Aktiviteter, der bør flyttes op på listen over it-sikkerhed

Aktiviteter, der bør flyttes op på listen over it-sikkerhed

IT-sikkerhed er altid arbejdskrævende, og som et resultat af coronapandemien er den blevet endnu mere besværlig.Her er de nye aktiviteter, der skal tilføjes til listen om it-sikkerhed. Det handler om alt fra nye krav, der følger med øget fjernarbejde, til nye typer netphishing. Her giver Mike Spaulding, sikkerhedsekspert fra Vertiv, et overblik over hvad der skal gøres

Kommentar af: Mike Spaulding, sikkerhedsekspert, Vertiv

En interessant observation i disse tider er, at spredningen af en virus som corona er meget lig den måde, computervirus spreder sig på. Spørgsmålet er, om denne observation fører til indsigt i, hvordan arbejdet med it-sikkerhed skal håndteres. Hvad der imidlertid er krystalklart er, at coronapandemien medfører nye og ændrede krav til, hvordan it-sikkerhedsarbejde skal udføres.

Det er naturligvis den enorme stigning i fjernarbejde, der ligger bag de skiftende krav. Mange, måske de fleste, virksomheder skal simpelthen investere i fjernarbejde for at overleve.

Lige nu arbejder mange it-afdelinger på højtryk med at skabe virtuelle arbejdsmiljøer (VDI, virtuel desktop infrastruktur) og servicebaserede desktop-miljøer (DaaS, desktop as a service). Derudover flyttes en stor mængde applikationer og kørsler til skyen. Denne transformation betyder nye sikkerhedsproblemer og sårbarheder.

Det betyder, at virksomhederne på trods af alt andet, der kræver opmærksomhed, har brug for meget tid til it-sikkerhed. Blandt andet skal man kontrollere netværksforbindelser, kapacitet og firewalls og evaluere, hvilke applikationer der skal køres i virtuelle private netværk (VPN'er), og hvilke der skal være tilgængelige direkte i skyen.

Tilføj dertil behovet for nye sikkerhedskopierings-, batch- og katastrofegendannelsesløsninger. Det generelle arbejde med at beregne kapacitetskrav til applikationstjenester, infrastrukturtjenester og platformtjenester i skyen, og hvordan fordelingen mellem dem skal se ud, skal også udføres.

Forskellige typer phishing har været et problem i lang tid. Nu ser vi nye varianter, der øges i deres omfang som følge af coronapandemien. Et eksempel er e-mails med tilbud fra forskellige websteder om at købe produkter, der er vanskelige at få fat i lige nu, såsom ansigtsmasker og sprit. Et andet eksempel er e-mails, hvor påståede sundhedsvirksomheder beder om betaling på vegne af modtagerens venner og familie.

Der er endnu flere varianter, såsom falske flyselskaber og hoteller, der tilbyder refusion, og skurke, der foregiver at repræsentere velgørenhedsorganisationer. Målet for dem, der sender denne type e-mail, er naturligvis at få folk til at betale penge for varer og tjenester, de aldrig får, eller give penge til velgørenhed, der ikke findes. I nogle tilfælde handler det om at få folk til at klikke på links, der fører til ”ondsindede” websteder.

En passende indsats for sikkerhedsbevidste virksomheder er at opdatere oplysninger til personalet om phishing, både om hvordan beskeder kan se ud om, hvordan medarbejdere skal handle.

Oplysninger om, hvad medarbejderne skal huske på, når de arbejder hjemmefra, bør også opdateres. Det kan antages, at de fleste mennesker har mindre sikre it-miljøer hjemme end på de kontorer, hvor de normalt arbejder. Det kan være, at de bruger standardadgangskoder eller adgangskoder, der er lette at gætte. Andre problemer er udstyr, der ikke håndterer krypteret information, og at folk bruger den samme computer til at arbejde og surfe privat. Dertil kommer manglen på disciplin, når det kommer til opdatering af systemsoftware.

Det generelle råd til virksomheder, der ikke har ændret deres arbejde med it-sikkerhed, er at sætte sig ned og planlægge, hvad der skal gøres. Der er mange – og nødvendige opgaver at vælge imellem.