Sikkerhet

Bedriftslegitimitet på internett

42944562_l

Når din bedrift representeres på internett, i form av eget nettsted, e-postadresser og katalogoppføringer, så er det viktig at informasjonen er troverdig ut mot kundene, slik at kundene opplever en sikkerhet og trygghet for at bedriften er ekte og til å stole på. Dette bidrar til bedriftslegitimitet.

Så hvordan opptrer man åpent og tillitsvekkende på internett? Hvilke momenter avgjør om kunden ser på din bedrift som seriøs?

Sikre dine interesser

Ethvert firma – stort eller lite – bør sikre sine interesser og tilstedeværelse på internett snarest mulig. Ett av de viktigste tiltak i den digitale tidsalder er domenenavn og organisasjonsnummer i Brønnøysundregistrene.

Når firmaet ditt er tilstede på internett, i form av en nettside, skaper du en kommunikasjonskanal mot potensielle kunder, og dette gjelder både for salg av produkter/tjenester og for kundekontakten i seg selv. Du ønsker å bruke internett som en reklameplakat for ditt firma, og det er en meget god måte å nå potensielle kunder på. Men du bør også benytte denne kanalen for å ha en god dialog og tilstedeværenhet med dine kunder. Dette bør ikke undervurderes.

Det lønner seg å sikre sitt domenenavn så fort som mulig etter man har opprettet organisasjonsnummer i Brønnøysundregistrene, slik at andre ikke kommer deg i forkjøpet og misbruker firmanavnet. Det er forholdsvis vanlig at svindlere følger med på nyregistreringer i Brønnøysundregistrene og kjapt registrerer domenenavn som inneholder firmanavnet til nyopprettede firmaer. Da kan de fort misbruke navnet til å utgi seg for å være ditt firma, og eksempelvis opprette troverdige nettsider med din logo for å lure penger fra folk.

Når du registrerer domenenavn for ditt firma; sørg for å registrere alternative skrivemåter i tillegg til ditt hoved-domenenavn, med og uten bindestrek og flere domeneendelser som .no, .com, .net, .org og så videre. Da motvirker du at andre får anledning til å misbruke ditt navn.

Med disse domenenavn-tiltakene vil du unngå at noen registrerer domenenavn som likner på ditt firmanavn, og du vil dermed motvirke mulighet for svindel.

Åpen whois

Whois er en global tjeneste som inneholder informasjon om hvem som eier et domenenavn. ICANN, en verdensomspennende organisasjon som utarbeider retningslinjer for internett, krever at domeneeiere skal oppgi korrekt informasjon i whois-databasen, slik at man enkelt kommer i kontakt med eieren. Dette skal egentlig bidra til å hindre svindel. Imidlertid tilbyr mange domeneregistrarer en tjeneste der en domeneeier mot betaling kan være anonym og skjule sin identitet («whois privacy»). Dette medfører i realiteten at det legges til rette for et anonymt eierskap av domenenavn. Dette kan potensielt skape et eldorado for svindlere og hjelpe dem med å skjule seg.

Vi anbefaler at man alltid har åpen informasjon i whois. Det vil si at man ikke forsøker å skjule informasjon om eieren av domenet. Whois-informasjonen bør inneholde firmanavn, adresse, telefonnummer og e-postadresse. Dette er et tillitsvekkende verktøy for de som vil sjekke bedriftens legitimitet.

SSL-sertifikat

Som et ekstra tiltak kan bruk av digitalt SSL-sertifikat være fornuftig. SSL-sertifikat krypterer forbindelsen mellom et nettsted og brukerens nettleser, slik at innsyn fra uvedkommende hindres. I tillegg – og vel så viktig – kan SSL-sertifikatet bevise at ditt firma eier domenenavnet. Sertifikatet kjøpes, valideres og bekreftes gjennom en sertifiseringsautoritet.

SSL gjenkjennes som en hengelås i adressefeltet i nettleseren din, og de fleste store og seriøse bedrifter benytter dette i dag. Ved å klikke på hengelåsen i nettleseren kan man se om sertifikatet er gyldig og hvem som har utstedt det. Det skaper trygghet for brukeren og signaliserer en tillit og et fokus på sikkerhet.

Andre sertifiseringsordninger

Det finnes andre sertifiseringsordninger enn SSL som kan verifisere validiteten, kvaliteten og seriøsiteten til et nettsted. Et eksempel på dette, som brukes av en rekke nettbutikker i Norge, er Hovedorganisasjonen Virke sin Trygg e-Handel-sertifisering. Denne sertifiseringsordningen sørger for klare, enkle og helhetlige rammer som ivaretar forbrukernes rettigheter og netthandlernes forpliktelser på en god måte. Slike sertifiseringer er en god måte å utstråle seriøsitet og kvalitet på.

Gjennomsiktighet

Utover det å være synlig med korrekt informasjon i whois-databasen er det viktig å ha en gjennomsiktighet og åpenhet på firmaets nettside. Regnskapstall, firmahistorikk og øvrig åpenhet om firmaets politikk og prosedyrer er noe som sår tillit hos potensielle kunder.

Vær til stede!

Til slutt vil jeg påpeke viktigheten av å være til stede, både for eksisterende kunder og potensielt nye kunder. En nettside bør opplyse tydelig om de kommunikasjonskanaler som finnes, herunder kontaktskjema, aktuelle e-postadresser, telefonnumre og profiler i sosiale medier. Enhver kunde ønsker ikke å bruke mer enn et halvt minutt på å finne kontaktinformasjon til et firma. Blir det for mange dører å åpne før man finner det riktige «rommet», så kan kunden være forsvunnet fra nettsiden allerede.

Det vil også lønne seg å være oppført i katalogtjenester.

I rekken med tiltak jeg her har nevnt, vil jeg fremheve dette med å være til stede som et «alfa og omega». Et firma som har vanskelige eller manglende kontaktpunkter er ikke et forlokkende firma for potensielle kunder.

Åpen – tillitsvekkende – seriøs – pålitelig = fornøyde og lojale kunder

Utvidelser du bør ha til WordPress

53642135_l

WordPress er et meget allsidig og tilpasningsvennlig bloggverktøy, som siden 2003 har bidratt til at både privatpersoner og bedrifter kan utvikle brukervennlige nettsteder med lav kostnad.

WordPress kan skreddersys til ditt behov, alt etter hvor enkelt eller komplisert du vil ha det. Det stilles ingen krav til programmeringskunnskaper, ettersom alt kan styres via et enkelt kontrollpanel. Men for all del; om du ønsker å tilpasse gjennom HTML og PHP, så kan du selvfølgelig det.

Du kan selv bestemme hvilket tema du vil ha for utseende og oppsett i bloggen din, og tusenvis av temaer er tilgjengelige for kjøp eller nedlasting.

I dette innlegget vil vi sette fokus på gode utvidelser du bør benytte deg av i WordPress. Utvidelser (eng: plugins) er en tilleggsfunksjon som gjør at du kan legge til ekstra funksjonalitet utviklet av tredjeparter. Slike utvidelser kan blant annet brukes til søkemotoroptimalisering (SEO) og sikkerhet. Utvidelser til WordPress er som regel gratis.

1) Yoast SEO

Yoast SEO er kort sagt en utvidelse for søkemotoroptimalisering, der fokuset ligger på hvilke titler, fokusord og beskrivelser som skal komme opp i søkemotorer. Med titler og metabeskrivelser spesifisert per innlegg eller side i WordPress, kan du selv bestemme hvilke forlokkende ord som skal vises i søkemotorene slik at du potensielt får flere besøk. Både tittel, fokusord og metabeskrivelse er viktige elementer for å flere til å besøke nettsiden din.

Du kan også skrive egne titler og beskrivelser for sosiale medier, i tilfelle du ønsker å brande innleggene annerledes avhengig av hvilke kilder brukeren kommer fra.

Utvidelsens kanskje viktigste funksjon er at den sjekker hvor søkemotorvennlig tekstene og artiklene dine er. Tekster, samt titler og beskrivelser, bør skrives på en slik måte at Yoast SEO viser en grønn prikk ved siden av innlegget ditt. Når en grønn prikk vises, betyr det at innlegget tilfredsstiller en rekke parametre som er optimale for søkemotorene.

Av andre nyttige funksjoner kan optimalisering av nettstedskart, robots.txt, .htaccess og <head>-seksjonen på nettstedet nevnes.

wordpress utvidelser yoast

Redigering av tittel, metabeskrivelse og fokusord for et blogginnlegg

2) Captcha

Captcha av BestWebSoft er en sikkerhetsløsning for WordPress som gjør at brukere som logger inn eller registrerer seg må løse en regneoppgave. Man skriver inn sitt brukernavn og passord samt fyller ut det som mangler i regnestykket. På denne måten reduserer du muligheten for at hackere eller andre får tilgang til WordPress-kontoen din. WordPress vil avvise alle påloggingsforsøk så lenge regnestykket ikke er løst.

Du kan selv definere hvorvidt regnestykket skal inneholde pluss, minus, multiplikasjon, tall, bilder og tallord.

wordpress utvidelser captcha

Her fyller du ut det manglende tallet i regnestykket

3) iThemes Security

iThemes Security gir deg mer enn 30 forskjellige måter å beskytte WordPress på. Dette gjør at det skal veldig mye til for at noen skal klare å hacke din WordPress-installasjon. Det finnes alltid en viss sjanse for at WordPress eller utvidelser inneholder sårbarheter, og iThemes Security har verktøy som kan oppdage sårbarheter og forhindre utnyttelse av disse.

Utvidelsen kommer i to versjoner; en standardversjon og en Pro-versjon. Standardversjonen er i de fleste tilfeller god nok, da den inneholder funksjonalitet for å skanne filer for sårbarheter, sperre ugyldige pålogginger ute, etablere en svarteliste for sperring av IP-adresser, stoppe «brute force»-angrep, utføre backup av databasen, kontrollere filrettigheter samt mye, mye mer. Du får tilsendt rapporter på e-post med oversikt over hvem som har forsøkt å logge inn i kontrollpanelet ditt.

De fleste angrep mot WordPress skjer gjennom standard-adressen for kontrollpanelet (/wp-admin) og standard-brukeren «admin». iThemes Security hjelper deg både med å skjule administrasjonspanelet for uvedkommende og å endre administrator-brukernavnet til noe annet enn «admin».

wordpress utvidelser ithemes

De aller fleste nødvendige sikkerhetsinnstillinger kan gjøres her

4) Cookie notice

I 2013 ble Norge en del av en ny cookie-lov, som krever at alle nettsteder som bruker cookies må meddele brukerne om dette. Cookie er informasjonskapsler som lagres i nettleseren din. Disse informasjonskapslene hjelper nettsteder til blant annet å se om du er innlogget på nettstedet, om du har angitt noen personlige valg og lagre statistikk om de besøkende. Per definisjon har man allerede samtykket til bruk av cookies, ettersom de aller fleste nettlesere har dette aktivert som standard. Likevel skal det altså opplyses om til brukeren.

Cookie notice er et kjekt, lite tillegg som gjør nettopp dette; viser brukerne at nettsiden din bruker cookies. Man kan selv velge hvilken tekst som skal stå i denne meddelelsen, og man kan velge om den kommer opp på toppen eller bunnen av siden. Når man klikker «OK» forsvinner meddelelsen, og du kan angi hvor lenge nettstedet skal «huske» brukeren før meddelelsen kommer opp igjen.

wordpress utvidelser cookie notice

Eksempel på hvordan det vil se ut

5) WPtouch Mobile Plugin

Noen ganger strekker ikke tiden til. Dersom du ikke har hatt tid til å utvikle et eget mobilgrensesnitt for ditt nettsted kan WPtouch Mobile Plugin komme til sin rett. Med denne angir du bare en rekke preferanser for hvordan utseendet skal være på mobile enheter, herunder tema, farger, skrifttyper og -størrelser samt hvilke mobile enheter det skal brukes på. Da får du et brukervennlig grensesnitt på de enhetene du ønsker.

Husk: Google vekter mobilvennlige nettsteder veldig høyt i søkealgoritmen sin, slik at mobilvennlige nettsteder kommer høyere i søkeresultatet.

wordpress utvidelser wptouch

Enkelt grensesnitt for å definere egne innstillinger

6) Better delete revision

Med et aktivt WordPress-nettsted med mange brukere og tusenvis av bloggposter kan det «hope seg opp» med data i databasen. Mange river seg kanskje i håret når de får beskjed om at MySQL-databasen har brukt opp sin tildelte plass. Man vil kanskje ikke slette innhold i databasen, for som regel er alt innhold verdt å ta vare på.

Better delete revision har en god løsning for å slette såkalte revisjoner av blogginnleggene i WordPress. WordPress har et system som automatisk lagrer mange revisjoner av hvert enkelt innlegg, slik at man enkelt kan gå tilbake til en eldre revisjon hvis man ønsker det. Imidlertid er dette en funksjon som kan kreve ganske mye plass i databasen, og med mange tusen blogginnlegg kan man fort spare 20-30 MB ved å slette alle revisjoner (unntatt nyeste versjon).

Velg «Check revision posts», så sjekkes det hvor mange revisjoner som er mulig å slette fra databasen. I eksempelet nedenfor har 45.209 revisjoner av blogginnlegg blitt slettet, av et totalt antall på 11.948 innlegg. Når revisjoner er slettet kan du velge «Optimize your database», og plassbruken i databasen blir dermed krympet.

(Og du: Du kan alltids sette flagget define( ‘WP_POST_REVISIONS’, X ); i wp-config.php, der X = antallet revisions per side/innlegg som du ønsker at WordPress skal lagre i databasen til enhver tid).

wordpress utvidelser better delete revision

«Check Revision Posts» finner alle revisjoner som du trygt kan slette

7) Disqus

Jeg vil på det sterkeste anbefale Disqus som kommentarplattform på ditt WordPress-nettsted.

Se vårt tidligere innlegg om Disqus.

8) Jetpack

Jetpack er en pakke med utvidelser utviklet av Automattic, selskapet bak WordPress. Denne kan ses på som en programpakke som utvider funksjonaliteten til WordPress i form av sikkerhetsfunksjoner, besøksstatistikk, backup-løsninger, hastighetsforbedring, integrering med sosiale medier, auto-oppdateringer og ekstra widgets. Jetpack kan også knyttes til din WordPress-konto på WordPress.com, noe som gjør at du får ekstra funksjonalitet i skyen.

wordpress utvidelser jetpack

Jetpack er en totalpakke som inneholder det meste man trenger

9) TinyMCE Advanced

TinyMCE Advanced er en teksteditor som inneholder mange flere funksjoner enn standardeditoren som følger med WordPress.

Du har en rekke innstillinger for redigering, blant annet endring av fonter, skriftsstørrelser og farger. Du kan også sette inn tabeller og videoer.

wordpress utvidelser tinymce

Betydelig mer funksjonalitet enn i WordPress’ standardeditor

10) WP Mail SMTP

Vil du sende e-post fra WordPress gjennom en personlig e-postadresse i stedet for gjennom webserveren? Det kan være hensiktsmessig dersom du vil ha kontroll på avsenderadresse, reply-to-adresse og serveren e-postene sendes igjennom. Dessuten vil du kanskje at mottakere av e-post skal kunne svare på den, til en e-postadresse som du får e-post inn på.

Denne utvidelsen støtter sending av kryptert e-post via SSL og TLS, både med og uten brukernavn- og passordgodkjenning. Du må angi servernavn, portnummer og kryptering for å få det til å fungere. Da vil all e-post som går via wp_mail()-funksjonen sendes via serveren du setter opp her.

wordpress utvidelser mailsmtp

Enkelt grensesnitt for å definere egen SMTP-server

11) WP Maintenance Mode

Har du en aktiv WordPress-side, men trenger å gjøre noen tilpasninger og endringer uten at siden er tilgjengelig for andre? Da er WP Maintenance Mode en god plugin.

Med denne aktivert er forsiden/bloggen din sperret for andre. De får en tilpasset beskjed om at nettstedet er midlertidig stengt. Likevel har du som administrator tilgang på kontrollpanelet, slik at du kan gjøre de endringene du vil uten at andre ser det. Når du er innlogget som administrator har du tilgang på visning av forsiden og hele nettstedet ditt, selv om det er sperret for tilgang for andre.

wp-maintenance-mode

Slå vedlikeholdsmodus enkelt av og på.

12) Advanced Access Manager

Ofte kan det være hensiktsmessig å avgrense tilgangen brukerne i WordPress har. Hvis du har gitt noen brukere tilgang i form av rollene «forfatter» eller «bidragsyter», så kan du med Advanced Access Manager styre ned til minste detalj hva de skal ha tilgang til å se i kontrollpanelet.

Du kan eksempelvis fjerne tilgang til det meste i menyen eller hindre brukerne i å se alle blogginnlegg som er skrevet. På denne måten er du sikret at brukerne ikke har tilgang til noe de ikke skal ha. Denne utvidelsen inneholder også funksjonalitet for å motvirke såkalt «brute force»-angrep.

aam

Hold kontroll på hva brukerne dine kan gjøre.

Relevante artikler:
Se hvordan du setter opp grunnleggende innstillinger i WordPress
– Alt du trenger å vite om WordPress
– Slik installerer du WordPress hos Uniweb
Slik skriver du innlegg i WordPress

Svindlernes nye våpen: CEO-svindel

road-sign-464641_1280

Mange nyhetskilder melder om markant økning av svindelforsøk rettet mot pengesterke bedrifter, såkalt CEO-svindel. Hvilke tiltak må til for å unngå svindel?

Utgir seg for å være leder

I sommer var det den såkalte «CEO»-svindelen som var mest fremtredende. Svindlere ser ofte sitt snitt til å utnytte bedrifters ferieavvikling, da det potensielt kan være litt dårligere kontroll på henvendelser enn ellers i året. Denne svindelen foregår på den måten at det sendes en e-post til en ansatt i bedriften, som tilsynelatende kommer fra en leder eller direktør. Herav navnet «CEO»-svindelen. E-posten blir sendt fra en troverdig e-postadresse, og det kan dermed se ut som det er rette vedkommende som har sendt e-posten. Man blir bedt om å overføre penger til en konto, og målet for svindleren er å få mest mulig penger på kortest mulig tid. E-postene er skrevet på ganske godt norsk språk, med få skrivefeil, og svindlerne har i forkant gjort grundige forhåndsundersøkelser av bedriften. Svindelen kan også bli forsøkt utført per telefon.

Hva kan gjøres?

  • Ikke gi ut informasjon om ledelsen, økonomien eller virksomheten per telefon eller e-post. Husk at deler av dette også kan være taushetsbelagt.
  • Sørg for gode kontrollrutiner og dobbeltsjekking av alle mistenkelige eller uvanlige forespørsler som kommer inn via e-post.
  • Se etter unormale elementer i e-posten, eksempelvis falsk avsenderadresse, avsenderadresse med .com i stedet for .no eller dårlig språk.
  • Vær obs på formuleringer i retning av trusler eller fristelser.
  • Vær kritisk til forespørsler om utenlandsbetalinger.
  • Få alltid pengeoverføringer verifisert fra ledelsen gjennom andre kanaler enn e-post.
  • Pass på at alle på arbeidsplassen er klar over denne svindeltypen.

Les mer om CEO-svindel hos E24.

(Bilde hentet fra Pixabay.com)

 

Relevante innlegg:
Skjult identitet – et eldorado for svindlere

Trusselbildet på internett – før og nå

trusselbildet-paa-internett

Etter en knallsuksess med webinaret «Hvordan få flere leads, henvendelser og kunder i 2016» i januar er vi igjen klare for enda et spennende webinar!

Denne gangen har vi fått Espen Moen Kvelland, grunnlegger og daglig leder hos vår samarbeidspartner Akeo, til å fortelle oss – på godt norsk – hvordan trusselbildet på internett ser ut i dag.

Espen er en gammel ringrev i IT-bransjen og er lidenskapelig opptatt av sikkerhet. Dette er et tema han har holdt foredrag om i en årrekke. Med en smittende energi og lidenskap for sikkerhet har Espen evnen til å gjøre et tema som normalt sett kan bli tørt og kjedelig til noe spennende og fargerikt!

Temaer

  • Hvordan ville det gått hvis du mistet tilgang til alle filene dine i morgen?
  • Vet du noe om hvilke trusler som lurer der ute, og hvordan du skal forholde deg til de?
  • Hva kan du gjøre for å sikre deg i fremtiden?

Hvis du ikke har et godt svar på alle de ovenstående spørsmålene, er dette et webinar du MÅ få med deg. Vi blir mer og mer avhengige av dingsene våre, og de blir stadig mer utsatt for angrep. Dette er et tema det er ekstremt viktig å ha et bevisst forhold til!

Webinaret er selvfølgelig gratis!

Opptak

Se opptak av webinaret her:

«Advarsel: Du har ikke en uforløste pakken!»

Vi har tidligere advart om virus som sendes via e-post og som omtales som «teslacrypt» eller «alfacrypt». Dette har frem til nå brukt en .zip-fil som inneholder en .js-fil (JavaScript) for å spre seg.

Spres med Word eller PDF

Tidligere i dag har vi blitt varslet samt sett det samme viruset bli forsøkt spredt ved hjelp av Word-dokumenter og PDF-dokumenter.

Vær derfor ekstra påpasselig med å åpne Word- eller PDF-filer som du ikke forventer å få.

Utgir seg for å være et anerkjent selskap

En av e-postene vi har sett ser ut som bildet nedenfor, men kan også komme i andre utforminger. Legg merke til hvordan avsender utgir seg for å være et anerkjent selskap, men bruker svært dårlig norsk og har skrivefeil i teksten, noe som er klassisk for denne typen angrep.

Har du mottatt denne e-posten, sørg for at antivirusprogrammet ditt er oppdatert. Vi anbefaler også å ta en virusscanning av maskinen.

virus

 

Relaterte innlegg:
Hvordan beskytte deg mot WannaCry?
Ikke klikk på oppdater/update!

Har ditt selskap tilrettelagt godt nok for varsling?

Ansatte i en virksomhet har kjennskap til store mengder informasjon, som verken ledelse eller styre kjenner til. Dette kan gjelde HR-relaterte forhold, eksempelvis arbeidsmiljøforhold, diskriminering, trakassering eller brudd på interne retningslinjer. Det kan også gjelde økonomisk misligheter, slik som korrupsjon eller underslag. Varsling bør tilrettelegges.

Undersøkelser vi har gjennomført og vår erfaring fra granskingssaker, er at gode systemer for varsling, gjennom å ha en velfungerende varslingskanal, kanskje er den aller viktigste kilden til å få slik informasjon.

Har du tilrettelagt for varsling på en måte som gjør at du regne med å få vite om mulig kritikkverdige forhold?

Å ha en forsvarlig ordning for varsling er lovpålagt

Gjennom den verdensomspennende undersøkelsen Global Economic Crime Survey (GECS) gjennomført av PwC i 2013, som kartlegger blant annet omfanget av og konsekvensene av økonomisk kriminalitet i næringslivet, fremkom det at så mange som 30 prosent av de som svarte på undersøkelsen ikke har varslingskanal.

Ifølge arbeidsmiljølovens bestemmelser skal alle selskaper, både private og offentlige, ha tilrettelagt en forsvarlig varslingsordning i egen organisasjon. Vår erfaring er at det er stadig mer vanlig å løse dette gjennom å ha en varslingskanal. Det er vår erfaring at det også er den beste løsningen.

Alle virksomheter plikter i tillegg å ha rutiner for varsling av brudd på etiske retningslinjer. Det er også viktig å verne den ansatte som varsler, og tilrettelegge for at de ansatte skal kunne komme med informasjon til ledelsen – uten å miste jobben eller stå i fare for andre ubehagelige situasjoner. Et slikt verne mot gjengjeldelse er også nedfelt i arbeidsmiljøloven. Man kan si at trygg og effektiv varsling er arbeidsgivers ansvar og en arbeidstakers rett og/eller plikt.

Ulike måter å strukturere varslingskanal på

Varslingsmottak kan enten håndteres av selskapet selv eller ved bruk av et eksternt selskap som mottak, spesialisert innen håndtering av varsling, slik som eksempelvis PwC.

Det er hovedsakelig tre måter å strukturere en varslingskanal på:

  1. Intern løsning – internt mottak og håndtering
    Selskapet setter opp varslingskanal på egen hånd, og en avdeling eller funksjon internt, eks Internrevisjon, Compliance, legal eller HR har ansvar for å motta og håndtere varsler.
  1. Ekstern teknisk løsning– internt mottak og håndtering
    Et eksternt selskap, f.eks. PwC i samarbeid med UniWeb, setter opp en varslingskanal for selskapet, og varslene blir mottatt og håndtert av en avdeling eller funksjon internt, eks Internrevisjon, Compliance, legal eller HR.
  1. Ekstern teknisk løsning– eksternt mottak og håndtering
    Et eksternt selskap setter opp en enkel eller mer avansert (eks. ved mulighet for anonym kommunikasjon med varsler) teknisk løsning for selskapet. Varsler håndteres av et eksternt mottak slik som PwC. Den eksterne parten gjennomfører risikovurdering og forslag til håndtering som kommuniseres til selskapet, som beslutter videre oppfølging.

Det er ikke noe rett eller galt ved noen av løsningene, men mange opplever at det å sette ut både mottak og håndtering eksternt bidrar til økt troverdig og mer objektiv håndtering av varsler.

Selskapene kan i tillegg velge om varslingskanalen skal være tilgjengelig både for ansatte (i tråd med arbeidsmiljølovens krav) og for eksterne. Dersom varslingsordningen også skal være åpen for eksterne kreves konsesjon fra Datatilsynet.

Hva kan PwC og UniWeb hjelpe til med?

PwC tilbyr i samarbeid med UniWeb tekniske løsninger for varslingskanaler, som er enkle, sikre og trygge. Våre løsninger er komplette og kostnadseffektive. Løsningen ivaretar anonymitet, personvern og krav om forsvarlig oppfølging. UniWeb utvikler og drifter den tekniske løsningen av varslingskanalen, mens PwC er den faglige spesialisten på varsling, personvernlovgivning, håndtering og oppfølging av varsler.

PwC, i samarbeid med UniWeb, kan bistå med:

  • Etablere og betjene eksternt varslingsmottak
  • Etablere og implementere system og rutiner for varsling i henhold til arbeidsmiljø- og personvernlovgivningens bestemmelser, inkludert eventuell bistand til konsesjonssøknadsprosessen til Datatilsynet
  • Bistå med opplæring av ansatte i hvordan motta og håndtere et varsel, samt intervjumetodikk
  • Utføre forundersøkelser, bakgrunnsundersøkelser og analyse av mottatt varsel
  • Gjennomføre undersøkelser av mottatt varsel med bruk av personell med spesialistkompetanse innen gransking, intervjumetodikk og analyse

Ta kontakt med Gunnar Holm Ringen i PwC her for å få på plass en forsvarlig varslingsordning.

Slik får du et sikkert passord

Vi blir stadig mer avhengige av online-tjenester, og vi legger stadig mer sensitive data i skyen. Allikevel legger vi svært lite tanke bak det å ha et sikkert passord for å beskytte disse dataene.

Vi er veldig opptatt av kryptering og sikring, men når det kommer til passordet, selve nøkkelen, kan det visst være noe så enkelt som ”Passord123”. Husk: Det hjelper ikke å ha alarm på bilen hvis du lar den stå ulåst med nøklene i tenningen.

I denne posten snakker vi litt om de vanligste metodene hackere bruker for å få tilgang via dårlige passord og hvordan du kan lage deg sikrere passord og minimere sjansen for å bli hacket.

De vanligste måtene vi blir hacket på

Brute force

Såkalt «Brute force» er ett av de vanligste angrepene vi har. Rent teknisk er dette et relativt enkelt angrep. En hacker kan sette i gang et program til å teste forskjellige kombinasjoner av ord, bokstaver, tall og tegn frem til han til slutt finner den riktige kombinasjonen som gir tilgang.

De vanligste passordene som knekker først ved et brute force-angrep:

  • Enkle passord: De mest brukte passordene er de som blir prøvd først i et brute force-angrep. Verdens vanligste passord er “12345”. På en god andreplass finner vi ”password”. Se SplashData sin liste over de 25 verste (mest brukte) passordene i 2014.
  • Ord fra ordboka: Hacker-programmene går ofte igjennom ordbøker for å finne kjente ord og derfra videre til slangord, feilstavinger og ord som er skrevet baklengs.
  • Knappekombinasjoner: Kombinasjoner som ”qwerty” eller ”asdfgh” som kommer fra sammenhengende bokstaver på tastaturet er også et vanlig fenomen som blir testet tidlig i et angrep.
  • Bursdager: 1989, 1990, 1991 og 1992 er alle på topp hundre-listen til SplashData fra 2014.
  • Vanlige navn og kjente personer: Navn på kjendiser og mye brukte navn er også svært vanlig.

Ord man kan gjette seg til

Det er ikke bare hackere som kan prøve å få tilgang. Det er et stadig økende problem at venner og bekjente forsøker å få tilgang til private data og tjenester.

Ofte bruker folk passord som man lett kan finne frem til via et enkelt søk på nettet eller i sosiale medier. Navnet til din bedre halvdel, barn eller hund bør unngås – det samme med fritidssysler og interesser som man kan gjette seg til.

Bruk av samme passord overalt

Dette i seg selv er ikke noe problem før én av tjenestene blir hacket. Det er normalt at hackere får tilgang til én tjeneste først, og at de deretter går direkte til Facebook- eller Google-kontoen din for å teste om du har samme passord der.

Det er derfor svært viktig å ha unike/forskjellige passord på alle viktige tjenester. Dette gjør at omfanget av skaden blir mye mindre hvis uhellet skulle være ute.

Key-loggere

«Key-loggere» er små skadeprogrammer som ligger lagret på datamaskinen og logger alle tastetrykk som blir utført og sender disse tilbake til hackeren. For å unngå dette bør du til enhver tid holde antivirus-programmet ditt oppdatert. Du bør også unngå å bruke viktige tjenester på internett-kaféer eller andre offentlige maskiner som du ikke selv kontrollerer.

Hva kan du gjøre for å sikre deg?

  1. Ha forskjellige passord på alle viktige tjenester for å minimere skadeomfanget hvis noen skulle finne ut hva passordet ditt er.
  2. Hold passordet ditt for deg selv, sørg for at ingen følger med når du skriver inn passordet ditt.
  3. Hold antivirus-programmer oppdatert for å unngå skadevare som «sniffer» passordet.
  4. Unngå å taste passord over usikre/åpne nettverk. Offentlige trådløse nett er ofte veldig enkle å overvåke; en hacker kan enkelt fange opp informasjon som blir sendt over nettverket. Hvis du må inn i nettbanken eller Facebook når du er på et offentlig sted; pass på at nettstedet bruker SSL-kryptering (vises som https i adressefeltet i nettleseren).
  5. Sørg for å ha SSL aktivert i e-postprogrammet ditt. Er e-posten din satt opp uten SSL, er all kommunikasjon med serveren ukryptert; ikke bare e-postene dine, men også brukernavn og passord. Dette er viktig å unngå, spesielt når man benytter seg av usikrede trådløsnett.
  6. Bytt passord regelmessig. Hvis noen har funnet passordet ditt, kan det gå måneder, ofte år før de bruker det til noe. Ofte blir disse spart opp i en database frem til databasen er stor nok til å gjøre et større angrep ”ut av det blå”.
  7. Lag deg et sterkere passord.

Hvordan lage et sikkert passord som du faktisk husker?

  1. Forkort lange setninger til trygge passord
    Du kan enkelt forkorte setninger og legge til spesialtegn for å få et passord som er enkelt å huske og nærmest umulig å knekke. For eksempel kan du forkorte ”Jeg er glad jeg har et supertrygt passord!” til å bli Je:)jhe$tp!
  2. Lag mønster på tastaturet
    $rfVgY7 – Følger du dette mønsteret på tastaturet ditt, vil du se at du tegner en V på tastaturet. Å bruke V er relativt vanlig, så du burde lage ditt eget mønster. Jo mer komplekst, jo bedre. Et mønster som dette kan flyttes frem og tilbake over tastaturet etter hvert som du skal bytte passord eller til bruk på forskjellige tjenester.

Bruk en passord-manager

Et stadig mer populært alternativ er å bruke programvare som tar vare på passordene dine. Disse lagrer en kryptert utgave av alle passordene, og passordene blir kryptert med et hovedpassord som nøkkel. Det vil si at selv ikke de som har laget programmet kan hente ut passordet ditt.

Med en slik løsning trenger du kun å huske ett passord som du bruker til å få tilgang til alle de andre passordene.

Siden du ikke lenger trenger å huske alle passordene dine selv, kan du lage helt tilfeldige passord som ikke har noen assosiasjoner med noe som helst. Og du kan lage forskjellige passord på alle tjenestene du bruker.

Flere av løsningene har utvidelser som kan installeres i nettleseren din, for å automatisk logge deg inn på de forskjellige tjenestene. Ikke bare slipper du å huske passordene dine; du kan logge inn automatisk.

Det finnes etter hvert veldig mange alternativer å velge mellom. Her er en liste over fem av de beste som er på markedet i dag:

(Hentet fra artikkelen «Five best password managers» på Lifehacker.com).

Husk: Så lenge passordene blir lagret, er det alltid en viss fare for at de kan hentes ut. Det kan derfor være smart å holde de aller viktigste tjenestene utenfor.

Passordsikkerhet er ett av de mest undervurderte temaene i en tid hvor vi har blitt helt avhengige av at dataene våre er trygge og fungerer som de skal. Jeg oppfordrer deg derfor til å dele dette videre til alle du kjenner. Det er på tide å ta dataene våre på alvor.