Bevissthetsmåned for cybersikkerhet 2023

20 år med bevissthetsmåned for cybersikkerhet

Oktober 2023 markerer 20 år med Cybersecurity Awareness Month, en måned dedikert til å øke bevisstheten om digital sikkerhet, og gi alle mulighet til å beskytte sine personlige data mot digitale former for kriminalitet.

I år ser myndighetspersoner og bransjeledere på hvor langt vi har kommet de siste 20 årene, og hvor vi må gå for å sikre vår digitale fremtid.

Les bloggen vår: Nøkkelfaktorer for et vellykket 20-årig partnerskap: Exclusive Networks og Fortinet deler sin hemmelighet

Som en global spesialist på cybersikkerhet for digital infrastruktur er Exclusive Networks opptatt av å akselerere overgangen til en helt pålitelig digital verden. Vi fortsetter å samarbeide med våre leverandører og partnere for å sikre teknologi, beskytte kritisk infrastruktur og bygge bro over karrieregapet innen cybersikkerhet gjennom banebrytende løsninger, tjenester og opplæring for å utstyre vår verden med morgendagens kritisk nødvendige cybervakter. Dette inkluderer vårt Exclusive Academy-initiativ, et spesialisert opplæringsprogram for å hente inn unge talenter og gi dem praktisk felterfaring i tillegg til teoretisk opplæring fra Exclusive Networks' eksperter.

Vi er glade for å offisielt støtte Cybersecurity Awareness Month 2023.

Årets Cybersecurity Awareness Month fremmer følgende fire viktige cybersikkerhetsatferder, som er enkle og gjennomførbare for både enkeltpersoner og bedrifter:

1. Opprett sterke passord og bruk en passordadministrator
2. Aktiver multifaktorautentisering
3. Oppdater programvaren din
4. Gjenkjenn og rapporter phishing-forsøk

Vi hjelper våre partnere og deres kunder med å beskytte dataene deres på mange måter, men ved å følge disse få, enkle trinnene kan du gjøre en stor forskjell for å hjelpe alle med å holde seg trygge og sikre på nettet.

Opprett sterke passord og bruk en passordadministrator

Svake eller stjålne passord er årsaken til 81 % av alle datainnbrudd. Kan du tro at de vanligste passordene som brukes i 2023, fortsatt er "123456789" og "password"? Nettkriminelle kan knekke et svakt passord, eller et passord som er lett å gjette seg til, i løpet av få timer. Mer komplekse, "sterke" passord kan det derimot ta mer enn en mannsalder å dechiffrere.

Microsoft definerer et sterkt passord som:

• Minst 12 tegn langt, men 14 eller flere er bedre
• En kombinasjon av store bokstaver, små bokstaver, tall og symboler
• Ikke et ord som finnes i en ordbok eller navnet på en person, et tegn, et produkt eller en organisasjon
• Vesentlig forskjellig fra dine tidligere passord - stjålne passord deles ofte på nettet slik at andre nettkriminelle kan bruke dem
• Lett for deg å huske, men vanskelig for andre å gjette, f.eks. en minneverdig setning som "6MonkeysRLooking^".

For å holde kontoer og enheter trygge og sikre bør du aldri dele brukernavn eller passord med noen, og unngå å skrive dem ned. Med tanke på at en gjennomsnittsbruker har 27 ulike arbeidsapplikasjoner som må verifiseres, kan en passordbehandler være til stor hjelp hvis du har mange kontoer og sliter med å huske flere passord. Mange passordbehandlere oppdaterer automatisk lagrede passord, holder dem kryptert og krever multifaktorautentisering for tilgang.

På grunn av risikoen ved dårlig passordhygiene går mange bedrifter nå over til passordfri autentisering.

Les mer om Thales FIDO2 Passwordless Devices

Les mer om Thales

Aktiver flerfaktorautentisering

Multifaktorautentisering (MFA) gir et ekstra sikkerhetslag i tillegg til passord, for å hindre at uautoriserte brukere får tilgang til kontoer og enheter, selv når passordet er gjettet eller stjålet. Det krever mer enn én type legitimasjon for å logge inn. MFA finnes i flere former, som alle sikrer at du er den eneste personen som har tilgang til kontoen din.

MFA-metoder inkluderer

• Noe du vet: Passord, PIN-koder og sikkerhetsspørsmål
• Noe du har: Maskinvare- eller programvaretokens, sertifikater, e-post, SMS og telefonsamtaler
• Noe du er: Fingeravtrykk, ansiktsgjenkjenning, irisskanning og håndavtrykksskanning
• Hvor du befinner deg: Kilde-IP-områder og geolokalisering

Økt bruk av nettskyen, mobile enheter og utvidede leverandørkjeder gjør at organisasjoner er på jakt etter sterke MFA-løsninger. De ovennevnte metodene er basert på en rekke ulike teknologier, først og fremst engangspassord (OTP) og Public Key Infrastructure (PKI). Slik fungerer disse teknologiene, ifølge Thales.

OTP-er er en form for "symmetrisk" autentisering, der et engangspassord genereres to steder samtidig - på autentiseringsserveren og på maskinvaretokenet eller programvaretokenet du har i din besittelse. Hvis OTP-en som genereres av tokenet ditt, samsvarer med OTP-en som genereres av autentiseringsserveren, er autentiseringen vellykket, og du får tilgang.

PKI-autentisering er en form for "asymmetrisk" autentisering, ettersom den baserer seg på et par ulike krypteringsnøkler - nemlig en privat krypteringsnøkkel og en offentlig krypteringsnøkkel. PKI-sertifikatbaserte maskinvaretokens, som smartkort og USB-tokens, er utformet for å lagre den hemmelige private krypteringsnøkkelen på en sikker måte. Når du autentiserer deg på organisasjonens nettverksserver, utsteder serveren for eksempel en numerisk "utfordring". Denne utfordringen signeres med den private krypteringsnøkkelen din. Hvis det er en matematisk korrelasjon, eller "match", mellom den signerte utfordringen og den offentlige krypteringsnøkkelen din (som er kjent for nettverksserveren), er autentiseringen vellykket, og du får tilgang til nettverket.

Se The Science of Secrecy med Simon Singh for å lære mer om offentlig nøkkelkryptografi

Se her

Oppdater programvaren din

Mange brukere antar at programvareoppdateringer lanseres for å introdusere nye produktfunksjoner, men de inneholder også viktige oppdateringer for å fikse IT-sikkerhetshull og feil. Det samme gjelder for operativsystemer (OS). Å ha oppdatert programvare er en viktig måte å ligge ett skritt foran trusselaktørene som lever av sårbarheter i programvaren.

De fleste IT-team sender ut automatiske programvareoppdateringer for organisasjonens bedriftsapplikasjoner og enhetens operativsystem. Det er dette som vanligvis får enheten til å starte på nytt. Når du oppdaterer programvare selv, må du alltid sørge for å sjekke at du laster den ned fra en offisiell kilde, ettersom uoffisiell programvare ofte inneholder skadelig programvare. Mange enheter og applikasjoner har et alternativ for automatisk oppdatering, noe som betyr at du ikke trenger å bekymre deg for utdaterte versjoner eller at du går glipp av viktige sikkerhetsoppdateringer.

Skann etter sårbarheter i hele organisasjonen med Tenable Nessus

Finn ut mer

Gjenkjenn og rapporter phishing-forsøk

Phishing er en svindel som er utformet for å stjele sensitiv informasjon eller passord, kompromittere enheter eller sende penger til nettkriminelle. Det kommer vanligvis i form av e-post, men kan også komme i form av villedende tekstmeldinger (kjent som smishing, en kombinasjon av SMS og phishing), sosiale innlegg, popup-vinduer på nettet, telefonsamtaler (kjent som vishing - eller stemmephishing) og til og med samarbeidsverktøy som Microsoft Teams - en ny type risiko.

Les mer om Blokker virus, skadelig programvare og phishing med Mimecast Protection for Microsoft Teams

Les mer

Ved nettfisking bruker nettkriminelle sosial manipulering for å lure deg til å dele private og konfidensielle data, for eksempel bankkontonummer eller påloggingsinformasjon. De kan be om navn, kontoinformasjon, fødselsdato, passord og annen sensitiv eller hemmelig informasjon. De vil ofte lure deg til å åpne en lenke eller en fil i en melding som ser legitim ut. Hold alltid musepekeren over en lenke først for å sjekke at den ser legitim ut, og hvis du er i tvil, ikke klikk på den, men rapporter den. Se opp for:

Ved nettfisking bruker nettkriminelle sosial manipulering for å lure deg til å dele private og konfidensielle opplysninger, for eksempel bankkontonummer eller påloggingsinformasjon. De kan be om navn, kontoinformasjon, fødselsdato, passord og annen sensitiv eller hemmelig informasjon. De vil ofte lure deg til å åpne en lenke eller en fil i en melding som ser legitim ut. Hold alltid musepekeren over en lenke først for å sjekke at den ser legitim ut, og hvis du er i tvil, ikke klikk på den, men rapporter den. Se opp for:

• En uspesifikk avsender, noen du ikke kjenner, eller som ikke samsvarer med "fra"-adressen
• Ukjente, uvanlige eller generiske hilsener
• Stave- og grammatikkfeil
• En mistenkelig lenke som ikke samsvarer med URL-adressen til nettsiden i e-posten
• En lenke til bilder eller videoer fra personer du ikke kjenner
• En lenke eller et vedlegg for å vise noe uventet, f.eks. for å spore en ukjent pakke
• Vedlegg med feil eller mistenkelige filnavn eller mistenkelige filtyper (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx)
• Bilder med lav oppløsning

Hvis du vil spore og kryptere e-poster du sender til bedrifter som inneholder sensitive data, bør du vurdere RPost

Finn ut mer

Generisk, dagligdags phishing er vanligvis ikke målrettet og er lettere å oppdage. Andre typer phishing er blant annet

• Spear phishing: retter seg mot en bestemt person og studerer vedkommende for å kunne skrive en mer overbevisende, legitimt utseende melding for å lure vedkommende til å senke guarden og dele sensitiv informasjon.
• Hvalfangst: retter seg spesielt mot administrerende direktører og medlemmer av toppledelsen.
• Phishing av delte dokumenter: Etterligner en e-post fra fildelingsnettsteder som Dropbox, Google Drive eller OneDrive for å si at et dokument har blitt delt med deg, men lenken er til en falsk påloggingsside som stjeler kontoinformasjonen din.

For å bekjempe nettfisking investerer mange organisasjoner betydelig i formell opplæring i cybersikkerhet for sine ansatte, og gjør dem til deres mest verdifulle forsvarslinje mot dataangrep.

Les mer om Proofpoints plattform for opplæring i sikkerhetsbevissthet og phishing-simulering

Les mer

Cybersikkerhet trenger ikke å være komplisert eller overveldende. Bare det å praktisere disse fire grunnleggende trinnene bidrar til å utvikle sikre vaner som enkelt kan innlemmes i hverdagen. Når hver enkelt person og hver enkelt organisasjon gjør sitt, reduserer vi cyberrisikoen og holder den digitale livsstilen vår beskyttet og pålitelig.

Finn ut mer om dette

Finn ut mer om hvordan organisasjoner kan støtte opp om kompetansehevingen innen cybersikkerhet:

• Exclusive Networks opplæringskurs
• Bygge opp neste generasjon fagfolk innen cybersikkerhet - Exclusive Academy-modellen
• Om bevissthetsmåneden for cybersikkerhet