Tråd: IT-Ansvarlige og sikkerhet
View Single Post
GotCandy
96
11. oktober 2018
Jeg er IT-ansvarlig i en liten bedrift. Mesteparten av tiden min går til forretningsutvikling. Optimalisering av forretningsprosesser, automatisere fakturering, implementering av nettbutikk, bygge rapporter i Power BI for bedre innsikt i våre data og slike ting.

Jeg har også ansvaret for sikkerhet, men har ingen utdanning eller særskilt kompetanse på IT-sikkerhet. Det vi har gjort for å bedre sikkerheten er å forsøke å implementere moderne løsninger, gi ansatte generelle tips, samt vi bruker noen eksterne konsulenter til å komme med tips og sette opp løsninger.

I organisasjonen min er det mange som er litt eldre og har lite IT-kompetanse. Derfor har vi valgt å standardisere oss på Microsoft/Office 365.

Vi har vært utsatt for to målrettede angrep mot bedriften. Begge har vært såkalte "CEO scams" hvor angriperen har brukt ansatt-oversikten på nettsiden vår for å forsøke å svindle til seg penger.

Første gang ble det sendt en mail til økonomiansvarlig som liksom skulle være fra daglig leder hvor han ba henne om å overføre et større pengebeløp til en utenlandsk konto. Det var daglig leders e-postadresse i fra-feltet, men i svar-feltet var det en Gmail-adresse. Økonomiansvarlig er ikke veldig IT-kompetent og utvekslet flere e-poster med svindleren. Etter dette innførte vi Office 365 Advanced Threat Protection.

Neste forsøk var mer komplekst. Da mottok daglig leder en reell epost fra salgssjefen hos en Porsche-forhandler som hadde fått e-posten sin hacket. Denne e-posten hadde blitt sendt til alle med "daglig leder" eller "CEO" i signaturen sin i mailboksen til salgssjefen. I den e-posten var det en lenke som førte til en falsk Office 365-innloggingsside hvor daglig leder ble forsøkt lurt til å taste inn passordet sitt. Etter denne episoden ble det innført tofaktorautentisering hos alle brukerne.

Når det gjelder nettverkssikkerhet har vi investert i en bra firewall med høy sikkerhet som oppdateres jevnlig. Denne har et ekstern selskap ansvaret for.

Når det gjelder annen sikkerhet har tidligere sikkerhetssjef i Facebook, Alex Stamos, en bra "first day security" Tweet som flere sikkert kan ha nytte av å lese: https://twitter.com/alexstamos/statu...06933418430465

Når det gjelder servere har vi ingenting internt, men alt ligger på Azure (IaaS og SaaS-løsninger). Det er satt opp automatiske oppdateringer og patchinger, backup i forskjellige regioner (forsikring mot "Godzilla strikes", samt andre anbefalte sikkerhetskonfigureringer anbefalt av Microsoft. Tilgang via RDP krever autentisering med Duo Security.

Når det gjelder øvrige tiltak kan jeg liste opp noen:
  • Implementert LastPass Teams med MFA for hele organisasjonen, og randomisert de fleste passord. I tillegg har vi en rutine for regelmessig endre passordene på sensitive nettsider
  • Gitt opplæring hvordan man generer gode masterpassord. Tips: https://www.youtube.com/watch?v=VYzguTdOmmU
  • Implementert Microsoft 365 Business til alle brukere. Meldt inn alle PCer for Device Management og kryptering. Alle nye PCer registres i Windows Autopilot
  • MAM-krav til alle mobile enheter som ønsker tilgang til e-post, slik at vi kan fjernslette sensitiv informasjon hvis mobil blir mistet eller noen slutter

Det er sikkert flere ting som jeg ikke kommer på også, men dette kan sikkert være til nytte for noen.

Jeg er som nevnt ikke sikkerhetsekspert, og tar gjerne imot tips til flere ting vi kan gjøre for å øke sikkerheten vår.