Coronapandemien skaber markant forøgede cyberrisici, når arbejdet genoptages i morgen mandag - alle har en rolle at spille

Cyberkriminelle lader sig ikke begrænse af etik og moral. Corona-pandemien skaber markant forøgede cyberrisici på grund af den øgede brug af hjemmearbejdspladser med et lavere sikkerhedsniveau og cyberkriminelles forventede forsøg på at udnytte den aktuelle, sårbare situation. Alle bør være særligt opmærksomme på cybertruslen, når arbejdet genoptages i morgen mandag, både ved korrekt og konsekvent anvendelse af virksomhedens sikkerhedssystemer og ved at være særligt skeptiske i forhold til autenciteten af e-mails og anden kommunikation på nettet. Ledelsen bør sørge for bredt kendskab til gældende sikkerhedspolitikker, og at der tages passende foranstaltninger hos samarbejdspartnere, som varetager kritisk it-infrastruktur.

Den akutte cybertrussel er meget høj

Cyberkriminelle lader sig ikke begrænse af etik og moral i forbindelse med Corona-pandemien. Det er faktisk i sådanne situationer, at de er særligt aktive. Center for Cybersikkerhed vurderer derfor, at cybertruslen lige nu er "MEGET HØJ". 

Den høje trussel skyldes kombinationen af flere forhold:

 

  • Den forøgede brug af mere sårbare hjemmearbejdspladser, hvor medarbejdere typisk håndterer e-mails og har adgang til myndighedens eller virksomhedens it-netværk. Netværkene er under pres fra det ændrede brugsmønster, hvor tilgængeligheden af systemerne prioriteres højt, og hvor sædvanlige sikkerhedsforanstaltninger (system- og softwareopdateringer eller anvendelse af VPN-forbindelse eller flerfaktorgodkendelse) måske ikke gennemføres rutinemæssigt eller så ofte som normalt.

  • Muligheden for, at cyberkriminelle kan udnytte den aktuelle, samfundsmæssigt sårbare Corona-pandemi til f.eks. angreb med phishing-mails ved f.eks. at udgive sig for at være fra nationale sundhedsmyndigheder eller til at oprette hjemmesider om Coronavirus, som spreder malware til besøgende eller søger at indsamle data. Begge dele er allerede set i Danmark, hvor der er udsendt falske mails om at "Sundhedsstyrelsen har sendt ny post" og links til en falsk hjemmeside for styrelsen - og fænomenet har også været udbredt i USA, Storbritanien og Kina.

De eksterne påvirkninger og trusler forstærkes også af at det mentale fokus hos mange medarbejdere kan være på mange andre forhold - skole- og børnehavebørn der er hjemme mens man forsøger at arbejde, bekymringer om smitterisiko og tanker om en arbejdsplads i fare kan alle være med til at fjerne fokus fra gode digitale vaner. 

Den akutte situation må ikke sætte sikkerheden ved hjemmearbejde over styr

Hjemmearbejde kan give særlige sikkerhedsmæssige udfordringer. På den almindelige arbejdsplads er der et sikkert og kontrolleret IT-miljø, og der er som ofte indarbejdet rutiner og adfærd, som sikrer en forsvarlig behandling af virksomhedens forretningsdata og persondata. Det er ikke altid tilfældet, når arbejdet udføres fra en hjemmearbejdsplads - men de eksterne krav til virksomheden, både lovmæssige og forretningsmæssige - reduceres ikke, blot fordi arbejdet udføres fra et andet sted. Det gælder både for at sikre tilgængelighed, fortrolighed og integritet af data.

Der er derfor en række forhold, som kræver særlig opmærksomhed ved hjemmearbejde, blandt andet:

 

  • Hvis hjemmearbejdet medfører, at der bliver behov for lokal lagring af data på medarbejderens PC og arbejde "uden om" centrale systemer - eksempelvis fordi fjernadgang er for langsom eller ustabil - så skal det sikres, at data fortsat opbevares sikkert (evt. krypteret). Det skal også sikres, at data, der har været behandlet uden for centrale systemer, kommer "tilbage i systemet", så centrale systemer holdes opdaterede.

  • Fysisk sikkerhed og sikkerhed på hjemmenetværk skal prioriteres. Det skal indskærpes over for medarbejderne, at PC'er og eventuel fysiske materialer fortsat skal behandles sikkert - også i hjemmet. Hvis medarbejderne tager fortroligt materiale med hjem (i det omfang virksomheden tillader det) skal det kunne opbevares forsvarligt og ikke flyde på spisebordet, mens huset er forladt - det gælder også for print, der laves i hjemmet. Hvis hjemmenetværket også bruges til andre enheder end arbejds-PC'en, så skal man være ekstra opmærksomhed på sikkerheden. Mange IoT-enheder udgør eksempelvis en stor sikkerhedsrisiko og bør derfor enten kobles fra eller separeres på et andet netværk.

  • Virksomheden bør understøtte hjemmearbejde ved at sørge for sikre og tilgængelige værktøjer til hjemmearbejde og kommunikation - også således at medarbejderne ikke selv opfinder "lokale" løsninger (eks. private Dropbox-konti eller mailkonti) som ikke er under virksomhedens kontrol. Teleinfrastrukturen kan komme under pres på grund af et helt andet brugsmønster, og derfor kan det være hensigtsmæssigt at sikre, at medarbejderne har flere muligheder for fjernforbindelse (eks. både mobil og fast forbindelse).

Hvis der implementeres nye værktøjer til hjemmearbejde, er det vigtigt at huske de databeskyttelsesretlige krav, herunder at risikovurdering og eventuel databehandleraftale også kommer på plads inden implementering.

Anbefalinger

Alle bør allerede fra i morgen mandag, når arbejdet genoptages, være opmærksom på den høje cybertrusel, herunder ved at anvende virksomhedens sikkerhedssystemer korrekt og konsekvent, ved at være særlig skeptisk i forhold til autenciteten af henvendelser og ved at være selektiv i forhold til aktivitet på nettet. Det er en god anledning til at - både fra medarbejdere og ledelsens side - at genbesøge den gældende sikkerhedspolitik, som nok ikke er læst i moderne tid.

Ledelsen bør derfor sørge for:

 

  • at der er sikre og tilgængelige værktøjer til hjemmearbejde og kommunikation, som understøtter medarbejdernes behov

  • at medarbejdere kender processerne for sikker fjernadgang og fjernarbejde - gerne ved gennemføre en proaktiv informationsindsats, så alle medarbejdere er informeret og procedurer og værktøjer

  • at relevante it-systemer er sikkerhedsopdaterede, at automatiske opdateringer af medarbejdernes arbejdscomputer også virker, når de arbejder hjemmefra, og at virksomhedens risikovurderinger og sikkerhedspolitikkerne suppleres i lyset af det ændrede brugsmønster og det forøgede trusselbillede, og 

  • at virksomhedens risikovurderinger og sikkerhedspolitikker gennemgås og eventuelt opdateres i lyset af det ændrede arbejdsmønster

  • at ovenstående også sker hos samarbejdspartnere og leverandører, ikke mindst dem som varetager it-relaterede opgaver og anden kritisk infrastruktur.

Organisationer og virksomheder skal gerne undgå yderligere udfordringer i den nuværende situation, og det gøres bedst med rettidig omhu i forhold til den kritiske it-infrastruktur. 

 

Læs mere

Se Forsvarets Efterretningstjenestes Center for Cybersikkerheds nationale trusselsvurdering, Cybertruslen mod Danmark

 

Se også de konkrete anbefalinger for bestyrelser om cybersikkerhed, som vi har udarbejdet i samarbejde med bestyrelsesforeningen og Center for Cybersikkerhed

Se Sundhedsstyrelsens advarsler om falske mails