IT-sikkerhed og hjemmearbejdspladser

I forlængelse af de forskellige udmeldinger fra Dansk Fjernvarme, Energistyrelsen samt Center For Cybersikkerhed angående it-sikkerhed og hjemmearbejdspladser, vil vi gerne fra DFF|EDB’s side følge op med en oversigt over anbefalinger og særlige opmærksomhedspunkter. Selvom artiklen er lang, vil vi på det kraftigste opfordre dig til at læse den i sin helhed, da den indeholder flere vigtige forhold, som du skal forholde dig til.

Indledningsvis vil vi henlede opmærksomheden på den mail Dansk Fjernvarme videresendte fra Energistyrelsen den 17. marts kl. 17.08 med overskriften ”Update til energisektoren fra NOST 16-03-2020”. Mailen er sendt til selskabets direktør/driftsleder. I den mail er vedhæftet en vejledning om hvilke typer cybertrusler, I skal være særligt opmærksomme på lige nu, samt også mange gode råd om hjemmearbejdspladser, kommunikation og sociale medier.

Center for Cybersikkerhed har opsat nedenstående anbefalinger ved hjemmearbejde, som vi kun kan anbefale bliver fulgt i forsyningsvirksomheden.

Gode råd til organisationen:

• Sørg for at der kan kommunikeres med alle medarbejdere, og at de er bekendt med de besluttede kommunikationskanaler
• Vær opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte denne situation. De vil f.eks. forsøge at udbrede ransomware og sende phishinglinks og -sms’er, under dække af corona
• Sørg for at medarbejderne kender processerne for fjernadgang, og tester, at de virker (f.eks. VPN, 2-faktor login osv.)
• Sørg for at infrastrukturen der understøtter fjernadgangen, har kapacitet og licenser nok til at dække det øgede antal brugere, der skal have samtidig adgang
• Sørg for at automatisk opdatering af medarbejdernes arbejdscomputere også virker, når de arbejder hjemmefra. Hvis dette ikke er en mulighed, skal medarbejderne mindes om at opdatere dem jævnligt
• Sørg for at være bevidst om risici ved eventuelle midlertidige adgange eller tilladelser, og at revurdere dem når behovet ikke længere er til stede.
• Når situationen er normal igen, så husk at opsamle erfaringerne til at forbedre fjernadgang, processer og beredskabsplaner

Gode råd til medarbejderen:

• Brug de værktøjer og kommunikationskanaler din arbejdsplads stiller til rådighed, og husk at sikkerhedspolitikerne også gælder når du arbejder hjemmefra. Vær for eksempel opmærksom på regler for brug af f.eks. private mailkonti og filudvekslingstjenester
• Hvis din arbejdscomputer ikke holdes opdateret automatisk, skal du huske at holde den opdateret selv
• Test at din fjernadgang virker, så eventuelle problemer kan afhjælpes med det samme.
• Vær opmærksom på evt. falske mails eller sms, som du modtager under dække af nyheder om corona
• Husk også at beskytte den fysiske adgang til din arbejdscomputer, når du arbejder hjemmefra

Se mere her information om hjemmearbejde på Center fos Cybersikkerheds hjemmeside (https://fe-ddis.dk/cfcs/publikationer/Vejledninger/Pages/Gode-raad-om-hjemmearbejde.aspx)

Hvis du benytter samme it-udstyr hjemme som på arbejdspladsen, skal du være særlig opmærksom på følgende:

• Opdateres antivirus og windows-styresystem fortsat automatisk, eller skal du selv gøre det? Er du i tvivl, skal du spørge virksomhedens it-ansvarlige
• Har du adgang til evt. lokale drev på egen server på forsyningen? hvis du har, så husk hvordan du tilgår hjemmefra med sikkerheden – vi anbefaler på det kraftigste at adgang sker via VPN og gerne med to-faktor godkendelse
• Benyttes en firewall enten i form af internetforbindelsens router eller software installeret på PC’en, fx firewall softwaren indeholdt i Windows platformen?
• Husk at låse din skærm når du forlader den, også selv om du blot er alene hjemme.
  
  

Benytter du dit private udstyr, skal du være særlig opmærksom på følgende punkter:

• Er windows-styresystemet opdateret med nyeste sikkerhedsopdateringer, og er det en version, der stadig understøttes af Microsoft? – hvis man fortsat kan installere sikkerhedsopdateringer fra Microsoft, er udstyret teknisk set ok at anvende
• Er der installeret antivirus, og er det opdateret og aktivt?
• Tilgår du fælles netværksdrev, så husk at undersøge, hvordan sikkerheden opretholdes – VPN, 2-faktor login mv.
• Benyttes en firewall enten i form af internetforbindelsens router eller software installeret på PC’en, fx firewall softwaren indeholdt i Windows platformen?
• Er der skabt fjernadgang til PC’en du benytter på arbejde fra din private PC, skal du være yderst opmærksom på risikoen ved dette. Dette er uanset om der benyttes TeamViewer, RDP-adgang eller lignede. Af sikkerhedsmæssige årsager er dette ikke en løsning DFF|EDB anbefaler!
• Husk at låse din skærm når du forlader den, også selv om du blot er alene hjemme.
• Husk at logge ud af virksomhedsrelaterede programmer og adgange, når andre benytter den private PC.
  
  

Generelt er det en rigtig god ide at slukke PC’en en gang i døgnet, således Windows-, antivirus- samt hardwareopdateringer installeres.

RDP-adgang ved brug af DFF|EDB’s Forsyning|Hosting

Dansk Fjernvarme udsendte et nyhedsbrev d. 26. marts 2020, hvori der gøres opmærksom på at de såkaldte fjernadgange kan være sårbare over for hackere, der ofte målretter ransomware-angreb mod netop RDP-adgange. Center for Cybersikkerhed udtaler videre, at hvis RDP-adgangen ikke er beskyttet af f.eks. flerfaktor-autentifikation eller en VPN-løsning, kan den potentielt kompromitteres ved at gætte brugernavn og password, særligt hvis der benyttes simple brugernavne og svage password.

Idet DFF|EDB’s Forsyning|Hosting løsning netop benytter RDP-adgange, kan der opstå utryghed i forhold til ovenstående udmeldinger. Denne utryghed vil vi gerne mane i jorden.

Forsyning|Hosting, og de løsninger du har adgang til via Forsyning|Hosting, benytter alle RDP-adgang, som er beskyttet med krypteringsprotokol samt 2-faktor login, som du modtager på mobilen; enten via SMS eller som App-besked.

Du kan derfor roligt benytte Forsyning|Hosting både fra din arbejds PC samt private PC (såfremt dette er accepteret i din virksomheds it-sikkerhedspolitik).

Generelt anbefaler DFF|EDB at, man som IT-bruger:

• holder sig opdateret med virksomhedens politikker og retningslinjer
• gør sig klart, at politikker og retningslinjer fra virksomheden er gældende ved hjemmearbejdspladsen også
• anvender virksomhedens sikkerhedssystemer korrekt og konsekvent
• tænker sig som om i forhold til deling af informationer
• udviser særlig skepsis i forhold til ægtheden af henvendelser
• forholder sig selektiv og kritisk i forhold til aktivitet på nettet

Husk altid at have din sunde fornuft og kritiske sans med dig!!