Datakriminelle velger alltid minste motstands vei inn i bedriftens systemer – og svært ofte står døra på vidt gap takket være dårlig passordsikkerhet. Ved å ta i bruk multifaktorautentisering kan du gjøre jobben svært mye vanskeligere for trusselaktørene, og i de fleste tilfeller stoppe angrepet helt.
– Hver eneste dag får kriminelle tak i brukernavn og passord til ansatte i norske bedrifter. Og dessverre ser vi at disse ofte brukes til å logge seg inn i bedriftens systemer – fordi sikkerheten ikke er god nok, sier Jan Roger Wilkens, sikkerhetsanalytiker ved Telenors Sikkerhetssenter (TSOC).
– Når de kriminelle først er inne, kan de for eksempel stjele informasjon, gjøre hærverk eller kryptere servere og kreve løsepenger for å låse opp igjen systemene, forklarer Wilkens.
I kjølvannet av datainnbruddet på Stortinget, der sensitiv info fra flere stortingspolitikere kom på avveie, har Nasjonal sikkerhetsmyndighet (NSM) varslet at flere norske virksomheter, både private og offentlige, er blitt rammet av datainnbrudd.
NSM trekker frem spesielt to tiltak for å redusere risikoen for slike innbrudd: Benytt tofaktorautentisering og lag unike passord for hver tjeneste.
Mange bedrifter trenger å styrke sin sikkerhet. Det er ikke noe galt i å ærkjenne at man faktisk trenger hjelp fra eksperter på området. På den måten frigjør man jo også verdifull tid til å konsentrere seg om bedriftens kjernevirksomhet.
– Det er kanskje den viktigste enkelthandlingen en bedrift kan gjøre for å sikre seg.
– Trusselaktørene velger minste motstands vei, og prøver seg gjerne på tusenvis av kontoer samtidig. Har bedriften en dårlig passord-policy, kan de kriminelle være inne på få minutter. Det klarer de imidlertid ikke om bedriften har aktivert multifaktorinnlogging, sier Wilkens.
Med Telenors autentiseringstjeneste reduseres risikoen for at uvedkommende får tilgang til bedriftens data, ved at brukeren må bekrefte innloggingen med en ekstra handling utover å taste inn passordet.
– En slik sikring er enkel i bruk, men også kjempeviktig. Det er kanskje den viktigste enkelthandlingen en bedrift kan gjøre for å sikre seg – det er ikke uten grunn at NSM anbefaler dette som første steg, sier Kjell Kjebekk, Head of Security Portfolio & Market i Telenor.
– Med denne tjenesten kan medarbeiderne enkelt logge seg inn på flere applikasjoner og tjenester med brukernavn og passord, og deretter bekrefte denne innloggingen via en ekstern «nøkkel» – for eksempel i en app på mobilen, sier Kjebekk.
● Telenor autentiseringstjeneste innebærer at du ikke får logget inn med passord alene, men må bekrefte innloggingen på en annen måte – for eksempel via en pålitelig enhet eller med en engangskode.
● Du må altså presentere to eller flere bevis (faktorer) for å autentisere din identitet. Derav navnet. Tofaktorautentisering er en form for multifaktorautentisering.
● Sagt på en annen måte: Selv om noen skulle få tak i passordet ditt, kommer de seg likevel ikke inn uten at innloggingen bekreftes, dersom du har aktivert multifaktorautentisering. Det er den samme typen sikring du møter på når du logger inn i nettbanken.
● Autentiseringstjenesten reduserer risikoen for at uvedkommende kan få tilgang til brukerkontoer med stjålne brukernavn og passord.
● Brukerne får samme autentiseringsmetode på tvers av alle applikasjoner, noe som minsker muligheten for å bli rammet av phishing og datainnbrudd.
● Tjenesten har et web-basert administrasjonspanel med mulighet for ulike administratorroller. Her får man også en oversikt over programhygiene på endepunktene.
● Ivaretas og monitoreres av sikkerhetsekspertene i Telenors sikkerhetssenter hele døgnet, året rundt. Disse kan også konfigurere tjenesten og administrere sikkerhetsinnstillinger.
● Svært brukervennlig autentisering via mobilapp – men fysisk USB-sikkerhetsnøkkel kan også brukes dersom det er behov for enda større sikkerhet.
Tjenesten oppfyller anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM).
Enkel bekreftelse av identitet
Som du kan lese mer om lenger ned i denne saken, er det mange forskjellige måter de kriminelle kan gå frem på for å stjele påloggingsinformasjonen til de ansatte.
– Selv om de skulle klare å få tak i brukernavnet og passordet til en ansatt, kommer de ikke lenger dersom bedriften har sikret seg med multifaktorautentisering, sier Wilkens.
Hvordan fungerer så dette i praksis? Kjebekk forklarer:
– Etter at du har tastet inn brukernavnet og passordet ditt, vil du bli bedt om å utføre ytterligere ett steg: Å bekrefte at det faktisk er du som logger deg inn. Med vår multifaktorautentiseringstjeneste gjør du dette enkelt ved å bekrefte innloggingen med et trykk i appen vår på mobilen din – så er du inne. Hadde det derimot vært noen andre som forsøkte å logge seg inn med brukernavnet og passordet ditt, kommer de seg ikke videre fordi de ikke har tilgang på denne bekreftelsen.
– Det går aldri an å sikre seg 100% mot et datainnbrudd – men dette enkle grepet gjør det svært mye vanskeligere for de kriminelle å lykkes.
Støtte for flere applikasjoner
En annen stor fordel med multifaktorautentisering fra Telenor er at sikkerhetstjenesten kan brukes på tvers av alle bedriftens systemer og applikasjoner. Kjebekk forklarer:
– Som ansatt i en bedrift må du gjerne forholde deg til separate innlogginger i mange forskjellige systemer, enten de ligger i skyen eller på bedriftens servere – spesielt i disse hjemmekontor-tider kan det bli mye å holde styr på. Men med Telenors autentiseringstjeneste kan alle disse tofaktor-innloggingene samles på ett sted – også om bedriften din bruker Office 365.
Som Dagens Næringsliv skrev om nylig, utsettes norske selskaper ukentlig for store, internasjonale angrep – der kriminelle bruker en rekke forskjellige metoder for å komme seg unna med millionverdier.
– Multifaktorautentisering er en del av vår lagvise tilnærming til sikkerhet, der bedriften sikres med flere lag med forskjellige typer sikkerhetsmekanismer. Det går aldri an å sikre seg 100% mot et datainnbrudd – men dette enkle grepet gjør det svært mye vanskeligere for de kriminelle å lykkes, sier Kjebekk
Slik stjeler de passordene
Ifølge sikkerhetsanalytiker Wilkens skjer tyveri av passord typisk på følgende måter:
● Passordspraying: – Her har de kriminelle fått tak i en liste med ansatte i bedriften – og typisk e-postadressene deres. Deretter prøver de å logge på med hvert enkelt brukernavn i listen, sammen med svært vanlige passord, for eksempel «Qwerty123» eller «P@ssword». Målet kan være en web-tjeneste eller offentlig tilgjengelig Exchange-server, og passordene er gjerne tilpasset tjenestens passord-policy. Alt som skal til, er at én enkelt ansatt har et svært vanlig passord før bedriften blir kompromittert.
● Credential stuffing: – De kriminelle prøver her å logge på en tjeneste med et tidligere lekket brukernavn (typisk e-postadresser) og passord. Flere milliarder kombinasjoner av brukernavn og passord fra tusenvis av passordlekkasjer ligger åpent tilgjengelig på internett, og med denne kunnskapen kan angriperne prøve andre tjenester med det samme brukernavnet og passordet. Siden over halvparten av brukerne gjenbruker passord, lykkes ofte angriperne i å få tilgang til tjenesten.
● Phishing: – De fleste har vært utsatt for phishing-angrep. Dette kan være e-poster som sendes ut og gir seg ut for å komme fra for eksempel en bank, Finn.no, Apple eller Netflix. E-posten inneholder et budskap om at det er viktig å logge inn på nettsiden og ordne opp i et eller annet problem – med en lenken som går til en falsk kopi av nettsiden. Her gir brukeren fra seg brukernavn og passord til bakmennene. Phishing kan også være spesielt utformet for å treffe én spesiell person, i disse tilfellene kalles angrepet «spearphishing».
– I alle disse tilfellene vil angriperne kunne stoppes om bedriften har aktivert en løsning for multifaktorautentisering i sitt system, sier Wilkens. Vi har en multifaktorautentiseringstjeneste som er enkel å ta i bruk og lett for brukerne å ta i bruk.
Ønsker du å lære mer om hvem som står bak cyberangrepene, hvorfor de gjør det og hvordan du kan beskytte deg? Da anbefaler vi deg å ta en titt på e-boken "Lær mer om cybersikkerhet". Del den gjerne med dine ansatte slik at de også kan være obs på farene som lurer på nettet.
Jan Roger Wilkens, sikkerhetsanalytiker ved Telenors Sikkerhetssenter (TSOC), har følgende tips til eiere av en tjeneste for gode mottiltak mot phishing:
● Krev at brukerne bruker en ekstra faktor for å identifisere seg. Dette tiltaket er svært effektivt, men øker kompleksiteten noe for brukeren – noe som kan lettes ved at systemet kan «huske» at brukeren har bekreftet seg på enheten tidligere.
● Sett krav til lengde og kompleksitet på passord. Det trenger ikke være snakk om å fylle passordet med symboler og tall, helst bør det være passordfraser bestående av flere ord.
● Sjekk brukernes passord opp mot lister av lekkede passord, og ikke tillat at disse brukes. Dette bør gjøres ved opprettelse av nytt passord – og ellers også jevnlig.
● Sjekk at brukeren ikke har flyttet seg unaturlig langt unna forrige posisjon hen var i ved forrige pålogging.
● Tving brukeren til å løse en captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) for å prøve å sikre at brukeren er et faktisk menneske og ikke et automatisert program.
● Skru på rate-limiting for innlogging – altså en begrensing av hvor mange ganger samme bruker eller IP-adresse kan forsøke å logge seg på i løpet en viss tid. Blokkér bruker/IP etter mange forsøk.
● Bruk noe annet enn e-postadresse som brukernavn, slik at dette brukernavnet ikke blir felles mellom flere tjenester.
Varsle brukeren via e-post når en ny enhet er benyttet til å logge seg på kontoen.
Ønsker du å bedre sikkerheten i din bedrift hjelper vi deg gjerne. Våre sikkerhetseksperter kan finne ut om det finnes sikkerhetshull og tette disse, slik at du og dine ansatte kan konsentrere dere om det dere er best på, drift av kjernevirksomheten.