Skadesbegrænsende råd til virksomheder

Hold operativsystemer, programmer og applikationer opdaterede på virksomhedens enheder.

  • Tilføj de seneste sikkerhedsindstillinger og opdater kritisk software, inklusiv på mobile enheder.
  • Aktiver automatiske opdateringer. Når du har de senest opdateringer vil det sikre at dine enheder er mere sikre og fungerer bedre.
  • Vurder om antivirus-programmer er nødvendige, og hold dem opdaterede.
  • Foretag skanning ofte for at sikre at dit operativ system kører mest effektivt.
  • Overvej at bruge et centralt patch management-system, og udarbejd en risikovurderingsstrategi til at afgøre, hvilke systemer der skal være en del af patch management-programmet.
  • Gennemfør jævnligt backup af dine systemer, både online og offline. Hold sikkerhedskopier opdateret, da det er den mest effektive måde at genskabe systemerne efter et ransomware-angreb.
  • Hold dine offline sikkerhedskopier skjult et andet sted (ideelt set på en anden lokalitet) end på dit netværk og systemer, og/eller i en cloud-løsning designet til formålet. Husk at ransomware går efter at ramme sikkerhedskopier for at øge sandsynligheden for, at ofre betaler for at få adgang til deres data igen.

Hold overblik over dine aktiver og spred dem.

Følsomme data skal behandles anderledes end de daglige data.

  • Dine følsomme data skal gemmes spredt på forskellige lokaltioner.
  • Implementer og bevar en effektiv netværksadskillelse for at begrænse gerningsmændenes mulighed for at bruge det ene netværk til at angribe andre.
  • Adskil områder med forskellige egenskaber og sikkerhedsprofiler. Dermed isoleres og begrænses adgangen til de områder, der er mere sårbare over for angreb.

Adgangen til Remote Desktop Protocols (RDP's) skal sikres.

Begræns adgangen til netværksressourcer - især via RDP. Hvis man på baggrund af en risikovurdering skønner, at RDP er absolut nødvendig for din organisation, så begræns adgangen til de oprindelige kilder og kræv flerfaktor-godkendelse.

Overvåg dataeksfiltrering.

Ved mange ransomware angreb indgår en trussel om at lække data for at presse virksomheder til at betale løsesummen. Jo tidligere dataeksfiltrering opdages, jo mindre skade vil udgivelsen give. Ved at holde øje med dataeksfiltrering kan man få indsigt i, hvilke data der risikerer at blive eksponeret.

Det kan ikke gives garanti for at angriberen ikke udlevere data eller genbruge de samme data til efterfølgende afpresning. Overvej begge mulige scenarier uanset om løsesummen udbetales.

Test dine systemer.

Udfør jævnlige test af jeres netværkssikkerhed og test af jeres proces til genskabelse af kritiske informationer for at sikre, at det fungerer som forventet.

Begræns sandsynligheden for at ondsindet indhold kommer ind i jeres netværk.

  • Deaktiver scripting-miljøer og makroer.
  • Konfigurer dine systemer til at undersøge indholdet, så kun bestemte fil-typer kommer ind, og til at blokere hjemmesider, programmer/applikation, protokoller osv., der er ondsindede.
  • Overvej at filtrere din netværkstrafik ved at implementere politikker til at monitere, filtrere og blokere uønsket eller ondsindet trafik til jeres netværk.
  • Indfør blacklisting-/whitelisting-regler baseret på opdaterede efterretninger (live threat intelligence feeds) for at forhindre brugeres adgang til ondsindede hjemmesider, IP-adresser, phishing-URL'er, anonyme proxyer, Tor-netværk og andre anonymiserede tjenester osv.

Brug stærke adgangskoder og skift dem jævnligt.

  • Få stærkere adgangskoder ved at bruge tal, symboler og en kombination af store og små bogstaver.
  • Oplær og opfordr jeres medarbejdere til at bruge stærke adgangskoder både på arbejde og privat. Anbefal dem at bruge en password-manager.

Hav stærke godkendelsesprocedurer.

Kræv flerfaktor-godkendelse (multi-factor authentication) ved adgang til kritiske netværk for at minimere risikoen for uberettiget adgang med stjålne eller hackede login-oplysninger.

Administrer brugen af konti med privilegeret adgang.

  • Begræns jeres medarbejderes mulighed for at installere og benytte software på enheder på virksomhedens netværk.
  • Sørg for, at bruger- og systemkonti er begrænset gennem kontobrugspolitikker, brugerkontokontrol og administration af privilegeret brugeradgang.
  • Organiser adgangsrettigheder baseret på principperne om færrest mulige privilegier, need-to-know-princippet og adskillelse af roller. En mulig kompromittering af en brugerkonto med mange privilegier kan føre til en væsentlig større skade sammenlignet med en almindelig brugerkonto.

Sørg for it-sikkerhed på hjemmearbejdspladsen.

  • Indfør foranstaltninger så som harddisk-kryptering, pause timeout, skærme med nedsat indkig, stærke autorisationsprocesser, Bluetooth adgang og mulighed for at fjerne enhedskontrol og kryptering (f.eks. USB drevet)
  • Implementer en proces der på kan lukke enheder, der er tabt eller stjålet, ned.

Installer kun apps fra kilder du har tillid til.

Virksomheder skal altid tillade installation af apps fra officielle udgivere på de mobile enheder der er forbundet til virksomhedens netværk. Om muligt, overvej at skabe en virksomhedsplatform hvor brugere kan hente og installere virksomhedsgodkendte apps. Spørg din sikkerhedsleverandør om råd og opbyg jeres eget sikkerhedssystem.

Vær forsigtig med at tilgå virksomhedens data via offentligt tilgængelige wifi-netværk.

Som udgangspunkt er offentlige wifi netværk ikke sikre. Hvis en medarbejder tilgår virksomhedens data igennem et gratis wifi netværk i en lufthavn eller en café, kan data udsættes for ondsindede brugere. Det anbefales at virksomheder udvikler effektive politikker i den sammenhæng.

Tilbyd dine medarbejdere uddannelse og oplæring i cybersikkerhed og awareness.

  • Uddan dine medarbejdere i virksomhedens politikker indenfor online sikkerhed. Tag god tid til at skabe opmærksomhed omkring cyber angreb, specielt phishing og social engineering, og også om hvad de skal gøre, hvis de støder på mistænkelig aktivitet.
  • Overvej at implementere et træningsprogram til brugerne, der inkluderer simulerede angreb med spear phishing for at afskrække medarbejderne fra at besøge ondsindede hjemmesider og åbne ondsindede vedhæftninger.
  • Skab en enkel metode til at rapportere phishing og beløn dem der rapportere. Et simpelt "tak" som pop-up eller et point system motiverer medarbejderen to at være påpasselig og rapportere hvad de finder mistænkelig.

Udforsk cyber ansvars forsikring.

Overvej at finde en forsikringsagent der tilbyder dækning i det tilfælde at du bliver udsat for et cyberangreb.

Aktiver de lokale firewalls.

Aktiver lokale firewalls for at undgå uautoriseret adgang.

Afbryd Windows PowerShell.

Afbryd Windows PowerShell hvis det ikke anvendes. Nogle ransomware-varianter bruger PowerShell for at virke.

Angrebet... Hvad skal man gøre?

  1. 1) Afbryd straks, men sluk ikke de ramte enheder, der er koblet til netværk enten via kabel, trådløs eller mobiltelefon.
  2. 2) I særligt alvorlige tilfælde, bør man overveje, om det kan være nødvendigt at slukke for jeres trådløse internet, deaktivere de grundlæggende netværksforbindelser (inklusive switches), og afbryde forbindelsen til internettet.
  3. 3) Nulstil brugerkonti og -adgang, inklusive adgangskoder (specielt til administrator- og andre systemkonti), men undgå at lukke jer selv ude af de systemer, som skal gendannes.
  4. 4) Anmeld hændelsen til dit nationale politi eller en anden kompetent myndighed.
  5. 5) Bevar alle mulige beviser. Samarbejd med kompetente myndigheders efterforskning af angrebet ved at skabe et 'forensic image' af de påvirkede systemer (eller et 'system snapshot'), udføre et RAM-dump af de påvirkede systemer og bevare loggen over netflow eller anden netværkstrafik.
  6. 6) Besøg www.nomoreransom.org, og find ud af om din virksomhed blev angrebet af en af de ransomware-varianter, som du kan benytte vores gratis dekrypteringsværktøjer imod. Hvis det ikke er tilfældet, kan du gå videre med de næste genskabelsestrin.
  7. 7) Lav en fuld sletning af data på de ramte enheder, og geninstaller OS'et.
  8. 8) Før du genskaber fra en sikkerhedskopi, bør du sikre dig, at den ikke er inficeret af virus/malware. Du skal kun genskabe data, hvis du er helt sikker på at både sikkerhedskopien og enheden er renset.
  9. 9) Forbind enheden til et rent og sikkert netværk for at downloade, installere og opdatere OS og alle andre software.
  10. 10) Installer, opdater og køre antivirus software.
  11. 11) Genetabler forbindelse til dit netværk.
  12. 12) Overvåg netværk trafik og kør antivirus skanning for at søge efter områder der fortsat er inficerede.