Syv konkrete råd for å sikre deg og arbeidsplassen.
I en artikkel på Dagbladet nedspilte Erna Solberg problemet med pedofili, gitt at «man ikke får sæd på barnet». Hendelsen førte til at Aller Media, som eier Dagbladet, stengte ned flere av sine nettsider i tre timer.
Aller Media har senere gått ut med at flere artikler er berørt, men hvordan kunne det skje?
Foreløpig har Aller Media ikke gått ut med akkurat hvordan angrepet skjedde, men det har de siste ukene vært mye oppmerksomhet om passord som er på avveie. Adresseavisen dokumenterte at 2700 epostadresser tilknyttet norske mediehus lå blottstilt på nettet. Totalt er det snakk om at 600.000 nordmenn er i samme situasjon.
Mange av disse passordene er gamle, noen stammer helt tilbake til 2012. Problemet er bare at mange kun har ett passord, sjelden bytter, og ikke er klar over at det ligger eksponert på internett.
Det er sannsynlig at gamle passord kan ha blitt utnyttet for å få tilgang til Aller Medias systemer.
Målet med lignende angrep har vært å «drite ut» etablerte avsendere som Dagbladet og Twitter-sjef Jack Dorsey ved å få dem til å komme med hatefulle eller kontroversielle ytringer, men andre aktører ønsker heller å få tak i sensitiv informasjon.
La oss derfor snakke om hva du kan gjøre for at dette ikke skal skje med deg, noen i din familie, eller på arbeidsplassen.
1. Sjekk om du har passord på avveie
Nettsiden Have I Been Pwned samler opp databaser med eposter og passord som har kommet på avveie.
Det er mulig at passord har kommet på avveie som du senere har endret, men er du i tvil anbefales det å lage et nytt.
Bedrifter kan abonnere på varsler om funn av ansattes e-postadresser i passordlekkasjer, og de kan også sjekke hele den interne passord-databasen opp mot kjente kompromitterte passord.
2. Lag setninger, ikke hu$k k0mpliser1e tegn
Vi mennesker er notorisk dårlige på å huske lange tallrekker og tegnkombinasjoner. Derfor anbefaler mange passordeksperter å lage seg en setning.
For eksempel kan et passord være «AristokatteneErEnUndervurdertFilm».
Noen steder krever at du har tegn og tall i passordet, det blir i hvert fall enklere å huske når du først har et minneverdig startpunkt.
> Nasjonal sikkerhetsmyndighets passordanbefalinger
3. Det er lov å skrive passordet ned på papir!
Nye passordanbefalinger sier det er lov å ha passordet på et trygt sted, i hvert fall om du ikke jobber med sensitive systemer.
Det gjør det også lettere å ha unike passord til tjenestene du bruker.
4. Slå på tofaktor
Det er en grunn til at banken krever at du får tilsendt en kode eller har en såkalt kodebrikke hjemme. Det er for at angriperne i tillegg til å «vite noe» (passordet ditt) også må «ha noe».
Disse ekstrakodene gjør det mye vanskeligere å bryte seg inn på din bruker. Gjerne er det slik at systemet husker hvilke mobiler og datamaskiner som er «trygge».
Det gjør at du sjelden må taste inn en ny tofaktor-kode, men det er noen unntak. Spesielt sensitive systemer som banken din vil gjerne at du bruker denne tofaktor-koden hver gang. Med god grunn, ellers kan sparepengene renne bort.
Har ikke bedriften tofaktor på viktige systemer? Be dem gjøre det obligatorisk.
De fleste epostsystemer har tofaktor og det finnes flere guider om hvordan du kan gjøre det. For de fleste tjenester finner du tofaktor under menyer for «personvern» eller «sikkerhet».
> NRKbeta går mer i dybden på tofaktor
> Guide for Microsoft Outlook
> Landingsside for tofaktor og trygge enheter for Gmail
5. Få deg en lommebok til passordene dine
Vi er alle travle, stressa, og glemsomme. I tillegg vil vi jo gjerne også dele brukerkontoene til utallige strømmetjenester.
Det blir fort et problem om man kun har ett – 1 – passord til alle tjenester, eller om du strekker seg til et for jobb og en privat.
Forslaget er derfor å få en lommebok til alle passordene. Du trenger bare å huske hovedpassordet, også kan du legge inn alskens tjenester i lommeboken.
De fleste «passord managere» finnes som apper og nettlesertillegg, det gjør at du også slipper å jevnlig trykke «glemt passord».
De mest brukte lommebøkene er LastPass, 1Password, Dashlane, og Keepass. Flere av dem kommer i gratisutgaver og mange norske arbeidsplasser tilbyr lommebøker til sine ansatte.
Nå kommer det flere råd som gjelder på arbeidsplassen. Om noen av tiltakene mangler kan du nevne det for din nærmeste leder eller sikkerhetsansvarlig.
6. Har vi oversikt over hvem som har tilgang til hva?
Det er alltid lettere å gi folk tilgang enn å huske på å fjerne dem. Derfor har mange organisasjoner et sentralt register for å holde styr på tilganger, men selv da er det mye som faller mellom sprekkene.
Spør deg derfor selv om viktige systemer har rutiner for å fjerne gamle medarbeidere og jevnlige kontroller på hvem som har adgang.
7. VPN-sperre
VPN er hatet på mange arbeidsplasser. Hvorfor må det være så vanskelig å sjekke noe fra mobilen eller datamaskinen hjemme?
Det er likevel gode grunner til å kreve at man må være innlogget på bedriftens lokale nettverk (enten gjennom wifi eller VPN) for å få tilgang til enkelte systemer – det er en viktig fartsdump om angripere først får tilgang til en brukerkonto.
Da holder det ikke for angriperen å kun ha tilgang til internett for å logge seg inn. Det blir også vanskeligere å se etter svakheter i systemene.
Dette er ikke en utfyllende liste, men et godt sted å starte om du er i tvil.
Viderekommende kan for eksempel oppsøke Nasjonal sikkerhetsmyndighets veiledere og håndbøker eller vår artikkel om sikkerhetstips for deg som er på reise.