Test din basisviden om cybersikkerhed
Hvor meget ved du om cybersikkerhed? Test din viden i en kort quiz om cybersikkerhed.
Når det handler om at beskytte firmadata, vil der ske fejl – vi er kun mennesker! Men risikoen for menneskefejl er betydeligt større, når vi ikke har en grundlæggende forståelse af cybersikkerhed. I nedenstående quiz med 10 spørgsmål inviterer vi medarbejdere til at teste deres basisviden om cybersikkerhed.
Resultaterne og artiklen nedenfor giver en læringsressource til både medarbejdere og chefer, så de kan blive klogere på onlinebeskyttelse. Vi anbefaler, at du bogmærker denne side og arbejder dig gennem oplysningerne i dit eget tempo.
Tag quiz om cybersikkerhed
Cybersikkerhed til erhverv: Hvad du skal vide
Alle medarbejdere, alle delte filer og alle enheder udgør en potentiel risiko for din virksomhed. Erhvervsledere, der ikke prioriterer cyberbeskyttelse meget højt, øger deres risiko for at blive udsat for et skadeligt angreb eller miste data pga. dårlig administration.
Så hvad skal ledere og medarbejdere vide om cybersikkerhed?
Selvom quizzen stiller nogle grundlæggende spørgsmål om cybersikkerhed, er der meget mere at vide. Nedenfor forklarer vi nogle af de mest udbredte angrebstyper, som virksomheder oplever, samt de udfordringer, som erhvervsledere skal håndtere for at sikre deres digitale aktiver.
Udbredte angrebstyper
Eftersom cybersikkerhedsløsninger udvikler sig, gør angrebene mod virksomheder det samme. At kende de mest almindelige angreb og vide, hvordan de virker, kan hjælpe dig med at være mere årvågen og indføre databeskyttelse i din virksomhedspolitik og -kultur.
Her er fire almindelige angreb mod virksomheder:
Malware
Malware, eller skadelig software, får adgang til din enhed, uden du ved det, for at skabe generel kaos: give ballademagere adgang til dine filer, bruge din enhed som base til at sprede vira på et netværk, tjene penge til udvikleren, stjæle loginoplysninger osv.
Der er mange typer malware, og vi forventer, at selv virksomheder med begrænset sikkerhedsviden, vil have hørt om en af de mest kendte: ransomware.
Ransomware er en type malware, der giver en hacker adgang til dine filer. Den cyberkriminelle vil derefter blokere din adgang til pågældende filer og forlænge løsepenge for at give dig dine data tilbage (og en betaling er naturligvis ikke en garanti for, at dine data rent faktisk returneres til dig).
Malware kan finde vej ind på dit system på flere måder, inkl. via mail eller en delt forbindelse med en enhed, der allerede er inficeret. En trojansk hest er – som du måske har regnet ud, hvis du kender historien fra oldtidens Grækenland – malware forklædt som ægte software. Du tror måske, at du downloader en uskadelig app til din computer eller mobil, men i virkeligheden byder du en virus velkommen til din enhed.
De fleste gange vil du ikke vide, at malware angriber dit netværk, indtil den allerede har forårsaget skade. Måske undrer du dig over, hvorfor din enhed virker langsommere end normalt, eller hvorfor din hukommelse pludselig er fuld. Derfor er anti-malware en vigtig del af erhvervssikkerheden – den stopper skadelig software, før den når din enhed.
Få mere at vide om de forskellige typer malware, lige fra spyware til botnets, i vores guide.
Mailangreb
Mailangreb var før ret nemme at spotte – en mail med dårligt sprog og en overdreven forklaring om, hvor meget det haster, og at du skal klikke på et besynderligt link eller sende penge. I dag er de dog langt mere sofistikerede og kan bruges til at stjæle oplysninger såsom kreditkortoplysninger via teknikker som phishing.
Phishing-mails, eller phish, henvises nogle gange til som spam, men det er ikke det samme. Spam betyder blot uønskede mails, og de fleste mailklienter er gode til at filtrere det væk, som du nok ikke er interesseret i. Phishing, derimod, er mails, der synes reelle nok og fra en pålidelig kilde som en bank eller velgørenhed.
Spearphishing er endnu snedigere. Angribere bruger tid på at undersøge en virksomhed eller en person og identificere, hvem de bør imitere, og hvem de bør gå efter for at have den bedste chance. For eksempel kan de oprette en kopi af direktørens konto og via mail bede en assistent om at sende bankloginoplysninger. Phishing-mails sendes i massevis, hvorimod spearphishing er langt mere målrettet.
Læs vores dybdegående guide om typer af phishing-angreb, og hvordan de identificeres.
Kodeinjektion
Den gennemsnitlige medarbejder har måske hørt om "malware" eller "phishing", selv hvis de ikke ved, hvad det betyder. Men vi er ret sikre på, at de færreste har hørt om SQL-injektion.
SQL, eller "Structured Query Language", henviser til det sprog, der bruges i administration af databaser. Hvis du f.eks. vil kende en forhandlers lokale afdeling, vil du nok gå til deres websteder og skrive placeringen i søgefeltet. SQL bruges til at læse den søgning eller forespørgsel og returnere relevante resultater fra en database, der ligger på webserveren.
Under et SQL-injektionsangreb udnyttes svaghederne i et websteds konstruktion til at uploade, eller injicere, skadelig kode i databasen. Koden giver hackeren adgang til og kontrol over webserverens database for frit at foretage ændringer og stjæle data.
Hvis du gemmer logins, mailadresser eller andre slags personligt identificerbare data, der er adgang til via dit websted, kan dine kunder og din virksomhed være udsat. Og hvis du aktiverer nogen form for transaktioner på dit websted, kan det være særdeles skadeligt.
Et lignende angreb er "cross-site scripting", eller XSS. Det udnytter også svagheder i et websteds kodning – eller i programmer – men det injicerer kode, der kan ændre eller tilføje scripts. Dette angreb bruger HTML eller JavaScript i stedet for SQL og kan bruges til at forvandle et reelt websted til et skadeligt et. XSS kan f.eks. bruges til at tilføje et script, der downloader malware til en kundes enhed, hver gang personen downloader en PDF fra dit websted.
Læs, hvordan din virksomhed bør sikre sine webservere og hvorfor.
DOS
Alle handlinger, du udfører på din enhed, er en anmodning, der skal fuldføres; f.eks. "send denne mail", "luk dette program" eller "åbn dette link". Hvis du nogensinde har haft for mange faner åbne i din browser, ved du, hvordan flere anmodninger kan gøre din enhed langsommere – og hvor frustrerende dette kan være, når du prøver at overholde en deadline eller fuldende en rapport. Denne tilstand, hvor der ikke svares, er det, som DOS-angreb (Denial of Service) prøver at opnå, men i et større omfang.
DOS-angreb starter med malware. Når din enhed bliver inficeret, laver DOS-softwaren anmodninger efter anmodninger, indtil dit system er fuldstændig overbelastet, og muligvis også hele dit firmanetværk. Din virksomhed skal blokere enheden fra webserveren, før den pågældende malware kan fjernes.
DDoS, eller Distributed Denial of Service, er en avanceret version af et DOS-angreb, som bruger flere kompromitterede enheder i stedet for kun én til at udføre angrebet.
Når malware lander på en enhed, kan den sprede sig til andre computere og danne et netværk. Dette netværk af inficerede enheder kaldes et botnet og giver hackeren magt til at overbelaste systemer med anmodninger fra flere steder. Så modsat DOS har det ingen gavn at blokere en enkelt kilde fra din server – angrebet vil blot fortsætte fra en anden kompromitteret enhed.
DDoS-angreb er ofte forbeholdt store virksomheder, offentlige myndigheder og pengeinstitutter.
Du kan få mere at vide om den nuværende trussel fra DDoS-angreb her.
Hvad er de mest almindelige udfordringer for virksomheder?
Der er mange problemer, som virksomheder skal håndtere for at sikre avanceret beskyttelse af deres digitale aktiver. Selvom erhvervsledere skal forstå disse politikker og implementere sikkerhedsforanstaltninger, bør alle medarbejdere have en grundlæggende viden om, hvorfor disse ting er vigtige.
Herunder er nogle af de primære overvejelser for virksomheder, og hvad medarbejderne skal vide om dem.
Cloud-computerisering
Clouden har uden tvivl revolutioneret firmaers praksisser og støttet den digitale omstilling for mange virksomheder. Fordelene omfatter at kunne tilgå filer online når og hvor som helst, hvilket muliggør fjernsamarbejde og giver en nemt skalerbar løsning til at skabe vækst.
Cloud-computerisering kan være mere risikabelt end traditionel computerisering, da der er flere brugere og enheder med netværksadgang. Dette åbner potentielle adgangspunkter, så cyberkriminelle kan stjæle data, og det kan også gøre dataoverholdelse sværere at opnå.
Robuste cybersikkerhedsforanstaltninger er nemmere at implementere i clouden, og derfor kan SMV'er drage fordel af skiftet fra traditionelle servere. Men for at sikre årvågenhed bør medarbejderne kende de mulige risici i umiddelbart simple handlinger som at dele en fil med nye brugere eller flytte data mellem mapper.
Læs vores artikel om datasikkerhed i cloud-computerisering.
Antivirussoftware
Forsigtighed og fornuft kan kun gøre så meget, når det kommer til cybersikkerhed. Det er lige meget, hvor forsigtig du er med at undgå usikre websteder eller blokere mails fra ukendte kontrakter: Cyberkriminelle er snedige og bruger flere angrebsmetoder til at udnytte din virksomhed, og menneskefejl er uundgåelige. Og derfor skal virksomheder installere antivirussoftware fra en pålidelig leverandør som f.eks. Avast Business.
En anerkendt og effektiv antivirusløsning vil have funktioner som:
- en sikker mailgateway for at blokere mistænkelig mailtrafik
- en avanceret firewall til at filtrere upålidelige netværksforbindelser
- en datamakulator for at slette følsomme filer sikkert og permanent
- et softwareopdateringsprogram til at tackle sårbarheder i programmer.
Denne liste er ikke udtømmende, men giver dig en idé om, hvad du kan forvente fra din virksomheds cybersikkerhedsløsning. Det er vigtigt, at gratis antivirussoftware og software, der er udviklet til personlig brug, ikke bruges i firmaet.
Få mere at vide om, hvorfor antivirus er afgørende for virksomheder.
Datakryptering
En virksomheds data er ét af de mest værdifulde aktiver, den har. I dag sker filhåndtering næsten kun online, og lige som at en virksomhed ikke ville lade døren til deres fysiske filarkiv stå uløst, skal deres digitale data ligeså være beskyttet.
Datakryptering er lige som at låse et arkivskab – en nøgle bruges til at låse eller kryptere dataene, og kun en person med den samme nøgle kan åbne den. Uden en nøgle er dataene ubrugelige. Dette er særligt vigtigt for data i transit – dvs. data, der sendes eller deles via mail, eller som flyttes til eller i et cloudlager – fordi det er her, de er mest sårbare over for et angreb.
Slutpunktssikkerhed
Inden for cybersikkerhed henviser begrebet "angrebsoverflade" til alle de potentielle punkter for databrug og -angreb. Jo større en virksomheds angrebsoverflade er, jo sværere er den at administrere. Hvis en virksomhed f.eks. har to medarbejdere, hver med en laptop og firmatelefon og adgang til en delt mappe på en enkelt server, vil angrebsoverfladen være ret lille. Ledere ved, hvem der har adgang til hvilke enheder og hvilke data. Men hvis en virksomhed har flere hundrede eller tusinde medarbejdere med flere servere, er angrebsoverfladen ganske stor.
Slutpunktsbeskyttelse virker ved at sikre hver enhed og forhindre angreb i at sprede sig fra et enkelt punkt til resten af netværket. Moderne løsninger til slutpunktsbeskyttelse kombinerer ofte antivirus med andre værktøjer, der tilbyder ekstra sikkerhedslag for følsomme filer og programmer såsom administration af rettelser, for at levere en omfattende løsning.
Politik om cybersikkerhed
Som medarbejder bør du have adgang til en firmapolitik om cybersikkerhed, der forklarer, hvilke foranstaltninger der er taget, hvem der er ansvarlig for databeskyttelse, og hvad der skal gøres i tilfælde af et angreb. Dette dokument er med til at sikre en tilgang med flere lag, lige fra adgangskodestyring til antivirussoftware, og angiver forventningerne til medarbejderne.
Databeskyttelse og -overholdelse bør dækkes i politikken. Der er forskellige bestemmelser for datahåndtering og -lager, der ofte er specifikke for et område og/eller en branche. Alle medarbejdere har en pligt til at arbejde med disse standarder.
Se vores skabelon til politik om cyberbeskyttelse.
Branchespecifikke udfordringer
Vi stillede 2.000 medarbejdere fra forskellige brancher i USA og Storbritannien spørgsmål om cybersikkerhed. Resultaterne fremhæver vigtigheden af at bruge din viden om cybersikkerhed i rette kontekst: Hvad er f.eks. de specifikke udfordringer i netop din branche?
Her er tre eksempler fra vores resultater:
1. NGO'er og sociale myndigheder
Vores respondenter, der alle var kontoransatte, stemte på de tre vigtigste aspekter ved cybersikkerhed: at installere antivirus/anti-malware, at installere firewalls og at bruge stærke adgangskoder. Men når vi kigger på det efter branche, kan vi se, at NGO'er og sociale myndigheder valgte en anden top 3: at installere antivirus/anti-malware, at oplære medarbejdere og at bruge stærke adgangskoder.
Ingen af disse muligheder er mere eller mindre vigtige – de bør alle være en del af en samlet strategi – men det er interessant at se de forskellige prioriteringer. I dette tilfælde kan NGO'er lægge mere vægt på oplæring pga. mindre teams og strammere budgetter, hvilket betyder, at hver medarbejder har bredere ansvarsområder end i andre brancher.
2. Myndigheder og offentlig sektor
Vi fandt ud af, at personer, der arbejder inden for kommunen og den offentlige sektor, er mere afhængige af deres IT-afdeling end medarbejdere i andre brancher. Det offentlige vil have store teams dedikeret til IT og onlinebeskyttelse pga. følsomheden af de data, der håndteres.
45% af de offentligt ansatte, som vi spurgte, tror, at de selv bliver holdt ansvarlige for et potentielt databrud, og det er mere end i andre brancher. Samlet set indikerer disse resultater, at offentligt ansatte er mere nervøse for det personlige ansvar og foretrækker, at IT-folk håndterer cybersikkerheden.
Selvom IT-professionelle har langt mere indgående kendskab til cybersikkerhed, er det vigtigt, at alle medarbejdere er opmærksomme – for hver medarbejder er en del af virksomhedens forsvar mod angreb og databrud.
3. Produktion, transport og distrution
Folk inden for produktion, transport og distribution er tre gange mere tilbøjelige end dem i NGO'er og sociale myndigheder til at tro, at de kan spotte et cyberangreb. De er desuden mindre tilbøjelige end andre brancher til at vide, at angreb kan være i gang længe uden at blive opdaget.
Disse resultater viser et særligt behov for, at medarbejderne i disse brancher får en bedre forståelse af, hvordan cyberangreb virker. Hvis medarbejdere tror, at de vil kunne se, når et brud sker, er der risiko for, at de bliver mindre opmærksomme på det – en kæmpe udfordring inden for cybersikkerhed. Selvom der er måder at spotte et angreb på, f.eks. en langsom computer eller et uforklarligt overfyldt lager, udvikler cyberkriminalitet sig hele tiden, og cyberkriminelle finder nye måder at komme ubemærket forbi forsvaret på.
Kendskab til denne kendsgerning bør gøre folk inden for produktion, transport og distrution mere opmærksomme på fordelene ved beskyttelse med flere lag, lige fra stærke adgangskoder til opdateret software.
Avanceret erhvervsbeskyttelse
Hvis du har en lille virksomhed eller arbejder med IT i en stor virksomhed, kan Avast Business hjælpe dig med at få ro i sindet, når det kommer til at sikre din virksomheds digitale aktiver. Med 100% cloudbaseret, lagdelt slutpunktsbeskyttelse og netværkssikkerhed, der er nem at installere og administrere, er vores software den ideelle løsning til den moderne arbejdsplads.
© 2024 Gen Digital Inc.