For 7500.- + moms får viksomheden 12-15 2 minutters "moduler" tilpasset ledere, medarbejdere og it-folk omhandlende it-sikkerhed. Modlerne udsendes med faste intervaller over et år til alle via mail.
Se en demo her:
torsdag den 18. september 2014
Få it-sikkerheden ind i virksomhedskulturen - 10 test virksomheder søges
I samarbejde med I-TRUST søger vi ti virksomheder der ønsker at teste et gennemprøvet koncept fra udlandet og i det offentlige - vi kalder det nanolearning.
fredag den 22. august 2014
Kompetencegivende efteruddannelse i it-sikkerhed - målrettet medarbejderne!
Hæv virksomhedens it-sikkerhed markant - samtidig med dine medarbejdere efteruddannes - klik her og se side 84-85!
Kolding og København - bedre kan det næsten ikke blive.
Fakta er at 80-90% af de it-sikkerhedsbrister der sker i Danmark skyldes forhold som kun virksomhederne kan gøre noget ved.
Et af de væsentligste forhold er medarbejdernes viden og adfærd i forhold til it-sikkerhed.
Ved at sende medarbejderne på kompetencegivende kursus vil virksomheden øge deres it-sikkerhed markant, da it-sikkerhed handler om meget mere end firewalls og backup.
Se evt. tidligere blog indlæg - SMV? - Sådan hæver du it-sikkerheden markant uden det koster kassen!
Kolding og København - bedre kan det næsten ikke blive.
Fakta er at 80-90% af de it-sikkerhedsbrister der sker i Danmark skyldes forhold som kun virksomhederne kan gøre noget ved.Et af de væsentligste forhold er medarbejdernes viden og adfærd i forhold til it-sikkerhed.
Ved at sende medarbejderne på kompetencegivende kursus vil virksomheden øge deres it-sikkerhed markant, da it-sikkerhed handler om meget mere end firewalls og backup.
Se evt. tidligere blog indlæg - SMV? - Sådan hæver du it-sikkerheden markant uden det koster kassen!
torsdag den 7. august 2014
SMV? Sådan øger du it-sikkerheden uden det koster kassen!
it-sikkerhed bliver ofte degraderet til at handle om backup, firewalls, passwords og virusbeskyttelse,
ting som alle hører med til det grundlæggende forsvar, men samlet set kun udgør en lille grad af beskyttelse mod datatyveri.
Så budskabet er: lad være med at bruge flere/mange penge på det grundlæggende forsvar men gør noget der hvor it-sikkerheden for få midler kan hæves markant.
I dokumentet herunder har eMino Security stillet sin viden til rådighed og beskrevet de steder hvor den grundlæggende it-sikkerhed billigt kan øges markant og hvordan.
Download dokument
ting som alle hører med til det grundlæggende forsvar, men samlet set kun udgør en lille grad af beskyttelse mod datatyveri.
Så budskabet er: lad være med at bruge flere/mange penge på det grundlæggende forsvar men gør noget der hvor it-sikkerheden for få midler kan hæves markant.
I dokumentet herunder har eMino Security stillet sin viden til rådighed og beskrevet de steder hvor den grundlæggende it-sikkerhed billigt kan øges markant og hvordan.
Download dokument
torsdag den 26. juni 2014
Store bøder til virksomheder og det offentlige for datalækage - "ny" EU forordning på vej ...
... og så ikke helt alligevel!
Det blev på databeskyttelsesdagen meldt ud at forordningen der omhandler databeskyttelse og som indholder stramninger og sanktioner i form af store bøder, ville træde i kraft 1. januar 2015.
Efter dialog med repræsentantskabet i EU er dette ikke korrekt og det er mere sandsynligt at forordningen kommer igennem i slutningen af 2015 og hertil vil der være en implementeringsperiode (2 år er ikke unormalt!).
Forordningen er interessant, at læse for alle private og offentlige virksomheder der har eller opbevarer personfølsomme eller personhenførbare data for andre. Og selvom det er i god tid præsenteres herunder en appetizer og miniguide til forordningen, da det vil være fornuftigt at medtænke i sine it-strategier allerede nu! Det skal nævnes at forordningen blev vedtaget med stort flertal i Parlamentet (621 for - ud af 754).
Forordningen er til for at passe på data men man kan forestille sig, at bøderne vil give hackere et nyt incitiament til, at finde og lække personlige oplysninger da der nu vil være en mulighed for økonomisk trussel mod virksomheden, hvis virksomheden vil undgå at skulle betale en bøde (se bødestørrelser nederst i denne blog).
Der er 139 betragtninger forud for forordningen hvoraf mange handler om den enkeltes rettigheder til at vide hvad der er opbevaret af viden om dem. Betragtningerne giver et godt billede af de stremninger der vil komme.
Formålet:
Forordningen fastsætter regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger
Instanser:
Der vil blive nedsat et overordnet råd i EU (artikel 64). Ligeledes vil de enkelte lande skulle sikre et eller flere nationale tilsyn hvis virke er beskrevet i forordningen (artikel 46-63).
Databeskyttelsesansvarlig i virksomheder med over 250 ansatte:
I virksomheder med mere end 250 ansatte skal der være en databeskyttelsesansvarlig (artikel 35) og der er i forordningen beskrevet krav om, at den databeskyttelsesansvarlige inddrages rettidig i spørgsmål vedrørende beskyttelse af personfølsomme oplysninger (artikel 36)
Privatpersoners ret:
Hvis en privatperson eller nogen der varetager dennes interesse oplever et brud, er der ret til at indgive en klage.
Enhver har ret til at få rettet ukorrekt data ligesom enhver har ret til, at få slettet egne data og få en kopi af data (artikel 16 - 18)
Forordningen beskriver et særligt ansvar overfor børn og deres særlig ret til at få slettet data.
Der kan kun opbevares personhenførbar data efter udtrykkelig samtykke og med ovenstående rettigheder for sletning som gældende til hver en tid. Det er den registeransvarlige der bærer ansvaret for at dokumenterer, at der er givet samtykke til behandling af personfølsomme oplysninger (artikel 7)
Sundhedsoplysninger:
Der er særlig skærpelse i forhold til opbevaring af sundhedsoplysninger
Tidsfrister:
Flere steder i forordningen er der tidsfrister der skal overholdes - f.eks. skal der ske en anmeldes senest 24 timer efter et brud til tilsynsmyndigheden. Der er 1 måneds frist efter anmodning at fremskaffe data og det skal ske GRATIS (Se artikel 14 for hvad der som minimum skal udleveres).
Risikovurdering:
Artikel 30 indeholder krav om risikovurdering
Dokumetation:
Der er beskrevet minimum oplysninger der skal dokumenteres såsom bla. navn på den registeransvarlige og databeskyttelsesansvarlige, formål med behandlingen af data, beskrivelse af kategorierne af personfølsomme oplysninger, hvem oplysninger videregives til og tidsfrister for sletning (artikel 28).
Certificeringer:
Artikel 39 tilskynder til certificeringer på europæisk niveau således den enkelte person hurtigere kan foretage en vurdering af beskyttelsesniveauet for den virksomhed der opbevarer personfølsomme oplysninger.
Bøder (artikel 79):
Der kommer med forordningen et minimum af administrative sanktioner. De er opdelt i følgende trin alt efter hvor mange af forordningens regler der ikke er fulgt.
- Skriftlig advarsel kan gives hvis en fysisk person behandler personoplysninger uden kommerciel interesse eller en virksomhed ELLER en organisation der beskæftiger under 250 personer, udelukkende behandler personoplysninger som en aktivitet u tilknytning til dens hovedaktivitet
- Bøde på op til 250.000 EUR eller på 0,5% af virksomhedens globale omsætning hvis der forsætligt eller uagtsomt ikke overholdes regler og tidsfrister i forhold til anmodninger om indsigt i egen personfølsomme data eller hvis der opkræves gebyr for at få oplysningerne.
- Bøde på 500.000 EUR eller 1% af virksomhedens globale omsætning (se liste over overtrædelser)
- Bøde på 1 million EUR eller 2% af den globale omsætning (se liste over overtrædelser)
fredag den 13. juni 2014
Certified Network Forensics Examiner (CNFE)
Endnu en forensic certificering på plads!
Det er økonomisk smart, at betragte it som et aktiv, der på lige fod med virksomhedens øvrige aktiver, skal passes på. Derfor er det klogt, at investere i it sikkerhed.
Når den erkendelse er nået, er det tid til at tænke endnu smartere og se på hvilke muligheder man har for at sikre beviser i forhold til ekstern og intern it kriminalitet.
Og det er her virksomhedens forensic team eller eksterne forensic samarbejdspartner kommer til sin ret. Intelligent it forensic kan betragtes som en forsikring der sparer virksomheden for en ubehagelig og uoprettelig merudgift.
Jeg vil i efteråret 2014 deltage i to større proof-of-concept projekter omkring hensigtsmæssig brug af netværksefterforskning - så følg med her på bloggen.
Kenneth B. Jørgensen
CCFE & CNFE
Det er økonomisk smart, at betragte it som et aktiv, der på lige fod med virksomhedens øvrige aktiver, skal passes på. Derfor er det klogt, at investere i it sikkerhed.
Når den erkendelse er nået, er det tid til at tænke endnu smartere og se på hvilke muligheder man har for at sikre beviser i forhold til ekstern og intern it kriminalitet.
Og det er her virksomhedens forensic team eller eksterne forensic samarbejdspartner kommer til sin ret. Intelligent it forensic kan betragtes som en forsikring der sparer virksomheden for en ubehagelig og uoprettelig merudgift.
Jeg vil i efteråret 2014 deltage i to større proof-of-concept projekter omkring hensigtsmæssig brug af netværksefterforskning - så følg med her på bloggen.
Kenneth B. Jørgensen
CCFE & CNFE
onsdag den 7. maj 2014
Har du du en Android mobil - så brug 10 sekunder her!
I forbindelse med at du accepterer googles vilkår accepterer du blandt andet også at google lager informationer om hvor du har været.
Du kan selv tjekke det ved, at besøge siden http://google.com/locationhistory og logge ind med din googlelkonto. Nu kan du grafisk og på en tidslinje se hvor du har været siden du fik telefonen.
 |
| Eksempel på Google Location History |
Grundlæggende en skræmmende men også cool funktion der jo både kan bruges og misbruges! Ved at få fingre i ungernes, konens eller mandens password har du fuldstændig styr på vedkommendes færden.
Så vær obs på hvilke lokalitetstjenester du har på din mobil uanset hvilket en type telefon du har. Overvej også om du synes det er ok, at dine informationer om din færden ligger et eller andet sted i verden.
fredag den 2. maj 2014
Virksomheder vil ikke forebygge internt svig!
Kommentar til arktikel i Børsen 1. maj Sektion 1 side 8 - “Virksomheder magtesløse over for internt it-svig” (*)
Det eneste der glæder mig ved artiklen er at Shehzad Ahmad fra DK-Cert mellem linjerne får sagt, at det jo kan være virksomhederne ikke prioriterer den interne sikkerhed højt nok.
Jeg tror alle virksomheder ville nå langt hvis de istedet for holdningen “det sker ikke for os” indtog holdningen “det sker allerede - spørgsmålet er bare hvor og i hvilket omfang".
Virksomheder kan idag - hvis de vil - i høj grad sikre, at der ikke sker internt svig. Men hvilken virksomhedsejer i Danmark kan se det fornuftige i, at betale for at have et team af intilligente it-forensic eksperter. I mine øje svarer det egentlig bare til at at tegne en forsikring og dermed burde visse virksomheder spørge sig selv om de har råd til at lade være.
Jeg er tildels enig i, at en enkeltstående person der vil lave rav i den godt kan gøre det. Men at der er adgang til alle data uden nogen former for dobbeltkontrol eller logs burde ikke være muligt. Ligeledes skulle en sund virksomhedskultur og logiske observationer få alarmklokkerne til at ringe, når noget foregår systematisk over længere tid.
I mit virke ser jeg alt for mange eksempler på, at informationer der er personfølsomme eller kritiske for virksomhederne på ingen måder er beskyttet. Med andre ord så kan eleven eller vikaren downloade alt uden der er nogen som helst der ville reagere på det eller for den sags skyld kunne finde ud af hvem der havde gjort det.
Jeg håber nogle journalister vil lave en spændende undersøgelse af hvor mange af vores samfundkritiske virksomheder og offentlige organisationer der har en decideret og dedikeret it-forensic afdeling/team. Min påstand (der er for egen regning) er, at svaret vil være ret skræmmende.
Så NETS - det er sikkert korrekt at I har styr på it-sikkerheden, men erkend at I ikke har haft tilstrækkelig styr på forensic delen!
(*) Bemærk artiklen er desværre bag købsmur men her er link til erhvervsnyhederne.dk hvor artiklen er så godt som identisk.
tirsdag den 29. april 2014
Når tillid bliver til naivitet ...
Jeg er stor Løgstrup fan og tror på tankerne om den grundlæggende tillid, der gør vi som mennesker tør leve sammen og være sammen. Det jeg frygter, er når tilliden gør os til lalleglade ignoranter der ikke vil indse, at vi bliver nødt til at tage vores forholdsregler.
Hvordan kan det være at IBM, NETS og SE & HØR på ingen måde har haft kontroller, monitoreringer og tests, der kunne mistænke/afsløre et langvarigt ulovligt forhold. Sikkert fordi “overvågning” af medarbejdere er noget man i Danmark helst ikke taler om eller ud fra en misforstået etisk forståelse ikke tør anvende.
En naturlig opmærksomhed (som er noget andet end mistænkeliggørelse) samt “kendte” kontroller af den digitale aktivitet, bør som minimum være tilstede i de virksomheder der er kristiske for vores samfund.
Disse (og andre) virksomheder bør tage tilgangen og erkende, at det ikke er et spørgsmål OM der foregår noget uhensigtsmæssigt men mere om HVAD og HVOR!
Istedet for at tænke, at overvågning er uetisk eller forbudt, så få implementeret en intelligent forebyggende opmærksomhed på flere fronter, alene med det formål, at beskytte virksomheden, kunderne og medarbejderne.
fredag den 11. april 2014
Heartbleed / Heartbeat – i korte forhåbentlige forståelige træk
it verden har i de sidst par døgn været helt på tåspidserne. Årsagen er, at en fejl i et af de "moduler" der skal sikre vores data når det transporteres på internettet, gør at udefrakommende uopdaget kan hente informationer fra servere og websites som vi ellers stoler på.
I værste tilfælde kan dine brugeroplysninger og passwords være opsnappet og gemt til senere brug. Mange eksperter råder til at skifte passwords, men jeg deler den holdning, at det er det værst tænkelige tidspunkt at gøre det på. Sårbarheden er kendt af alle nu og mange vil se hvad de kan få ud af de servere der endnu ikke er opdateret. Hvis du skifter dit password på en sårbar side nu, er sandsynligheden stor for, at nogen opfanger dit passwordskifte. Havde dit password været gemt ville det sandsynligvis allerede (da hullet har været der i ca. 2 år) været brugt mod dig.
Jeg anbefaler at du finder ud af om den side du overvejer kan være ramt også faktisk er ramt. Brug et testsite til at teste en side/server - hvis du får et positivt resultat så brug lidt tid på at finde ud af hvorfor ved at læse årsagen til resultatet - da det kan skyldes andre ting (blandt andet at der er sat et værn op mod sårbarheden).
Alternativt er at se på denne liste over ikke sårbare sider (samt sider man skal være varsom med til man ved mere)
Hvis siden er ramt eller på listen - VENT med at skifte password - hvis den er sikker SKIFT password
Hold også øje - uden at gå i panik - med dine kontoudtog hvis du på nogle af de sårbare sider har brugt betalingskort.
Jeg har set en top 10000 liste og der er ikke umiddelbart sider som jeg vurderer der er mange danskere der bruger, men igen har jeg ikke overblik over situationen på danskernes foretrukne sider.
Hvis du vil læse mere på dansk og se flere værktøjer så blandt andet test af din egen server, så læs Henrik Lund Kramshøjs blog
Lidt mere teknisk
Så længe man bruger en af de sårbare versoner af OpenSSL (version 1.0.1 og 1.0.1f og 1.0.2-beta1) er der et problem.
Er du i tvivl eller ønsker du jeg tester din server / NAS ect. så kontakt mig endelig.
Løsningen er er opgradere din openSSL, indsætte regler for IDS der blokerer muligheden samt overveje udskiftning af nøgler (se Henrik Kramshøjs blog).
I værste tilfælde kan dine brugeroplysninger og passwords være opsnappet og gemt til senere brug. Mange eksperter råder til at skifte passwords, men jeg deler den holdning, at det er det værst tænkelige tidspunkt at gøre det på. Sårbarheden er kendt af alle nu og mange vil se hvad de kan få ud af de servere der endnu ikke er opdateret. Hvis du skifter dit password på en sårbar side nu, er sandsynligheden stor for, at nogen opfanger dit passwordskifte. Havde dit password været gemt ville det sandsynligvis allerede (da hullet har været der i ca. 2 år) været brugt mod dig.
Jeg anbefaler at du finder ud af om den side du overvejer kan være ramt også faktisk er ramt. Brug et testsite til at teste en side/server - hvis du får et positivt resultat så brug lidt tid på at finde ud af hvorfor ved at læse årsagen til resultatet - da det kan skyldes andre ting (blandt andet at der er sat et værn op mod sårbarheden).
Alternativt er at se på denne liste over ikke sårbare sider (samt sider man skal være varsom med til man ved mere)
Hvis siden er ramt eller på listen - VENT med at skifte password - hvis den er sikker SKIFT password
Hold også øje - uden at gå i panik - med dine kontoudtog hvis du på nogle af de sårbare sider har brugt betalingskort.
Jeg har set en top 10000 liste og der er ikke umiddelbart sider som jeg vurderer der er mange danskere der bruger, men igen har jeg ikke overblik over situationen på danskernes foretrukne sider.
Hvis du vil læse mere på dansk og se flere værktøjer så blandt andet test af din egen server, så læs Henrik Lund Kramshøjs blog
Lidt mere teknisk
Så længe man bruger en af de sårbare versoner af OpenSSL (version 1.0.1 og 1.0.1f og 1.0.2-beta1) er der et problem.
Er du i tvivl eller ønsker du jeg tester din server / NAS ect. så kontakt mig endelig.
Løsningen er er opgradere din openSSL, indsætte regler for IDS der blokerer muligheden samt overveje udskiftning af nøgler (se Henrik Kramshøjs blog).
torsdag den 10. april 2014
Muligt "hul" på LinkedIn
UPDATE:
Trods en tests igår viser det sig ved efterfølgende tests at "hullet" ikke slår igennem udaftil. Derfor kan vi konkluderer, at der ikke er et sikkerhedsproblem selvom vi undrer os over funktionerne.
_____
Det viser sig at være muligt, at ændre vitale informationer hos alle ens 1. connections og på alle man har inviteret til at connecte (selvom de ikke har accepteret) på LinkedIn. Om der er tale om en fejlindstilling i administrationen af en enkelt profil eller om det er et kendt "hul" vides ikke. Uanset hvad er det meget uheldigt.
"Jeg har personligt set, hvad det er eMino Security kan gøre og det skræmmer mig, at det er muligt" siger Birgitte Kofod, formand for rådet for digital sikkerhed.
eMino Security går nu igang med, at undersøge "hullet" til bunds og forventer at kunne give LinkedIn en melding i løbet af fredag. eMino Security ønsker ikke, at offentliggøre "hullet" da det kan skabe unødig uro.
Trods en tests igår viser det sig ved efterfølgende tests at "hullet" ikke slår igennem udaftil. Derfor kan vi konkluderer, at der ikke er et sikkerhedsproblem selvom vi undrer os over funktionerne.
_____
Det viser sig at være muligt, at ændre vitale informationer hos alle ens 1. connections og på alle man har inviteret til at connecte (selvom de ikke har accepteret) på LinkedIn. Om der er tale om en fejlindstilling i administrationen af en enkelt profil eller om det er et kendt "hul" vides ikke. Uanset hvad er det meget uheldigt.
"Jeg har personligt set, hvad det er eMino Security kan gøre og det skræmmer mig, at det er muligt" siger Birgitte Kofod, formand for rådet for digital sikkerhed.
eMino Security går nu igang med, at undersøge "hullet" til bunds og forventer at kunne give LinkedIn en melding i løbet af fredag. eMino Security ønsker ikke, at offentliggøre "hullet" da det kan skabe unødig uro.
torsdag den 27. marts 2014
Pas nu på med de informationer på nettet!
Vi har efterhånden lært at mails fra skat der kræver konto oplysninger ikke er rigtige, så hvad gør hackerne så? De målretter deres angreb ved at bruge lidt tid på info søgning og håb om at man accepterer en fiktiv venneanmodning eller linkedin connection.
Fakta er at vi i stigende grad afgiver informationer om os selv på nettet via sociale medier, blogs, kommentarer, evalueringswebsites, dba, ect. Om man helt skal holde sig væk er et godt spørgsmål. Helt grundlæggende så er det summen af de samlede informationer man kan finde der udgør en risiko. Når man kommenterer indlæg som her eller f.eks. på en avis giver man uvildigt informationer der kan bruges mod en.Og det er tit chokerende for folk når vi præsenterer dem for hvad vi på lovlig vis kan finde ud af om dem på kort tid ved, at bruge de rigtige værktøjer.
Hvis jeg skulle give et råd så opret en fiktiv mail og identitet og brug den de steder hvor du afgiver "følsom information". Lad være med at bruge din Facebook eller Twitter konto til login på diverse services.
Et eksempel er et sted som Trustpilot. Trustpilot indeholder ret interessante informationer om brugerne. Heldigvis er der mange der ikke lige afslører deres identitet ved at kalde sig f.eks. "Kunde". Men som et lille åbenlyst eksempel så se på denne profil:
Eksempel
Det er ret let at finde ud af at brugeren Erik Lund Panduro formegentlig er gift med Lissie. Erik arbejder hos Nordisk Institutionsmedia og bor Krovej 2B, 5874 Hesselager. Erik kan fanges på 21472740. For en hacker eller identitetstyv vil det være let at fortsætte og finde flere informationer og enddag vide fra hvilke firmaer der skulle sendes fiktive mails for at forsøge at få f.eks. dankort oplysninger. Man kunne begynde at se om Anja og Line Maria kunne være døtrene. Men fakta er at viden om salg af guld og hurtiglån er brugbar viden i en hackers/tyvs verden.
Hvorvidt det er en reel trussel handler om hvem man er, hvad man har på spil og om man kan gennemskue de mails og connections man får. Desværre viser vores undersøgelser at alt for mange accepterer venneanmodninger og connections uden at vide hvem de lukker ind, ligesom man ukritisk deler informationer der alene synes ufarlige men samlet kan udgøre en reel trussel.
Og det er ikke kun hackerne der bruger informationerne. Vi har gennem tiden hjulpet mange med at få et overblik over de samlede informationer på nettet og få fjernet dem der er uønsket ved at kontakte dataholder. På den anden side har har vi hjulpet arbejdsgivere, forsikringsselskaber og detektivbureauer med at finde informationer om personer. Så overvej hvordan du bruger nettet og hvad du inddirekte og direkte fortæller om dig selv.
Abonner på:
Opslag (Atom)