{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Alene i marts 2018 registrerede Microsoft 23 millioner login-forsøg med høj risiko på baggrund af phishing, og i april samme år blev 350.000 konti kompromitterede på grund af password-spray, hvor cyberkriminelle med lange intervaller forsøger at logge ind med brugernavn og password.
De cyberkriminelle har en enorm magt og er svære at spore, blandt andet fordi de typisk laver regler, som sletter deres spor. Typisk kan de med brugernavn og password til Office 365 få adgang til en lang række programmer, blandt andet SharePoint Online, Skype Online, Teams, OneNote, OneDrive og VPN, hvor de kan gøre stor skade.
Men med ganske få systemmæssige ændringer kan I undgå at blive ramt og få hurtigt overblik over, hvad der er sket, hvis uheldet skulle være ude. På baggrund af det stigende problem har vi udviklet 10 gode råd til, hvordan I undgår angreb på it-sikkerheden i Office 365.
Vær særligt opmærksom på...
Spray-angreb
Vi ser meget ofte password spray-angreb. Denne type angreb kan være meget svær at opdage. Spray-angreb foregår ved, at cyberkriminelle med meget lange intervaller (fx hvert 30. minut) forsøger at logge ind med et brugernavn (e-mailadressen) og et password fra en password-liste. Typisk ændrer angriberen sin egen IP-adresse efter kort tid og kan dermed undgå de kontroller Microsoft har etableret for at sikre kunderne i Office 365.
Phishing
Phishing kan være mange ting, men fælles for dem alle er, at man forsøger at lokke brugeren til at videregive personlige informationer, fx kreditkortnumre eller brugernavn og password. I Office 365 ser vi oftest, at brugerne modtager en e-mail med et link. Når man tilgår siden, ligner det til forveksling en Office 365-autentificerings meddelelse, som narrer medarbejderen til at indtaste brugernavn og password. I kan blandt andet se, om siden er falsk på URL’en i toppen af browseren, hvis der er stavefejl, eller hvis firma-signaturen nederst i mailen er forkert.
10 gode råd - sådan sikrer I jeres virksomhed
1. Aktiver logging
Vi anbefaler, at I aktiverer logning på fx postkasse-audit. I tilfælde af angreb fra cyberkriminelle er det meget begrænset, hvad man kan se bagefter. Man kan skræddersy, hvad der skal logges, men som minimum bør default-logging vælges. Audit logs gemmes i 90 dage og koster ikke en ekstra licens.
2. Håndter jeres legacy-protokoller
I Office 365 er følgende protokoller slået til pr. default: SMTP, POP3, IMAP, Exchange Web Services (EWS) og Exchange ActiveSync. Cyberkriminelle benytter ovenstående protokoller til blandt andet at lave password spray-angreb. Udfordringen med disse protokoller er, at de er så gamle, at de ikke understøtter multi-factor authentication (MFA).
Microsoft anbefaler, at man slår alle legacy-protokoller fra. Dette kræver dog, at man lige undersøger, om der er services, der fx benytter SMTP eller IMAP til noget.
Netop IMAP kan være problematisk, da dette er den eneste måde, man kan få adgang til delte postkasser via sin mobiltelefon på.
SMTP bruges oftest til mail relay og det kan være, at løsninger, der benytter sig af den type konfiguration, skal laves om. Bemærk, at der for at kunne slå nogle protokoller fra, kræves et nyere OS på mobilen.
3. Gør multi-faktor autentificering mulig (MFA)
Multi-faktor autentificering MFA, er en ekstra sikkerhed, så der ud over brugernavn og password kræves en ekstra faktor, fx en pinkode. Det kan laves uden ekstra licens. Vi anbefaler, at alle brugere benytter MFA, hvor dette er muligt.
4. Sæt regler om betinget adgang
Med betinget adgang, conditional access, kan man lave smarte regler, så I ikke så ofte skal autentificere med MFA. Hvis brugeren logger ind fra et andet land, registreres dette ved hjælp af funktionen “umulig rejse”, og brugeren får en meddelelse om at skulle foretage et login med MFA.
En umulig rejse er fx, at brugeren logger ind et sted i Danmark via en dansk ip-adresse og kort tid efter logger ind i et andet land, hvor brugeren umuligt kunne nå at rejse til på den tid, der er gået. Dette kan godt være en falsk positiv. I sådanne tilfælde vil brugeren blive mødt af et ekstra MFA-login.
Betinget adgang handler ikke kun om Office 365 men om alle applikationer, man har i Microsoft Azure. Conditional access kræver en ekstra licens.
5. Brug portalen Microsoft Office 365 Secure Score
365 Secure Score er en portal, hvor Office 365-administratorer kan gå ind og se, hvordan de ligger sammenlignet med andre virksomheder.
Det er ikke meningen, at man skal gå efter at få top score i sit Secure Score. Man skal have et så højt tal som muligt, som passer til den virksomhed, man arbejder for. Nogle forslag til forbedringer koster ekstra licenser, så det skal man også være opmærksom på.
6. Få den rigtige licens
Vi oplever tit, at mange ikke har den licens de ønsker sig, når først det er gået galt.
Man kan komme langt med de billigste licenser, fx MFA og audit logging. Men fx anti-phishing, safe links og safe attachments er kun tilgængelige med bestemte typer licenser. Ligeledes er der en del af sikkerhedsløsningerne i portalen, som kræver en ekstra licens.
Vi anbefaler, at I kigger på at tilkøbe ekstra Office 365-sikkerhedsprodukter. Hvis I kan stoppe en sikkerhedshændelse inden den starter, kan I spare jer en masse tid, penge og bekymringer.
PwC oplever, at det øger muligheden for at opklare hændelsen, hvis man har licenser, der giver adgang til sikkerhedsprodukterne. I skrivende stund hedder de: Office 365 Enterprise E3/E5- og Azure AD P1/P2-licens.
7. Evaluer jeres backup-løsning
Evaluer, om den backup-løsning Microsoft leverer er tilstrækkelig. Der findes mange andre leverandører, der kan hjælpe med at lave backup af Office 365, OneDrive, Sharepoint osv.
8. Indfør SPF-, DKIM- og DMARC-sikkerhedstiltag
Disse sikkerhedstiltag hjælper modtageren med at sikre sig mod e-mail-spoofing. Vi anbefaler, at I indfører disse tiltag, da e-mail-spoofing bliver mere kompliceret at udføre.
Sender Policy Framework (SPF) er en e-mailvalideringsstandard, designet til at stoppe e-mail-spoofing. SPF giver virksomheden mulighed for at specificere hvilke mailservere, der må sende e-mails fra virksomhedens domain.
DomainKeys Identified Mail (DKIM) er kort fortalt en metode, hvor e-mails mellem en afsender og en modtager bliver verificeret som kommende fra den rigtige kilde. DKIM benytter en digital signatur, der tilføjes e-mailens header af den afsendende mailserver. Der laves en DNS record i virksomhedens eksterne DNS-server, som indeholder den offentlige nøgle for den digitale signatur, som e-mail-headeren bliver signet med.
Domain Message Authentication Reporting & Conformance (DMARC) kigger efter, om afsenderen benytter ovenstående, eller bare en af delene, og ud fra det vurderes det, hvad der skal gøres, hvis e-mailen ikke kan verificeres. Hvis e-mailen ikke kan verificeres gennem ovenstående, kigger mailsystemet på DMARC-manualen og afgør derfra, om mailen skal i karantæne, eller om den skal fjernes helt.
9. Træn opmærksomheden
PwC anbefaler, at I træner medarbejderne i at være opmærksomme på tvivlsomme e-mails. Det kan eventuelt være links, der skal trykkes på, fakturaer, der skal betales, og sider, der spørger efter brugernavn og password.
Ligeledes skal dine medarbejderne instrueres i ikke at godkende MFA-godkendelse, med mindre de selv har bedt om det.
10. Procedurer
Vi anbefaler, at I laver klare aftaler omkring fakturering. E-mails, som er videresendt fra chefen, skal fx altid følges op af et telefonopkald.
Fakturaer, der ikke ser helt rigtige ud, skal man altid lave en ekstra kontrol på. Der kan fx være tale om forkert angivelse af moms, at fakturaen ser mærkelig ud, eller at den har forkert ordlyd (Google Translate).
Lav helt klare regler og procedurer i fx sommerferien. PwC ser ofte denne periode udnyttet, når den, der normalt sidder med betalingen af fakturaer, har ferie.
Cyber Transformation
Beskyt jeres forretningsprocesser ved at identificere og mindske cyberrisici, udføre avancerede systemtests og sikre overholdelse af regulativer.
Kontakt os
Hvad er NIS2-direktivet?
NIS direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder, at din organisation vil skulle efterleve kravene i bekendtgørelsen.
NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.
Hvem er omfattet af NIS2-direktivet?
NIS2 udvider i væsentlig grad omfanget af organisationer, og skelner mellem ”essentielle entiteter” og ”vigtige entiteter” (se samtlige sektorer i tabel nedenfor).
Omfanget af sektorer udvides (se samtlige sektorer i tabel nedenfor), da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.
I energisektoren har omfanget eksempelvis været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. I NIS2 forventer vi, at forsyningskæden, fx vindmølleproducenter, ligeledes bliver omfattet af kravene, da direktivet forsøger at sikre en 360 graders harmonisering af cybersikkerhed.
NIS2-direktivets skærpede krav til cybersikkerhed omfatter også offentlige myndigheder - læs mere her.
Hvilke krav stiller NIS2 til din organisation?
NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:
- Ledelsen i jeres organisation skal være bekendte med kravene i direktivet og risikostyringsindsatsen. De får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret samt, at kravene overholdes.
- Øgede krav til risikostyring og robusthed betyder, at din organisation skal risikostyre og implementere både skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
- Jeres organisation skal forholde sig til, hvordan I vil sikre forretningskontinuiteten i tilfælde af, at I skulle blive ramt af en større cyberhændelse. Dette indebærer eksempelvis genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
- Jeres organisation skal have etableret processer for, hvordan I vil sikre den korrekte rapportering til myndighederne. Der stilles blandt andet krav til, at større hændelser rapporteres inden for 24 timer.
Sådan implementerer du NIS2-kravene
Hent vores trin-for-trin-guide
Hvordan fører myndigheder tilsyn, håndhæver og sanktionerer?
Med implementeringen af NIS2-direktivet skal myndighederne udvide tilsynet både i dybden og bredden. I dybden, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet, og i bredden, fordi omfanget af direktivet er udvidet til at gælde flere sektorer.
Essentielle entiteter kan forvente løbende tilsyn såsom revisioner, rapportering og peer reviews, mens vigtige entiteter kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene.
Mulighed for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.
Overblik over særlig kritiske og kritiske entiteter
CFO'ens CyberGuide: Webcast om NIS2-direktivet
Se eller gense webcasten, hvor PwC's eksperter går i dybden med, hvordan CFO'en og direktionen skal forholde sig til efterlevelse af NIS2-direktivet, der regulerer de driftskritiske aktiver i jeres organisation. Du får overblik over de væsentligste elementer i NIS2, samt hvordan du finder ud af, om jeres organisation er omfattet af direktivet, og hvordan I sikrer jer, at I efterlever kravene.
45:41
PwC hjælper jer med at leve op til de nye lovkrav
Konkret kan vi hjælpe med:
- at identificere, hvorvidt I vil blive omfattet af direktivet
- at identificere gaps i forhold til kravene i direktivet
- implementering af både organisatoriske og tekniske krav i jeres organisation
- at etablere de kapabiliteter, der er nødvendige for at varetage forpligtelserne i ledelsen.
Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.
PwC’s Cyberteam er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.
PwC er en del af et bredt NIS2-netværk
PwC er en del af et bredt NIS2-netværk på tværs af EMEA, der består af 150 erfarne fagfolk inden for cybersikkerhed, risikostyring, incident response, governance, compliance og jura. Dette netværk er blevet etableret for at kunne give vores kunder den bedst mulige rådgivning om kravene i NIS2-direktivet.
Vi hjælper med at forstå regulativet, og hvad det har af betydning for din virksomhed eller organisation, herunder at identificere, hvor I allerede opfylder kravene, og undersøge, hvor der er behov for indsats. Vi støtter jer desuden på bedst mulig måde i at igangsætte tiltag, så I overholder de lovgivningsmæssige krav, der stilles – både lokalt og på EU-plan.
Hvis I vil vide mere, er I velkommen til at kontakte os.
Sådan implementerer du NIS2-kravene
Hent vores trin-for-trin-guide
Få seneste nyt fra PwC
Vær på forkant med nye tiltag og tendenser i erhvervslivet. Du bliver også inviteret til agendasættende events, hvor vi sammen får ny viden, perspektiver og relationer.
Publikationer og udgivelser
Seneste publikationer, analyser og undersøgelser om emner som skat, regnskab, IFRS, revision, moms, told og afgifter.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Følg PwC
