Det er eksempelvis :

• Elevers skoleopgaver og mails
• Personnumre
• Billeder af enkeltpersoner (ja, den er god nok!)
• Mails til og fra enkeltpersoner
• Kundekartotek

..Og hvem har ikke dette liggende. En tænkt situation kunne være en medarbejder der stopper, men liiige tager sine mails med sig... Som indeholder jeres kundedatabase/kundeoplysninger.

Eller en medarbejder der tilgår jeres systemer fra en hjemme-PC, som knægten også spiller Fortnite på... og pludselig er der virus på den, som kompromitterer jeres fællesmailboks.

Eller en klub, som har alle medlemmers adresser/tlf.numre og mailadresser liggende. (Jeg sad engang, med 50 andre, til et demo-arrangement fra en anden klub, og så deres system på storskærm. Og pludselig dukker Anders Fogh Rasmussens oplysninger op, da han er medlem!

Så det behøves ikke være CPR-oplysninger. 

Som der står i loven: 

"enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator"

Det kan altså være så simpelt som en nøglebrik, med tilknyttet navn! Eller et system der fortæller om en person er online.

Hvis I ønsker hjælp eller vejledning til at få en god passwordpolitik, så tøv ikke med at kontakte os: Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den. 

Du kan læse hele artiklen her: https://fe-ddis.dk/cfcs/nyheder/arkiv/2019/Pages/opdateret-passwordvejledning.aspx

Og bare rolig, den er ikke så tør og foruroligende som man kunne frygte.

Opdatering af hjemmesiden

At miste sin hjemmeside er et MEGET tydeligt signal som rammer dine kunder. Og det vil automatisk sætte gang i tankerne hos dem: Har de styr på deres IT? Er de blevet hackede? Er de ved at lukke? Eller er det bare en banal fejl, fordi de er ved at flytte websted?

Disse tanker skal I helst HELT undgå opstår hos dem!

Men... hvor ofte bliver der foretaget backup af jeres hjemmeside, og sker det automatisk? Eller skal I foretage jer noget for det sker? 

Hvor ofte bliver hjemmesidens CMS ("styresystem") opdateret, og hvad med de ekstra-komponenter I har installeret på den? 

Det er den typiske vej ind for de helt simple hackere: Manglende opdateringer. 

Hos IT-supporten får du automatisk backup, og versionering af de enkelte sider. Det svarer til Fortryd-knappen i Word (CRTL+Z).