Artikel top billede

(Foto: Computerworld)

Undgå katastrofer på de sociale medier

Det er vigtigt for virksomheder at være på de sociale medier, men mange glemmer en sikkerhedsstrategi, og det kan være problematisk.

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Brugen af sociale medier får større og større betydning for danske virksomheder. At være til stede på LinkedIn, Facebook, Instagram, YouTube og andre lignende platforme giver opmærksomhed, mulighed for at ramme nye kanaler, fastholde kunder og have en mere direkte kommunikation med loyale kunder.

Men brugen af sociale medier har også en bagside, for mange it-kriminelle har ingen kvaler med at bruge de sociale medier i forsøg på at miskreditere virksomheder eller hacke sig dybere ind i virksomhedernes indre ad den vej.

Inden de røde flag bliver rejst, er det dog vigtigt at skelne mellem, hvornår en virksomhed er blevet hacket, eller virksomhedens sociale medie-konto har lidt denne skæbne.

”Vi har et aktuelt emne, hvor danske medier skrev om en dansk discount-kæde, der var blevet hacket. I virkeligheden var det deres Instagram-konto, der var blevet hacket, men det misforstod mange danske medier,” forklarer Leif Jensen, CBO i sikkerhedsfirmaet Eset Nordics.

Det betyder ikke, at det ikke kan være problematisk, når en virksomheds SoMe-konti kommer i de forkerte hænder. Leif Jensen ser to problemer her, nemlig at virksomheders brand hænger tæt sammen med dens profiler på sociale medier, og at mange virksomheder ikke har en egentlig strategi for, hvordan sociale medier håndteres i virksomheden.

Flere medarbejdere deler

”Ofte deles flere medarbejdere i en virksomhed om kontoen, og når så en medarbejder er væk, har han eller hun stadig adgang. Andre genbruger login-detaljer, så adgangskoder til sociale medier også kan bruges til at få adgang ind i virksomheden, og hvis så SoMe bliver hacket, er der potentielt set adgang til virksomheden,” pointerer Leif Jensen.

En anden, ofte overset, effekt af synligheden på sociale medier er, at mange virksomheder opfordrer deres medarbejdere til at være ambassadører for virksomheden gennem deres egne sociale medie-konti.

”Men hvis en medarbejder får sin SoMe-konto hacket, så kan det ramme virksomhedens brand. For hvad medarbejderen siger og gør, bliver ofte opfattet som en forlængelse af virksomheden,” siger Leif Jensen.

Vi stoler på beskederne

Ofte ses det, at virksomhedens SoMe-konto er linket til en privat konto, for eksempel på Facebook, hvilket Leif Jensen ikke umiddelbart ser nogen problemer i, for hackeren får nemlig ikke adgang til virksomheden, bare fordi den private konto bliver hacket.

”Problemet ligger i, at SoMe er et godt sted at lave phishing. Vi stoler på de beskeder, vi får derfra, og derfor er vi mere tilbøjelige til at klikke på dem,” forklarer Leif Jensen. Det gælder både for de opslag, der kommer på en virksomheds SoMe, og især på de beskeder, vi får gennem beskedtjenester som Messenger.

”Her klikker folk gerne på links; de kommer jo fra folk, de kender,” siger Leif Jensen. Problemet med links i beskeder på sociale tjenester og beskedtjenester er ikke kun, at det kan være falske informationer, der bliver sendt ud, men at de links kan sende brugerne hen til sider, der indeholder skadelig kode eller smart phishing.

”De fleste virksomheder har i dag et spamfilter i deres mailprogram, men der er intet spam- eller phishingfilter, der napper links i Messenger eller på de sociale medier. Det gør det ekstra problematisk,” fortæller Leif Jensen.

Mobiltelefoner bør sikres

Derfor er det også ekstra vigtigt, at der er etableret en god og robust sikkerhed direkte på virksomhedernes endpoints, altså computere og ikke mindst smartphones. Leif Jensen så gerne, at det var muligt at implementere sikkerhedsværktøjer, som integrerer sig med de sociale medier og beskedtjenester. ”Det har været forsøgt før. Desværre kan vi ikke få den adgang ned i maven på for eksempel Facebook, som vi skal bruge,” siger Leif Jensen.

Politik på plads

Virksomheder skal ikke holde sig fra de sociale medier, men Leif Jensen så gerne, at de fik mere styr på strategien for, hvordan de er der, og ikke mindst hvordan de håndterer login og adgangskoder. ”Et minimum bør være, at de sikrer sig, at der altid bliver brugt tofaktorgodkendelse. Noget, vi som privatbrugere også bør gøre,” pointerer Leif Jensen.

Herudover mener han, at virksomhederne også skal have helt styr på, hvem der har adgang til deres sociale medier. ”Der skal etableres en procedure for, hvem der må have adgang, og hvad man gør, hvis denne person forlader virksomheden,” forklarer Leif Jensen.

Derudover er det vigtigt, at man uddanner medarbejderne, et mantra, som hele sikkerhedsbranchen har været ude med i mange år, når det kommer til sikkerhed. ”Det er vigtigt at sikre, at medarbejdere ved, hvordan de passer på deres konti, både egne og virksomhedens."

"De skal kende til de potentielle konsekvenser, hvis de klikker på alle mulige links, når de sidder på virksomhedens computer, og de skal generelt uddannes i at være årvågne på de sociale medier,” mener Leif Jensen.

Det går ikke altid godt

For virksomhederne gælder det, at man ikke bare søsætter et SoMe-projekt og så håber, at alt går godt.
”Der er ingen medarbejdere, som gør noget i ond tro, men hvis de ikke bliver uddannet i, hvad de skal og må gøre der, så kan det gå galt,” pointerer Leif Jensen. Endelig skal virksomhederne have styr på overvågning af de sociale medier, så de kan finde eventuelle falske profiler, noget, der stadigt hyppigere dukker op.

”Folk tror, at det er en officiel side, og dermed bliver det let at sprede misinformation og få folk til at deltage i konkurrencer, der ikke er konkurrencer,” siger Leif Jensen. ”Det betyder ikke, at hackeren kommer ind på virksomhedens netværk, men det skader virksomhedens brand, og det kan være yderst skadeligt.”

Følg disse råd – så er risikoen mindre

Virksomhederne kan rende ind i sikkerheds- og imageproblemer, hvis uheldet er ude på de sociale medier. Gør risikoen mindre ved at følge en række basale retningslinjer og gode råd.

Følg et SoMe-regelsæt


  • Regler for privat brug af sociale medier på arbejdspladsen.

  • Regler for interaktion med links på sociale medier og i beskedtjenester.

  • Regler for, hvem der må logge på virksomhedens SoMe-profil.

  • Regler for login til SoMe.

  • Retningslinjer for, hvem der skal kontaktes ved mistænkeligheder på SoMe.

Uddan medarbejderne


  • Medarbejderne skal forstå begreber som phishing, scam og spam.

  • Medarbejderne skal forstå konsekvenserne ved phishing mv.

  • Medarbejderne skal lære om de nyeste tendenser på SoMe.

Minimer adgangen


  • Begræns antallet af medarbejdere, der har login til SoMe, så uheldige opslag ikke skader virksomhedens image.

  • Etabler procedurer for at fjerne adgang til SoMe, når medarbejdere forlader virksomheden.

Overvåg kontoen


  • Hold øje med virksomhedens SoMe-konto, så der kan reageres hurtigt ved mistænkelig adfærd.

  • Følg op på mistænkelig adfærd med det samme.

  • Brug eventuelt et overvågningsværktøj til at holde styr på SoMe.