Passwords og adgangskoder
Genbrug af passwords er den nemmeste måde at miste kontrol over en konto på. Når et website lækker sin brugerdatabase (og der sker hundreder af lækager om året), prøver angriberne automatisk de lækkede kombinationer på Google, Microsoft 365, banken og alt andet. Det kaldes credential stuffing, og det virker fordi folk bruger det samme password overalt.
Løsningen er en password manager. Du behøver ikke at huske et eneste. Du skal bare bruge manageren. Til personlig brug er Bitwarden gratis og open source. Bitwarden har en betalt plan med delte bokse, praktisk hvis du deler hjem med nogen der også skal have adgang.
Minimumsstandard: 16 tegn, ingen genbrug, ikke baseret på ord der kan gættes. En password manager genererer det automatisk.
To-faktor godkendelse (2FA)
Et stærkt password er ikke nok alene. Hvis nogen får fat i det (via phishing, keylogger eller datalæk) er kontoen kompromitteret. To-faktor kræver noget du ved (password) og noget du har (din telefon eller en nøgle).
SMS-baseret 2FA er bedre end ingenting, men svagt. SIM-swapping og SS7-angreb kan opfange SMS-koder. Brug i stedet en TOTP-app: Aegis (Android, open source, gratis) eller Raivo OTP (iOS). De genererer tidsbaserede 6-cifrede koder lokalt på telefonen.
For administratorkonti og kritiske systemer er en hardware-nøgle bedre endnu. YubiKey 5 (fra ca. 450 kr.) understøtter FIDO2/WebAuthn og fungerer med Microsoft 365, Google Workspace og de fleste andre større platforme. En hardware-nøgle kan ikke phishes. Den kræver fysisk besiddelse af nøglen.
Backup: 3-2-1-reglen
3-2-1 er ikke et buzzword, det er en minimumsstandard: 3 kopier af dataene, på 2 forskellige medier, med 1 kopi offsite. Ransomware krypterer alt den kan nå fra det kompromitterede system, inklusive monterede netværksdrev. En offline eller cloud-kopi redder virksomheden.
Til offsite cloud-backup er Backblaze B2 billig (ca. $6/TB/måned) og understøtter S3-kompatible backup-klienter. Til on-premise backup: rsync til en dedikeret NAS (Synology, QNAP) med snapshot-understøttelse, så ransomware ikke bare kan overskrive backup-filerne.
Test din restore-procedure mindst én gang om måneden. En backup du aldrig har testet er ikke en backup, det er et håb.
Opdateringer og patching
Ifølge Verizon Data Breach Investigations Report (DBIR) 2023 udnyttede over 32% af databrud kendte sårbarheder, sikkerhedshuller der allerede havde en patch tilgængelig. Det er ikke nul-dags angreb. Det er angribere der bruger patches omvendt til at finde hvad der ikke er lukket.
Slå automatiske opdateringer til på alle operativsystemer: Windows Update, macOS Software Update, unattended-upgrades på Linux. Software (browsere, Office-pakker, PDF-læsere) opdateres ikke automatisk af styresystemet og skal håndteres separat.
Vedligehold også en oversigt over hvad du kører. Ikke for hyggens skyld, men fordi du ikke kan patche software du ikke ved du har.
Phishing og social engineering
Phishing er ikke kun dårlig grammatik og nigeriske prins-mails. Moderne spear-phishing er skræddersyet med dit navn, din kollegas navn og en afsenderadresse der ser ægte ud. Det er designet til at narre dig. Og det virker.
Konkrete tegn at kigge efter: urgency ("svar inden for 2 timer"), usædvanlig afsenderadresse (check domænet, ikke kun visningsnavnet), links der peger et andet sted end de ser ud til (hover over linket), og anmodninger om at omgå normale godkendelsesprocedurer.
Vær skeptisk over for fakturaer fra nye leverandører, ændringer af kontonumre og adgangstilladelser bedt om via email. Ring og bekræft. Det er irriterende. Det er billigere end en overførsel til en angriber.
DMARC, DKIM og SPF på dit email-domæne reducerer risikoen for at nogen kan sende email der ser ud til at komme fra dig. Det er et par timers arbejde hos din DNS-udbyder.
Kryptér enheder
En mistet bærbar uden diskkryptering er et databrud. Med kryptering er det bare en mistet bærbar.
- Windows Pro/Enterprise: BitLocker: aktiveres under Systemindstillinger → Privacy & Security → Device encryption. Kræver Windows Pro; Home-udgaven har en begrænset variant.
- macOS: FileVault: Systemindstillinger → Privacy & Security → FileVault. Slå det til. Det tager under et minut at aktivere.
- Linux: LUKS (Linux Unified Key Setup): sættes typisk op ved installation. Eksisterende disk krypteres med
cryptsetup.
Gem recovery-nøglen et sted der ikke er på den krypterede enhed selv. En password manager er oplagt.
Incident response: hvad gør du når det sker?
"Når det sker" er mere realistisk end "hvis det sker". En plan der er skrevet på forhånd er lettere at følge under pres end en der improviseres.
Basale skridt: isolér det kompromitterede system fra netværket (tag netværkskablet ud, deaktivér WiFi), skift passwords på berørte konti fra en ikke-kompromitteret enhed, dokumentér hvad du kan se: skærmbilleder, log-filer og tidspunkter.
I Danmark: kontakt Center for Cybersikkerhed (CFCS) ved alvorlige hændelser via cfcs.dk. Politiet modtager anmeldelser om cyberkriminalitet. Er persondata kompromitteret, skal Datatilsynet anmeldes inden for 72 timer jf. GDPR artikel 33.
Gratis ressourcer
- CFCS vejledninger: Center for Cybersikkerhed udgiver gratis, praktiske vejledninger til virksomheder på dansk
- sikkerdigital.dk: regeringens portal til digital sikkerhed for borgere og virksomheder
- Datatilsynet — Informationssikkerhed: GDPR-krav til datasikkerhed på dansk
- Have I Been Pwned: tjek om dine emailadresser er i kendte lækager
Kilder
- Verizon Data Breach Investigations Report (DBIR) 2024: årsrapport om årsager og mønstre i databrud, baseret på over 30.000 sikkerhedshændelser globalt
- CFCS Trusselsvurderinger — Center for Cybersikkerhed: den officielle danske vurdering af trusselsniveauet for virksomheder og myndigheder
- ENISA Threat Landscape 2024: EU's cybersikkerhedsagentur kortlægger de mest udbredte angrebstyper i Europa
- Datatilsynet — Informationssikkerhed og GDPR artikel 33: officielle krav til anmeldelse af databrud inden 72 timer