It-rådgiver Chris Kjølbo møder de samme fejl igen og igen hos både virksomheder og private: Svage adgangskoder, mangelfuld sikkerhedskopiering og for stor tillid til mails og opkald. 

Hans råd er enkle, men konsekvente: ”Tag sikkerheden alvorligt, før skaden sker.”

Man opdager som regel først betydningen af it-sikkerhed, når noget er gået galt. Når filer er forsvundet. Når et login er blevet misbrugt. Når en mail ikke var, hvad den gav sig ud for at være. Eller når telefonen ringer, og stemmen i den anden ende lyder så troværdig, at man næsten reagerer, før man når at tænke sig om.

Chris Kjølbo har set nok til at vide, at sikkerhed ikke må bero på tilfældigheder.

Til daglig arbejder han som systemadministrator på erhvervsskolen ZBC i Ringsted. Ved siden af driver han virksomheden avirus, hvor han hjælper mindre virksomheder og private med it-løsninger, sikkerhedskopiering og sikkerhed.

“Der må ikke være slinger i valsen, når det gælder om at sikre sine data,” siger han.

For Chris er der især tre områder, man skal have styr på: Adgangskoder mm, sikkerhedskopiering og kritisk sans.

Adgangskoder er første forsvarslinje
Ifølge Chris begynder mange problemer med adgangskoderne. Alt for mange bruger stadig koder, der er lette at gætte, eller genbruger den samme kode flere steder. Det gør dem sårbare, hvis bare én konto bliver kompromitteret.

Han anbefaler, at man tænker mere systematisk og bygger sine adgangskoder op, så de både er stærke og til at håndtere i praksis. Samtidig peger han på totrinsgodkendelse som et vigtigt ekstra lag af sikkerhed.

Eksempel på en adgangskode
Chris foreslår, at man tager udgangspunkt i en sætning, man kan huske. Gerne noget man sætter pris på. Det kan være, man spiller tennis.

Så er denne sætning oplagt at anvende:
Jeg spiller tennis med 4 gule bolde hver eneste tirsdag aften.

Hvis man bruger forbogstaverne i hvert ord i sætningen, kommer man frem til følgende:
Jstm4gbheta

Derefter kan man tilføje et specialtegn og de første tre bogstaver fra den tjeneste, man skal logge ind på. 

”Koden skal være på minimum 15 tegn,” understreger Chris

Så kan en adgangskode med for eksempel se sådan ud:

Jstm4gbheta!net
til Netflix

Jstm4gbheta!fac
til Facebook

Koden ser kompliceret ud. Men når man bruger sætningen om tennis, er koden faktisk ret nem at huske. 

Ønsker man længere og endnu sikrere koder, anbefaler Chris, at man bruger en kodehusker, som fx Bitwarden, der er gratis. Så man kan arbejde med koder på fx 50 karakterer.

Totrinsgodkendelse gør en reel forskel
For Chris er en stærk adgangskode ikke nok alene.
Han anbefaler, at man aktiverer totrinsgodkendelse, hvor det er muligt. Det giver en ekstra kontrol, hvis en adgangskode bliver opsnappet eller lækket.

Det er netop de ekstra sikkerhedslag, der ofte er forskellen på en mindre hændelse og et alvorligt problem. Læs mere i Chris’ nyhedsbrev - link herunder.

Backup er en forsikring
Det næste punkt, Chris vender tilbage til, er backup.

Her oplever han ofte, at virksomheder og private tror, de er dækket ind, hvis deres filer ligger i skyen. Men en kopi i for eksempel Dropbox eller iCloud er ikke det samme som en backup, der kan redde data, hvis filer bliver slettet, krypteret eller utilgængelige.

“Backup er i bund og grund en forsikring,” siger han.

Hans anbefaling er derfor, at man tænker i flere lag. Data skal ikke kun ligge ét sted, og de skal kunne genskabes, hvis uheldet er ude.

De tre former for backup bør være:

1. Ekstern harddisk uden for hjemmet eller virksomheden
   Dokumenter og data kopieres til en harddisk, som opbevares på en anden lokation. 
2. Lokal sikkerhedskopiering på server
   Der tages regelmæssig sikkerhedskopiering på en lokal serverløsning. Chris anbefaler at opstille en server og køre fuld backup hver uge. Han foretrækker servere af mærket Synology. En sådan server kan fås fra under 2.000 kr. inkl. moms.   
3. Sikkerhedskopiering i skyen
   Skyen fungerer som et ekstra sikkerhedslag.

Den største risiko er ofte mennesket
Selv gode systemer kan ikke stå alene, understreger Chris. Han peger på, at mange problemer opstår, fordi mennesker klikker på forkerte links, giver for brede rettigheder til systemerne eller kommer til at slette noget, de ikke skulle have slettet.

“Den største risiko i en virksomhed eller organisation er medarbejderne og ejeren selv,” siger han.

Sikkerhed handler derfor ikke kun om teknik, men også om adfærd og rutiner i hverdagen.

Kunstig intelligens giver nye muligheder for svindel
Chris er også optaget af en ny type risiko: Svindel med kunstigt genererede stemmer.

Han har selv oplevet opkald, hvor en tydeligt kunstig stemme bad ham betale en regning eller ringe tilbage til et bestemt nummer. Og han vurderer, at den slags svindel kun vil fylde mere fremover.

Det kan være en stemme, der lyder som ens barn, og som beder om penge, fordi telefonen er blevet stjålet, eller fordi der pludselig er brug for hjælp.

Netop derfor anbefaler han, at man taler om problemet, før det opstår.

Aftal et kodeord i familien og i firmaet
Chris anbefaler, at man indfører et fælles kodeord i familien – og i firmaet.
Formålet med et såkaldt ”safeword” er, at man kan teste, om man virkelig taler med den person, man tror, man taler med.

Hvis en pårørende eller kollega ringer i en presset situation og beder om penge eller hjælp, kan man bruge kodeordet i samtalen. En rigtig person vil kende det og reagere på det. En robot eller svindler vil ikke kunne gøre det på samme måde.

Et sikkerhedsord skal være: Let at huske, svært at gætte og aftalt på forhånd.

Sikkerhed begynder med vaner
Chris Kjølbos budskab er enkelt. ”Man behøver ikke begynde med de største investeringer for at hæve sikkerheden mærkbart. Men man er nødt til at tage ansvar for sine digitale vaner,” siger han.

Det er ikke nødvendigvis dramatisk. Men det er ofte dér, forskellen ligger mellem et irritationsmoment og en alvorlig skade.
 
Følg Chris på Linkedin
Tjek Avirus.dk
Tilmelding til Avirus' nyhedsbrev