Aviserne er fulde af artikler om computervirus, svindel over nettet og indbrud på servere. Dette hænger sammen med, at trusselniveauet øges og stadig flere bliver ramt. Den gode nyhed er, at det kun kræves enkelte indgreb for at sikre sig - godt nok.

Det er i grunden, hvad computersikkerhed i praksis handler om - at sikre sig godt nok. Driver du en netbank, bør "nok" være langt mere, end hvad et lille konsulentbureau bør have af sikkerhedssystemer. Nu driver de færreste af os en netbank, så for de fleste folk handler datasikkerhed om at undgå virus, sikre sig mod tab af data ved computersammenbrud, brand og tyveri, samt undgå at kriminelle bryder ind og bruger serveren som en distributionsmaskine for børneporno og andet uønsket.

Foretag en risikovurdering

Et godt sted at begynde er ved at se på, hvad du har med at gøre, og hvor sandsynligt det vil være, at nogen vil finde dig og din virksomhed så interessant, at de ville hacke sig ind for at stjæle data. Det gøres i praksis ved, at du analyserer specifikke trusler - det vil sige trusler, som kunne opstå, fordi din virksomhed er af en sådan art, at nogen har økonomisk, politisk eller personlig interesse i at skade dig. Her er det virkelig vigtigt at erkende, at det er sandsynligt, at dit firma er så spændende - for nogen.

Forventet trusselbillede

Selv om du kommer til konklusionen, at der ikke er nogen, som specifikt er efter din IT-løsning, så er du på ingen måder tryg. Der findes mange kriminelle, som bruger internettet for egen vindings skyld, hvor indbrud på ubeskyttede pc"ere foregår i stor stil.

 

Det eksisterer en nærmest uendelig liste af trusselstyper, men i praksis er det vigtigt at være særlig opmærksom på disse 3 typer:

1. Portskanning - hvor skurkene prøver at udnytte sårbarheder i dit operativsystem
2. Virus og trojanske heste - hvor skurken prøver at få installeret sin egen programvare på din pc og overtage kontrollen over den
3. Netsvindel (Phishing) - hvor banditter ved en række forskellige metoder prøver at fravriste dig sensitiv information som kreditkortnummer, password og så videre

De tre vigtigste IT-sikkerhedsløsninger

Hvis du kun gør tre ting for at sikre de computere, du bruger i virksomheden, bør det være disse tre:

• Opdater din software
• Beskyt mod virus
• Installer en firewall

De sikrer dig ikke fuldstændigt mod sikkerhedstrusler og produktivitetstab, men samlet udgør de et effektivt forsvar. Som tillæg kræves der et element som er helt kritisk - viden. Uden viden om hvordan du bruger firewall, hvor vigtigt det er med et opdateret antvirusprogram og ikke mindst, hvordan du skal identificere om en internetside eller e-mail potentielt er skadelig, kan du blive angrebet af en computersvindler.

Opdater din software

Hackere morer sig med at finde og udnytte fejl og smuthuller i populære softwareprodukter. Nogle hackere gør det for penge, andre gør det for at få et budskab frem, og andre igen gør det ganske enkelt for at skabe problemer. Og de kan skabe problemer. De kan f.eks. afsløre kunders kreditkortnumre på et websted eller stjæle adgangskoder i en computer. Det kan få alvorlige følger for en virksomhed.

Når Microsoft eller en anden virksomhed finder en sårbarhed i deres software, udgiver virksomheden normalt en opdatering, der kan hentes via internettet. Opdateringen "lukker" smuthullet eller retter fejlen og forhindrer hackere i at skabe problemer. Med tiden er softwareprodukter dog blevet mere sikre.

Beskyt mod virus

Virus, orme og trojanske heste er skadelige programmer, der "inficerer" computeren. Ofte sendes de med e-mails og aktiveres ved, at du åbner den vedhæftede programfil. Nogle former for virus sletter eller ændrer filer, andre forbruger computerens ressourcer.Nogle giver uvedkommende personer adgang til dine filer.

En af de mere ondskabsfulde egenskaber i disse virus er, at de kan kopiere sig selv. En virus kan hente e-mailadresser fra en liste over kontaktpersoner og sende sig selv til de pågældende adresser. Inficerede computere kan sprede virus i hele virksomheden og medføre langvarig nedetid og alvorlige datatab. Du risikerer også at inficere computerne hos de klienter og kunder, du kommunikerer med via e-mail.

Installer antivirussoftware

Antivirus skal du have. Så enkelt er det bare. Her bør du vurdere, hvad der er det mest lønsomme for din virksomhed - at købe enkeltlicenser til hver brugers pc eller en netværksløsning hvor du centralt kan sørge for, at alle pc"ere i dit netværk til en hver tid har opdateret antivirus. Du bør selvsagt også sørge for, at du har en antivirusløsning på din(e) server(e), og du bør have installeret antivirusbeskyttelse på alle dine stationære og bærbare computere.

Et antivirusprogram fungerer på den måde, at programmet scanner indholdet i indgående e-mails og filer, som allerede findes på computeren, og leder efter virussignaturer. Hvis programmet finder en virus, slettes den eller sættes i karantæne. Da der hver måned frigives hundredvis af forskellige virus, skal alle antivirusprogrammer opdateres regelmæssigt med de nyeste signaturdefinitioner, så programmet kan fange de nyeste virus. Prøv at finde programmer, der automatisk henter de nyeste definitioner og programmer på internettet. Her følger nogle links til antivirusprogrammer fra nogle af de mere velkendte producenter af sikkerhedsprogrammer:

• AVG Anti-Virus
• Norton AntiVirus
• McAfee VirusScan
• Panda Titanium Antivirus

Tag disse forholdsregler:

• Åbn aldrig mistænkeligt udseende filer
• Sørg for, at alle medarbejdere forstår, at de skal slette - og ikke åbne - filer, der er vedhæftet en e-mail fra en kilde, der er ukendt, mistænkelig, eller som der ikke er tillid til
• Brug sikkerhedsfunktioner til e-mails

Luk hackeren ude med en firewall

Du skal have noget mellem din pc og internettet, som stopper uønskede indtrængere - en firewall. En løbende opdateret og rigtig konfigureret firewall vil stoppe de fleste indbrudsforsøg. Men når du ønsker at bruge internettet, skal du åbne for visse typer trafik via din firewall. Dette ved kriminelle hackere jo godt, og de prøver at benytte sig af det.

De allerfleste computervirusser kræver, at du laver en fejl for, at de skal aktiveres. Det vil i praksis sige, at du klikker på noget, som du ikke burde have gjort. Det kan være en vedhæftning i en e-mail, som indholder en virus, og det kan være links på netsteder, som sørger for en rigig trist dag på kontoret, hvis man klikker på dem.

De fleste af disse steder prøver at få dig til at klikke OK på noget, som i udgangspunktet ser uskyldigt ud, men som oftest er det motsatte. Den beste kur mod denne type trussel er en kombination af et opdateret antivirusprogram sammen med en bevidst bruger, som tænker, før han eller hun klikker.

Phishing

En hurtigt voksende variant af netsvindel er Phishing. Det er enkelt forklaret en metode, der går ud på at fravriste dig informationer, som kan misbruges - med kreditkortnummer øverst på listen. De to hovedtyper af Phishing er at sende dig en e-mail, der ser ud som om, den kommer fra for eksempel din bank eller en anden troværdig afsender, eller at foregive at være et netsted, som ser meget officielt og troværdigt ud. Det er heller ikke unormalt, at du støder på kombinationer af disse.

Den bedste måde at bekæmpe dem på er ved at dobbeltchecke afsenderen. En bank eller anden seriøs virksomhed vil aldrig bede dig om at sende vigtig information via e-mail. Modtager du en e-mail, som beder dig om at gøre dette, bør der ringe en lille alarmklokke. Du kan eventuelt ringe afsender op og sikre dig, at der er tale om en reel henvendelse. Tilsvarende har vi en fordel i Danmark - dansk! Hvis virksomheden eller organisationen, du skal forholde dig til, pludselig skifter websted til engelsk, bør du undre dig.

En anden fiks måde at afsløre folks private oplysninger på er ved at registrere webadresser - en funktion som findes i Internet Explorer - hvor kryptiske webadresser oversættes - med det resultat, at netsvindleren kan få sin URL til at se lovlig ud. Tjek gerne adressen to gange, før du begynder at taste vigtige informationer.

Installer en firewall

Hvis du har en bredbåndsforbindelse, hvor du altid er på, er der risiko for, at virksomhedens computernetværk tilfældigt undersøges af udefrakommende - hackere. Når de først finder en gyldig computeradresse, forsøger de at udnytte sårbarheder i softwaren og dechifrere adgangskoder for at opnå adgang til dit netværk og endeligt til individuelle maskiner og alt på dem.

Firewallprogrammer

Som en voldgrav rundt om en borg kan en firewall blokere udefrakommende personer fra at få adgang til dit private netværk. Der findes to grundlæggende typer firewalls:

• Hardwarefirewalls blokerer al trafik mellem internettet og netværket, der ikke eksplicit er tilladt.

Du kan f.eks. konfigurere en firewall, så den accepterer visse typer e-mails og webtrafik, men afviser alle andre typer. Disse firewalls kan også skjule adresserne på computerne bag din firewall, hvilket gør de individuelle computere på netværket usynlige for udefrakommende personer. Det er muligt, at der er en firewall integreret i den router eller det DSL-/kabelmodem, internetudbyderen leverer

• Softwarefirewalls, f.eks. Windows Firewall, der er indbygget i Windows XP Professional med SP2.

I forbindelse med Windows XP med SP2 er firewall'en aktiveret som standard. Det betyder, at forbindelserne, herunder LAN-forbindelser (traditionelle og trådløse), opkaldsforbindelser og VPN-forbindelser (Virtual Private Network), som standard er beskyttet af Windows Firewall.

En softwarebaseret firewall på din pc er slet ikke dum, men at bruge den som eneste beskyttelse vil i de fleste sammenhænge blive en for svag sikkerhedsløsning. Du bør som tillæg sørge for at placere en selvstændig firewall som første punkt i dit netværk. Du kan købe denne type firewall eller downloade gratis versioner. Bare vær opmærksom på, at du anskaffer en firewall med nok kapacitet i forhold til det antal brugere, du har. Ellers vil du opleve, at din firewall bliver en flaskehals i dit netværk.

Hvis du ikke har Windows XP, kan du købe en kommerciel softwarefirewall. ZoneLabs, McAfee og Symantec sælger alle firewallprodukter.

Flere IT-sikkerhedsløsninger - antispam, internetpolitik mv.

Det findes en række andre sikkerhedstiltag, du bør vurdere. Når du vælger en antivirusløsning, bør du samtidig vurdere at udvide denne med antispam. Uønsket spammail er stadig et stigende problem, og selv om det ikke nødvendigvist er farligt - det vil sige indeholder virus - så er det tidskrævende at få bugt med de de mange overflødige henvendelser.

Backup

Du bør du stille dig selv spørgsmålet, hvad der ville ske for virksomheden, hvis alle væsentlige data forsvandt. Ifølge undersøgelser på dette område er svaret for mere end 9 ud af 10, at de vil gå konkurs. Du har med andre ord ikke råd til at lade være med at tage backup. Det findes en mængde backupløsninger tilgængelig, hvor en god serverbaseret løsning vil være at anbefale. Som tillæg bør du sørge for, at alle selskabets bærbare pc"ere er sikret. 

Brug internettet sikkert

Hvis din virksomhed endnu ikke har en politik omkring brug af internettet, bør I udarbejde en. Selvom internettet kan være et utrolig nyttigt værktøj på arbejdspladsen, kan det også forårsage betydelig skade, der kan resultere i faldende produktivitet. Regler beskytter din virksomhed - og dine medarbejdere.

Derfor er din virksomhed i farezonen

Websider indeholder programmer, der normalt er uskadelige og nogle gange nyttige, f.eks. animationer og pop-up-menuer. Men der findes tvivlsomme, endda ondsindede websteder, der har deres egen dagsorden, og den er ikke altid i din interesse. Når du surfer på internettet, kan webstedsoperatører identificere din computer på internettet, fortælle hvilken side du kom fra, bruge cookies til at kortlægge dine vaner og installere spyware på din computer - alt sammen uden du ved det. Destruktive orme kan også få adgang til systemet via webbrowseren.

Udover ondsindede aktiviteter ansporet af udenforstående kan virksomheder komme i en sårbar position på grund af medarbejdere, der foretager ulovlige og/eller uønskede webaktiviteter i løbet af arbejdstiden og på virksomhedens computere.

Lav en internetpolitik

Ved udarbejdelse af en samlet virksomhedspolitik for brug af internettet skal du behandle følgende spørgsmål:

• Må medarbejderne foretage søgninger på internettet til privat brug samt til virksomhedsrelaterede formål?
• Hvornår må medarbejderne bruge internettet til privat brug? F.eks. i frokostpausen, efter arbejdstid osv.
• Hvordan overvåger virksomheden brugen af internettet, og hvilket niveau af beskyttelse af personlige oplysninger kan medarbejderne forvente?
• Hvilke webaktiviteter tillades ikke? 

Beskriv uacceptabel opførsel i detaljer. I mange virksomheder omfatter dette:

• Download af stødende indhold
• Truende eller voldelig opførsel
• Ulovlige aktiviteter
• Kommercielle bidragsanmodninger (ikke forretningsorienteret)

Udlever to kopier af politikken til medarbejderne - en de kan beholde, og en de skal underskrive og returnere til dig.