Artikel top billede

(Foto: Computerworld)

Hold din virksomhed sikker

Sådan beskytter du din virksomhed, før skurkene aner, at den eksisterer.

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Op til 80 procent af små virksomheder, der kommer ud for en brist i databeskyttelse, går fallit umiddelbart efter – enten på grund af dårlig omtale eller på grund af tab af omsætning. Det er et forbløffende tal, men når man er i den spændende iværksætterfase, bliver sikring af data ofte betragtet som en valgfri fordel – noget, man kan gøre, når man begynder at tjene penge.

Det burde være omvendt: Det er afgørende at forstå risiciene og forholde sig til dem som et led i grundlæggelsen af virksomheden. Folk ved, at de har brug for stærke kommercielle versioner af anti-malware-applikationer i forbindelse med en god firewall, men det er ikke kun netværket, der skal beskyttes. I en hektisk verden, hvor bundlinjen hersker, kan moderne arbejdsteknikker gøre foretagendet sårbart. Her kan du se en komplet tjekliste over alt, hvad du skal vide for at sikre din forretning.

Fysisk sikkerhed

Sikring af et datanetværk er kun en del af historien om sikkerhed. Det er vigtigt at formulere en komplet politik for håndtering af følsomme oplysninger. Det er det dokument, som alle ansatte skal følge som en del af deres arbejde. Få dem til at læse det og skrive under på, at de vil følge det. Så er der ingen undskyldning, hvis noget går galt. Spørgsmålet er: Hvad skal der indgå i sådan en politik?

Virksomhedens sikkerhedspolitik skal dække alle aspekter af informationshåndtering, herunder alt, hvad der har med kunderne at gøre – navne, adresser, ordrer, generel korrespondance og oplysninger om betalingskort og bankkonti. Den skal også omfatte alt, hvad der har med økonomi at gøre – regneark, forretningsplaner, korrespondance med banken og kommunikation med partnere og leverandører. Endelig skal personaleoplysninger og vurderinger være sikrede, ikke blot over for indtrængende, men også over for de ansatte. Ingen af disse oplysninger må blive udsat for risiko på grund af manglende sikkerhed eller på grund af skødesløshed.

Politikken bør rumme et afsnit om fysisk sikkerhed. Det bør omfatte en regel om, at alle arkivskabe skal være aflåste, hvis de indeholder fortrolige oplysninger. Når arbejdsdagen slutter, og man ikke ønsker at tage bærbare maskiner med hjem af hensyn til sikkerheden, skal politikken forlange, at de bliver låst inde i et skrivebord eller et skab, der er etableret til dette formål. Brug en makulator i stedet for en papirkurv. Det makulerede papir er ideelt til at fore marsvinets bur med.

Begrebet social engineering har endnu til gode at få en dansk oversættelse, men det består groft sagt i en manipulation af menneskers svagheder. Det er en oplagt fremgangsmåde, hvis man vil have adgang til et netværk. Derfor skal man sikre sig, at alle ansatte ved, at de ikke må holde dørene åbne for folk, de ikke kender. De skal udfordre enhver, som de ikke kender til. Hvis din virksomhed skal have sine egne servere, bør de have deres eget aflåste lokale, og adgangen skal være begrænset til de folk, der har ansvaret for deres drift.

Pressen elsker historier om offentligt ansatte, der mister bærbare maskiner og usb-nøgler med følsomme oplysninger, men disse historier er kun toppen af isbjerget. Forskelligt udstyr – især usb-nøgler – forsvinder i forfærdende grad.

En tommelfingerregel siger, at jo færre kopier af følsomme data, man har, desto nemmere er det at spore dem og sikre dem. Du bør som hovedregel sikre, at sikkerhedspolitikken kræver, at følsomme oplysninger ikke må forlade stedet uden din udtrykkelige tilladelse. Ingen laptop eller anden computerenhed må efterlades uden opsyn (i en bil, mens ejeren besøger en tankstation på motorvejen for eksempel eller på bordet i et tog, mens ejeren er på toilettet).

I dag har de fleste adgang til bredbånd i hjemmet, og det er langt billigere at lade folk arbejde hjemme end at leje et dyrt kontor. I nogle brancher er hjemmearbejde i dag det normale. Det er praktisk, men det medfører nogle nye sikkerhedsproblemer. Hvis de ansatte har lov til at bruge virksomhedens bærbare maskiner hjemme, bør man sikre sig, at det sker i et sikkert miljø. Virksomheds-pc’er må kun bruges til arbejde for virksomheden. Hvis de ansatte vil spille, må de bruge deres egne maskiner.

Det er nemt at kryptere hele harddisken på en bærbar med det gratis værktøj TrueCrypt. Når man vil starte en krypteret computer, skal man skrive et kodeord. Hvis en laptop forsvinder (målrettede tyverier er ikke ukendte), kommer tyven ikke langt, hvis han vil læse dine data. Det gælder også for usb-nøgler.

Brug af data

Din brug af de følsomme data, du indsamler, har direkte indflydelse på, hvordan du skal lagre og sikre dem – og på dit ansvar ifølge loven. Har du for eksempel brug for at etablere din egen e-handels-server til at modtage ordrer? Mange virksomheder modtager kontokortdetaljer og videresender dem til en sikker betalings-gateway som SagePay eller WordPay. Det er imidlertid vigtigt, hvad du gør med kundeoplysninger efter et salg.

Nogle virksomheder gemmer kontokortoplysninger som led i informationen om den enkelte kunde. Meningen er, at de nemt kan findes frem, næste gang kunden afgiver en ordre. Når man gemmer disse oplysninger sammen med kontrolcifferet (de tre tal på bagsiden af kontokortet), påtager man sig et ansvar for at sikre oplysningerne.

For en ny virksomhed, der sælger direkte til folk, er det nemmeste blot at oprette en PayPal-konto og linke den til virksomhedens bankkonto. Så kan man føje knapper med ’Betal nu’ eller ’Læg i kurv’, der følger PayPals sikre Website Payments Standard, til sit webkatalog. I mange tilfælde er muligheden for at betale via en sikker tjeneste som PayPal med til at opmuntre kunder, der ikke er trygge ved at overlade deres kontokortoplysninger til privatejede e-handels-servere.

Netværksovervågning

Det er nemt at vurdere og overvåge hardware på netværket med Nmap. Meningen er, at man først kører Nmap over for netværket, når der ikke er nogen, der bruger det. Det giver et udgangspunkt, når man skal overvåge senere forbindelser.

Download og kør den eksekverbare Nmap-fil, og accepter standardindstillingerne.

Nmap omfatter en praktisk brugerflade i form af Zenmap, der kører fra Windows’ Startmenu. I inputboksen skal du skrive dit subnet i formatet 192.168.1.1-254, idet du indsætter dine egne tal. ”1-254” sikrer, at Nmap foretager en komplet scanning af alle maskinadresser på dit subnet. Vælg ’Intense scan’, og vent på resultaterne.

Mens Nmap arbejder, bliver der opbygget en liste over værter i panelet til venstre. Er der noget her, som du ikke genkender? Adresse 1 er som regel standard-gatewayen til internettet. Hvis du klikker på værterne, kommer deres detaljer frem i hovedfeltet, herunder det bedste skud på det kørende operativsystem. Det gør det nemmere at identificere hver enhed. Hvis du genkender det hele, har du et godt udgangspunkt for din hardware. Dine folk kan eventuelt tilføje deres egne mobile enheder, når de bruger netværket. Kør Nmap med regelmæssige mellemrum for at få en fornemmelse af, hvad de tilslutter.

Tjek WiFi-punkter

Ansatte med laptops og andre enheder, som de bruger hjemme, har brug for at få forbindelse til både deres eget netværk og til virksomhedens net. Det er en chance for en WiFi-hacker, der har lyst til at etablere sin egen trådløse adgang i nærheden med et navn, der påfaldende ligner dit eget, når det bliver læst med søvnige øjne en mandag morgen. Du kan lede efter den slags netværk ved at klikke på ikonet Wireless Network i Windows 7’s proceslinje, men du kan også overvåge nærliggende netværk grafisk i dagens løb med det fremragende InSSIDer fra Metageek. Man installerer det ved blot at køre den eksekverbare fil og acceptere standardindstillingerne.

Klik på ’2.4GHz’. Nu kan du se alle de netværk, der præsenterer deres tilstedeværelse i dit nabolag. Er der et, der prøver at efterligne dit med et lignende navn? Hvis det er tilfældet, kan du zoome ind på det ved at installere InSSIDer på en bærbar maskine.

Klik på ’Time graph’. Det viser signalets relative styrke. Vælg det suspekte signal i tabellen foroven, så bliver grafen fremhævet. Gå et par skridt med maskinen – hvis du nærmer dig det suspekte netværks basestation, bliver signalet stærkere. Hvis styrken når op på omkring 25 dB eller derover, er du lige ved basen.

Hardwarefirewalls

Den form for netværkssikkerhed, der giver flest problemer i virksomhederne, består i at sikre en gateway mellem virksomhedens netværk og resten af verden. Heldigvis er det for længst slut med kompleks softwarekonfiguration, der kræver flere netkort og proxy- pakker. Man kan i stedet blot montere en hardwarefirewall mellem internetforbindelsen og selve netværket.

Moderne hardwarefirewalls er omfattende firmaportnere med et forbavsende bredt udvalg af ressourcer – selv de billigere modeller. De tager sig for eksempel af scanning af alle ind- og udgående datastrømme. Det betyder, at de kan scanne trafik for malware og spam. De bliver typisk leveret med servicekontrakter, der omfatter regelmæssige opdateringer af deres forsvarsværker. Det minder meget om antiviruspakkernes tjenester.

Husk, at en af dine ansatte kan tage en inficeret mobiltelefon med på kontoret. Den kan omgå virksomhedens firewall, og du skal derfor stadig sikre dig, at firewallen på hver af virksomhedens computere er aktiv, og at hver maskine også har opdateret antivirusbeskyttelse.

Til hjemmearbejdere kan man nu få billige hardwarefirewalls med virtuelle private net-faciliteter (vpn). Det betyder, at hjemmearbejdere kan logge på virksomhedens netværk og arbejde, som om de sad på kontoret. De har forbindelse til delte drev, interne mailsystemer og så videre. Forbindelsen er sikret af ssl.

Et større problem for cheferne er tillokkel- sen fra sociale netværkssites som Twitter og Facebook – ikke blot ødelægger de produktiviteten – den implicitte tillid, der er karakteristisk for dem, gør dem til meget effektive infektionskanaler for nye stammer af malware.

Beskyt dit netværk og personalets fremtid ved at finde en hardwarefirewall, der omfatter indholdsfiltrering. Hvorfor ikke vælge en, der gør, at man kan nå forskellige sites på forskellige tidspunkter? På den måde kan man åbne adgangen til sociale netværkssites ved frokosttid og indføre bestemte tidsrum, hvor det er tilladt at besøge dem.

Du skal bruge en, der har forstand på at sikre netværk ved omhyggeligt at teste dine forholdsregler og finde alle de svage steder. Det er en god ide at få en professionel vurdering af virksomhedens elektroniske sikkerhed, men kan du stole på en ”tam” hacker på dit netværk, og dur de til noget?

En hurtig websøgning viser mange, der tilbyder penetrationstest til virksomheder. Man afgør bedst, om de er troværdige, med uafhængig verifikation.

Guldmøntfoden inden for sikkerhedsfolk er CHECK. Den bliver administreret af Communications Electronics Security Group hos GCHQ. Den underkaster penetrationstestere en omhyggelig eksamination for at sikre, at de lever op til den standard, der kræves for at sikre offentlige institutioners systemer. Det er nemt nok at finde ud af, om en virksomhed er med i CHECK: Man skal blot skrive dens navn på CESG’s website: www.bit.ly/y0rT29.

Det kan være dyrt at hyre et foretagende med CHECK-certificering, men der er en alternativ mulighed i Council of Registered Ethical Security Testers (CREST). Sikkerhedsvirksomheder, der vil være med i CREST, skal vise, at deres test-metodologi og adfærd lever op til standarden. Det indebærer opdateret kendskab til de værktøjer og teknikker, som angriberne bruger. Man kan se, om en virksomhed er akkrediteret hos CREST, her: www.bit.ly/wiq8r0.

Open source-guruen Richard Stallman har engang kaldt cloud computing »en fælde«. Men for en ny virksomhed kan brugen af cloud computing løse mange problemer – blot man husker dens enestående række af faldgruber.

Cloud Security Alliance (CSA) anbefaler, at man tænker meget grundigt over de data og applikationer, man migrerer til et cloudlager. Det skyldes delvist, at cloudtjenester kan slå fejl, selvom udbyderne siger det modsatte. Da Microsofts Azure-cloudplatform for eksempel snublede over en simpel skudårsfejl i februar, var tusinder af virksomheder ude af stand til at få adgang til deres data, og tjenesternes kunder var rasende.

CSA anbefaler, at man beslutter, hvilke data og hvilken software man ikke kan undvære, og tager lokal backup i overensstemmelse hermed. Med e-mail er det så enkelt som at videresende mail til indbakken i en virksomhedscomputer. Tag backup af den, så har du en komplet oversigt over al mail, uanset om der er adgang til cloudtjenesten eller ej. Man bør også regelmæssigt kopiere alle de data, der ligger hos cloudtjenesten, og gemme dem i en brandsikker boks.

Man skal stille mange spørgsmål til sin potentielle udbyder af cloudtjenester. Hvor bliver data lagret fysisk? Man kan blive genstand for overvågning fra fremmede magter, hvis de bliver lagret i visse dele af verden. Man skal også have cloudtjenesten til at kryptere alt, hvad den lagrer. Hvad med garantien for virksomhedens drift? Hvilke forholdsregler gælder i tilfælde af brand i datacentret? Står der i aftalen, at cloududbyderen skal orientere virksomheden i tilfælde af en sikkerhedsbrist? Nogle gør det ikke.

CSA har udarbejdet en gratis guide til de spørgsmål, man bør stille enhver potentiel udbyder af cloudtjenester.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge:

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Kontotyper

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Mobil malware

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

It-personale

[/themepacific_accordion_section]
[/themepacific_accordion]