Slik sikrer du hjemmekontoret

Stadig flere nordmenn jobber hjemmefra. Dette skaper noen særskilte utfordringer, idet en rekordstor mengde norske arbeidstakere nå befinner seg utenfor den beskyttende boblen som et kontor med gode rutiner for datasikkerhet gjerne er. 

Dette er spesielt alvorlig for dem som jobber med sensitive opplysninger, for eksempel innen helse, men i praksis har de aller fleste godt av å ta noen grunnleggende forholdsregler – også de som sier at «jeg er da ikke interessant nok til å hacke».

– Alle må hjelpe til her, sier sikkerhetsrådgiver Arbnora Tahiri i Visma.

– Kanskje ikke du er så interessant, men du kan være del av en større plan hvor du kan brukes for å fortsette inn og få tilgang på det som er interessant.

Og skulle noen først få tilgang kan konsekvensene være store, spesielt i tilfeller der sensitive opplysninger lekkes.

– Virksomheten kan få bot, og kan miste tillit ute blant folk. Samtidig kan det ha konsekvenser for deg selv, spesielt om det er snakk om helseopplysninger.

Hjemmekontor kan være en sikkerhetsmessig gråsone. Til syvende og sist er det jo bedriften som har ansvaret, men samtidig jobber man gjerne med eget utstyr over hjemmenettet. 

– Arbeidsgiver må ha retningslinjer for hjemmekontor, hvor de forklarer hvordan du skal koble deg på virksomhetens IKT-ressurser og utfører jobben din, sier Tahiri.

– Du skal få beskjed om hva du har lov til å gjøre og hvordan du lagrer data. Og så er sikkerheten avhengig av at du forholder deg til retningslinjene.

For å være så sikker som mulig på hjemmekontor finnes fem essensielle grep du kan gjøre selv, akkurat nå.

Bruker du den private datamaskinen din til jobb? For eksempel til å åpne private e-poster? Da bør du tenke deg om. Da står du nemlig uten sikkerhetsventilene som IT-ansvarlig i bedriften bør ha installert på jobbmaskinen, som for eksempel en VPN-kobling som krypterer kommunikasjonen mellom jobben og maskinen.

– VPN er et veldig godt verktøy som hjelper med å holde deg trygg på nett, sier Tahiri. 

– Ved å bruke VPN forhindrer du at andre får tilgang til kommunikasjon mellom deg og din arbeidsgiver.

Hun gir et eksempel på gode sikkerhetsrutiner fra en tidligere arbeidsplass hvor hun jobbet mye med sensitive helseopplysninger.

– Der hadde jeg ikke tilgang til nett i det hele tatt før jeg hadde koblet meg til organisasjonens VPN.

Tiltakene Tahiri måtte gjennom kan virke knotete, men tenk selv etter:

Hvilke ting har du tilgang til? En angriper som tar kontroll over maskinen din vil ha de samme tilgangene.

Du må passe på at det trådløse nettet ditt er godt sikret. Ifølge Tahiri handler dette fremfor alt å sørge for at ruteren din  er kryptert med et sterkt passord.

– Det bør være et langt passord, og helst ikke ord som er i vanlig bruk, som «Sommer2021».

Tahiri mener det kan være lurt å bruke en lang passfrase, helst mer enn 14 tegn, i stedet for lange strenger av tilfeldige bokstaver, tall og spesialtegn.

– Da er det lett å huske, men ikke lett å knekke. Alle lange passord tar tid å knekke, mens åtte tegn er lett å knekke uansett hva som står skrevet.

Selv med et sterkt passord er det andre faktorer som også kan spille inn, spesielt ved et målrettet angrep. Smarthjem-enheter kan ifølge Taihiri ofte være gode inngangsporter for en angriper hvis de nødvendige kontrollene ikke er på plass.

En ting man kan vurdere er å ikke samle all nettverksaktivitet på den samme koblingen.  De fleste rutere har mulighet for å sette opp et gjestenett, slik at for eksempel folk på besøk ikke får tilgang på hjemmenettet ditt men i stedet bare får nettilgang.

Her er det også mulig å koble til ulike smarthjem-enheter. 

Det er også mulig å få ruteren til å ikke kringkaste navnet på hjemmenettverket, slik at det ikke dukker opp på listen over nettverk det er mulig å koble seg på. Selv om funksjonen skrus av vil enhetene som allerede er tilkoblet forbli påkoblet.

Bruker du bare ett passord over alt? Og er det kanskje noe som er veldig enkelt å huske? Da bør du snarest sette av noen timer til å oppdatere kontoene dine.

Selv hvis du skulle ha et kjempegodt passord skjer det passordlekkasjer fra ulike tjenester og nettsteder jevnlig, og før eller siden er kontoen din gjerne med i én av dem.

En ting Tahiri tidligere har jobbet mye med er penetrasjonstesting – å forsøke å finne svakheter i bedrifters sikkerhetssystemer som en angriper kan utnytte. Da har hun sett mye dårlig passordpraksis – gjerne fra dem som tenker «ingen hacker meg, jeg har ikke så mye sensitiv info».

– Når vi gjorde penetrasjonstesting fant vi nesten alltid folk som brukte svake passord som var enkle å gjette, og så gjorde vi noe som kalles pivoting – at man finner veien videre via dem, sier Tahiri.

– Om jeg har passordet og e-posten din kan jeg for eksempel bruke det å til sende phishing og malware til andre kolleger, som gjerne stoler på deg fordi du er del av selskapet.

Det å ha unike passord på alle nettsteder og tjenester man benytter er dermed en viktig tommelfingerregel både som arbeidstaker og privatperson.

Årsaken til at det er lite lurt å bruke samme passord overalt, er at en lekkasje ett sted i praksis eksponere alle kontoene dine for hvem som helst.

Det skaper også mye arbeid - for å sikre kontoene igjen vil du måtte gå inn og bytte passord på hver enkelt av dem.

– Du bør aldri bruke private passord til jobbsystemer. De private kontoene er lettere å eksponere og hacke.

En god løsning er å bruke en passord-manager. Dette vil kunne gi deg lange og unike passord og holde rede på dem i et hvelv, slik at du slipper. Ingen tjenester er bombesikre, så lær deg gjerne de viktigste passordene dine utenat slik at du ikke trenger å lagre dem i hvelvet.

Den aller beste sikkerheten får du ved å bruke tofaktorautorisering, noe f.eks. kodebrikken din fra nettbanken er et eksempel på. Vanligvis skjer dette i form av en unik kode via SMS eller app på telefonen.

Med et slikt ekstra innloggingsledd kan selv angripere som har klart å tuske til seg passordet ditt stoppes.

Lurer du på om noen av passordene dine allerede ligger ute? Nettstedet HaveIbeenPwned.com lar deg teste mail-adressen din opp mot de fleste kjente passordlekkasjene i nyere tid.