Hvorfor er der behov for IT-sikkerhed?

Det er ikke et spørgsmål om, hvorfor man skal IT-sikre sin virksomhed, men nærmere hvordan og i hvor høj grad. De IT-kriminelle er dygtige, og de lykkes desværre med ransomware. De har succes med at sende malware ind i virksomhedernes systemer og kræver en løsesum for at frigive fx filer eller data. Ingen ønsker at være offer for IT-kriminalitet – vi hjælper med jeres IT-sikkerhed!

Kontakt os

Klaus Dyhre
Salgskonsulent

Email: klad@specialminds.dk
Tel: 25 24 61 18

Alle ved, at det er vigtigt at sikre sig mod cyber-angreb, og alligevel viser undersøgelsen fra Statistikbanken, at 31% af større virksomheder havde brud på deres it-virksomhed i 2019. Det er næsten 1/3 af alle store danske virksomheder, der er blevet udsat for blokeret adgang til deres IT-service, sletning og ødelæggelse af data eller videregivelse af fortrolig data.

Brud på it-sikkerhed i virksomheder og oplevede sikkerhedsproblemer i befolkningen. 2019.

Konsekvenserne af IT-kriminalitet er mange. Det kan fx være mistet data, lukket adgang til produktionssystemer eller IT-services, som har kritiske økonomiske konsekvenser. Et andet problem er, hvis der grundet hacking er udsendt falske mails i virksomhedens navn, som skaber en mistillid til virksomheden. Derudover ser vi en række eksempler på, at virksomheder ender med at betale en løsesum til bagmændene i million- og milliardbeløb.

Undersøgelsen fra Danmark Statistiks(kilde) viser, at det primært er de store virksomheder (+250 ansatte), der tester deres IT- sikkerhedsrisiko. Men alle virksomheder uanset størrelse bør give den samme prioritering, hvis de vil beskytte deres virksomhed mod IT-kriminalitet. Software vil altid indeholde sårbarheder, og derfor er det nødvendigt med en plan for IT-sikkerheden.

(Kilde)

Referencer

Jammerbugt Kommune, Mjølner og Adversus.

Nyhedsbrev om IT-sikkerhed

Tilmeld dig vores nyhedsbrev om IT-sikkerhed. Her får du en introduktion til de hyppigstige sikkerhedsmæssige problemer i forhold IT, og vi holder dig opdateret på de nyeste tendenser.
Desuden får du bl.a. få invitationer til webinarer og events samt nye tilbud.

Du kan til enhver tid afmelde dig nyhedsbrevet igen, og vi tager dit privatliv alvorligt.

Hvordan beskytter man sin virksomhed mod IT-angreb?

Første skridt er at danne sig et overblik over sin IT-infrastruktur. Det er alt fra serversystemer til forældede teknologier, man ikke er opmærksom på, og som kan udnyttes som indgang i jeres systemer.

Få implementeret sikkerhedssystemer, der er tilpasset jeres IT-infrastruktur.

Dernæst få testet jeres IT-systemers sårbarheder udefra, så I kender til hvilke udfordringer, der kan forekomme ift. IT-sikkerhed.

Test interne miljøer og systemer for sårbarheder. Selvom det er interne brugere, så er IT-sikkerhed her mindst lige så vigtigt, da IT-kriminelle målrettet forsøger at få medarbejdere til at åbne inficerede mails. 43% af befolkningen har i 2019 oplevet at blive udsat for phishing. 
(kilde)

Selvom I har købt sikkerhedssystemer, der fanger mange angreb, er dette ikke en garanti for jeres IT-sikkerhed. Hvis der er en konfigurationsfejl i opsætningen eller en fejl i et af jeres systemer, vil dette være en mulig åbning for ondsindet hackerangreb. Jeres IT-infrastruktur er ikke stærkere end det svageste led. Derfor hjælper en IT-sikkerhedstest jer til at opdage disse sårbarheder i tide.

Min opgave er at opdage huller, før andre gør det. Jeg forsøger at være så sammenlignelig med de onde hackere som muligt og få øje på sårbarheder i systemer og software

David Leonard
Infrastruktur- og sikkerhedsspecialist

Typiske udfordringer med IT-sikkerhed

  • Forældede teknologier, servere og software.

  • Fejl i konfigurationsopsætning.

  • Logning ikke opsat eller ikke korrekt opsat.

  • Firewalls ikke opsat korrekt.

  • Office365 regelopsætning ikke opsat, så det understøtter virksomhedens sikkerhedspolitikker.

Special Minds IT’s tilgang til IT-sikkerhedstest

For at sikre, at jeres sikkerhed er så stærk som mulig, benytter vi altid manuelle værktøjer og metoder til testen, uanset om vi tester på automatiserede scanninger eller ej. En af vores metoder er, at vi agerer så tæt op ad en realistisk offensiv kampagne mod et ukendt mål som muligt.

Sammen tilpasser vi sikkerhedstestens formål for jeres virksomhed, for at gøre jer så modstandsdygtige som muligt i kampen mod IT-kriminalitet.

Vi foretager sikkerhedstesten fra eget kontor, og det eneste, det kræver, er hvilke IP-adresser og adgange til systemer, der skal sikkerhedstestes.

Vi overdrager en præcis IT-sikkerhedsrapport til jer med klar beskrivelse og prioritering af problemer samt klare forslag til udbedringer. Her får I beskrivelser af, hvad og hvordan der er testet.

Hvor sikker er man efter en IT-sikkerhedstest

En IT-sikkerhedstest er et øjebliksbillede af miljøet. IT-systemer er dynamiske med nye tilrettelser, tilføjelser, opdateringer i systemer og nye features, som hele tiden kan påvirke jeres sårbarhed. Og angriberne bliver i samme hastighed dygtigere til at bryde ind. Derfor bør en sikkerhedstest være et kontinuerligt samarbejde, hvor man jævnligt får testet sin sikkerhed af en uvildig certificeret IT-sikkerhedsspecialist. Og så kræver det naturligvis, at der bliver foretaget kvalificerede beslutninger. 

IT-sikkerheds case

Dedikeret tilgang

Jammerbugt Kommune i Nordjylland er en af de kommuner, som samarbejder med Special Minds IT og David Leonard om IT-sikkerhed. De bruger ham bl.a. til sikkerhedsscreening og til at få afdækket hvor sårbare de er for angreb udefra.

Morten Hedegaard, IT-chef i Jammerbugt Kommune er meget bevidst om, at denne IT-ydelse kan købes mange steder ude i byen, men han har valgt Special Minds IT:

”Vi får en mere dedikeret tilgang hos Special Minds IT. Her er det ikke bare ’one size fits all, men David leverer rapporter, som vi ønsker dem, og hvor vi også meget nemt kan handle på anbefalingerne og vælge, om vi vil købe David ind til at løse noget af det, eller vi selv gør det.

Hvor nogle chefer er betænkelige ved at indlede et samarbejde med en virksomhed med autismeprofiler, så var det langt fra tilfældet for Morten Hedegaard.

”Jeg havde i forvejen erfaring med autismemålgruppen, og jeg var meget nysgerrig på samarbejdet, da jeg ved, at medarbejdere med autisme har et stort potentiale, er enormt gode til at eksekvere, er meget dedikerede og har en høj opfyldelsesgrad.”

Han er ikke blevet skuffet:

”De er ekstremt skarpe og hurtige til at opfange en opgave. Vi får en meget høj faglighed, som jeg tror, at vi har vanskeligt ved at finde andre steder.

Falck logo

De er ekstremt skarpe og hurtige til at opfange en opgave. Vi får en meget høj faglighed, som jeg tror, at vi har vanskeligt ved at finde andre steder.

Morten Hedegaard, IT-chef, Jammerbugt Kommune.

Fælles for alle Special Minds IT’s konsulenter er, at deres autismeprofil udgør en særlig kompetence i forhold til løsning af konkrete opgaver. Op mod 15% af mennesker med autismeprofil har såkaldte savant-færdigheder. Det betyder usædvanlige evner inden for bl.a. matematik og ekstraordinær god hukommelse.

David
Projekt: Jammerbugt Kommune

David har særlige kompetencer inden for:

  • Penetration testing/ Certified Ethical Hacker + Certified Security Analyst
  • Ekspert i systemadministration; Windows- og RHEL-servere
  • Ekspert i IDS/IPS (Intrusion Detection System/ Intrusion Prevention System
  • Administration af netværk, vpn mv.
  • Opsætning og vedligehold af 365-miljø og opsætning af scripts
  • Opsætning og drift af ESX
  • Interne og eksterne udviklingsopgaver
  • Strategiske overvejelser omkring hardware- og softwareløsninger
  • PowerShell-automation

”Jeg spotter det, der ser usædvanligt ud”

David Leonard har i snart 10 år været ansat som IT-konsulent hos Special Minds IT, og hans passion for IT-sikkerhedstest lyser ud af ham

Når der skal leveres IT-sikkerhedstest fra øverste hylde, er David Leonard en af dem, som landets virksomheder og kommuner griber ud efter.

– Min opgave er at opdage huller, før andre gør det. Jeg forsøger at være så sammenlignelig med de onde hackere som muligt og få øje på sårbarheder i systemer og software, siger David Leonard, der har været ansat hos Special Minds siden 2012 og bl.a. er Certified Ethical Hacker, Certified Security Analyst.

Han ved godt, at han har et IT-forspring i forhold til en række opgaver i kraft af, at han har Aspergers Syndrom, der er en del af autismespektret. De mange gentagelser ved IT-test, som for andre bliver stereotypt, vækker arbejdsglæde hos David Leonard.

– Jeg ved godt, at det jeg laver, vil være kedeligt for de fleste. Men i og med jeg har Aspergers Syndrom, har jeg en form for tunnelsyn. Det kan lyde negativt, men det betyder, at det aldrig bliver kedeligt for mig med gentagelser. Når noget skal testes 1.000 gange med forskellige parametre, så nyder jeg det, siger han.

Det betyder, at han spotter sårbarheder i alle setups. Det gælder web-apps, Windows- og Linux-systemer, en sårbar firewall, XSS-sårbare webapplikationer, fejlopsatte NFC-læsere osv.

– Min opgave er at spotte alle ’ikke-ordinære’ situationer og finde mønsterbrud. Det er her, at der kan opstå sikkerhedsproblemer, siger han.

 

Davids fagprofil

Ansat som IT-konsulent og IT-sikkerhedsspecialist hos Special Minds IT siden 2012.

Udfører sikkerhedstest, herunder sårbarhedsscanninger, webapplikationstest, wireless og test af fysiske installationer.

  • Certified Ethical Hacker
  • Certified Security Analyst
  • PHP Developer

Plusser i jeres CSR-regnskab

Du skal ikke vælge at samarbejde med os for at score point i jeres CSR-regnskab. Men du skal omvendt vide, at det er en del af pakken.

Special Minds IT er en registreret socialøkonomisk og non- profit virksomhed (RSV), som ikke blot ser det som sin opgave at levere de bedste IT-løsninger. Vi skaber de bedste løsninger ved at ansætte medarbejdere med autismeprofil og giver dem mulighed for at indfri deres unikke potentiale.

Det betyder, at du gennem dit samarbejde med Special Minds IT bidrager til udviklingen af det rummelige arbejdsmarked.

I jeres CSR-regnskab er det derfor værd at notere, at I agerer socialt ansvarligt, understøtter udviklingen af et rummeligt arbejdsmarked og arbejder i tråd med FN’s Verdensmål.

Ydelser vi tilbyder

Uanset om jeres systemer er opbygget på webapplikationer eller website, er det de samme sårbarheder og fejlkonfigurationer, der kan opstå. Vores tekniske tilgang til sikkerhedstest af disse vil derfor være den samme.

Der er mange lag, når man taler om IT-sikkerhed. Selvom jeres virksomhed kan have høj sikkerhed eksternt, kan det være ligegyldigt, hvis der er en fejl i softwaren. Der vil altid være elementer, man ikke er herre over, og derfor kræver det en sikkerhedstest at finde de huller, der kan være mulig indgang for potentielle ondsindede hackere.

Den IT-sikkerhedstest tilbyder vi – og vi skruer en ramme sammen, så I løbende får sikret jer mod nye sårbarheder.

Kontakt os

Klaus Dyhre
Salgskonsulent

Email: klad@specialminds.dk
Tel: 25 24 61 18

Overblik af IT-infrastruktur

Vi kan hjælpe jer med at danne et overblik over hvilke tjenester, der kører på hvilke servere, og hvordan de interagerer med hinanden. Herefter ved I, hvor der skal testes. Vi kigger på alle enheder, og om der er en central logning i forhold til sikkerhedshændelser.

Web sikkerhedstest

Vi tester for:

  • Input validering – sørger for at formatet er som forventet fra data, der kommer fra fx brugere, 3. parts systemer eller egne systemer.
  • Sikkerhedsprotokoller – at krypteringsalgoritmerne sikrer, at trafikken ikke kan overvåges af uvedkommende.
  • SQL-Injection – at brugeren kan sende kommandoer til eller interagere med databasen.
  • Logning- at der er tilstrækkelig logning af forsøg på adgang til data, der ikke burde være.

I kan få en udredning for en kategorisering af sårbarhedsniveauer på de enkelte sårbarheder, der er inden for opgavens aftalerammer.

Netværkssikkerhedstest

Vi tester for:

  • Forældede versioner af software
  • Tjenester/servere der ikke længere burde være aktive
  • Sårbarheder i serversoftware/ubeskyttede servere
  • Ubeskyttede netværk

I kan få en udredning for en kategorisering af sårbarhedsniveauer på de enkelte sårbarheder, der er inden for opgavens aftalerammer.

Test af fysisk netværk og/eller WIFI

Vi tester:

  • WIFI- Der er forskellige krypteringsalgoritmer, og nogle kan brydes lettere end andre.
  • Man In the Middle – vi sikrer, at andre ikke kan overvåge jeres trafik.

I kan få en udredning med en kategorisering af sårbarhedsniveauer inden for opgavens aftalerammer.

Office365 sikkerhed – mail

Vi tester for:

  • Regelopsætning- der er tilpasset jeres interne politikker, fx at personfølsomme data ikke afsendes ved en fejl, mail om fx bestemte emner/ nøgleord skal arkiveres, automatisk kategoriseres og lign.
  • Sikring af mailserver-forbindelser er krypteret.

I kan få en udredning for en kategorisering af sårbarhedsniveauer på de enkelte sårbarheder, der er inden for opgavens aftalerammer.

Opsætning

  • Udbedre fejl fra rapporten
  • Opsætte Office365 tilpasset virksomhedens politikker og behov
  • Konfigurere WIFI og netværk