Cyber Consultia

Så er vi tilbage efter en fuldført mission hos vores venner i Avannaata Kommunia i Ilulissat 🇬🇱 Vi underviste kommunens medarbejdere i awareness, udarbejdede en beredskabsplan og bistod med IT-strategi – alt sammen i samarbejde med Preben Brügmann. Awareness-træning kan være en udfordring, når der er 1000 km mellem rådhuset og det yderste kommunekontor (Qaanaaq) samt dårlige satellitforbindelser 📡 Grønlænderne er heldigvis et meget tålmodigt folkefærd, og med minimale indstillinger i Teams, som var det strømforbruget i Apollo 13 🚀, lykkedes det. #cyberawareness #cybersecurity #greenland

Vi er glade for at være med i NCC-DK, Danmarks Nationale Koordinationscenter for Cybersikkerhed tilskudspulje 👍 Pengene skal bruges til videreudvikling af vores GRC platform, der er med til at styrke cybersikkerheden i SMV’er 🏁 #cybersecurity #grc #nis2

Mange virksomheder forsøger at beskytte sig mod phishing-mails ved at træne medarbejderne, typisk gennem phishing-tests og awareness-træning 📬 Dog findes der en langt mere 'effektiv' metode til at angribe en virksomhed, som de færreste medarbejdere har lært at beskytte sig imod - det kaldes Vishing. Vishing er en forkortelse af "voice phishing" og refererer til, at cyberkriminelle bruger telefonopkald 📱☠️ til at narre medarbejdere til f.eks. at give adgang til deres computer. Når først den kriminelle har fået adgang, kan vedkommende lynhurtigt inficere computeren med ransomware, stjæle oplysninger osv., og så er det Game Over 🔚. Vores erfaring viser, at næsten 50% af alle medarbejdere, uden tøven, giver os adgang til computeren, når vi udfører Vishing-tests 😱. ✅ Det er derfor vigtigt, at træne medarbejderne i at modstå Vishing - og helst inden det går galt. #vishing #cyberawareness #cybersikkerhed

2-trins godkendelse redder liv 🛟 Det er måske en smule karikeret, men det kan faktisk være en livredder – hvorfor? 2-trins godkendelse (også kaldet MFA og 2FA) lægger et ekstra lag af sikkerhed oven på det eksisterende login. Det kan være til firmanetværket, cloud apps, sociale medier osv. Bliver ens brugernavn og password stjålet via hacking eller phishing, så har de kriminelle fri adgang til ens konto og kan misbruge den til alverdens kriminelle formål ☠️ Med 2-trins godkendelse kan man stoppe dem i opløbet. Man skal nemlig fysisk indtaste en kode eller godkende adgangen via en app (som MitID) på mobiltelefonen📱– og den har de kriminelle ikke. Så man kan sige, at 2-trins godkendelse kaster en redningskrans, inden det går galt, og man drukner i ransomware, identitetstyveri, svindel og meget andet. #cybersecurity #mfa #grc

D-mærket og ISO27001 er begge gode løsninger til at styre cybersikkerheden i virksomheden. Men hvad er forskellen, og hvad skal man vælge? 🤔 Om ISO27001: ISO27001 er et internationalt anerkendt rammeværk til at styre informationssikkerhed. Det består af et ISMS (Information Security Management System) og 93 kontrolelementer (kaldet Annex A). Det er forholdsvist omfattende og tager typisk 12-18 måneder at implementere. Det kræver efterfølgende vedligeholdelse – især hvis man vælger at blive certificeret. Dette er dog ikke et krav. Om d-mærket: D-mærket er en dansk mærkningsordning, der ligeledes kan anvendes til at styre informationssikkerhed. Kravene i D-mærket er afhængige af virksomhedsstørrelse og omsætning, hvilket gør det velegnet til virksomheder i alle størrelser. Til forskel fra ISO27001 har D-mærket både kontrolelementer indenfor IT-sikkerhed, persondata og etik. Hvad skal man vælge? ISO27001 er omfangsrigt at implementere og vedligeholde. Det er derfor mest anvendeligt til virksomheder med en dedikeret IT-afdeling og/eller compliance-ressourcer. ISO27001 er internationalt anerkendt, hvilket især er praktisk i forhold til udenlandske kunder, leverandører, samarbejdspartnere osv. D-mærket er et rent dansk initiativ. Det er væsentligt nemmere at implementere end ISO27001, da der er brugt meget energi på at hjælpe virksomheder igennem processen via deres hjemmeside og dedikerede partnere. Dette gør det især anvendeligt til mindre og mellemstore virksomheder uden egen IT-afdeling. Uanset om man vælger ISO27001 eller D-mærket, viser man, at man tager informationssikkerheden alvorligt ved at forankre den i ledelsen. Dette signalerer til kunder, leverandører og andre interessenter, at virksomheden er dedikeret til at beskytte følsomme data og sikre en høj standard for IT-sikkerhed og etik. #cybersikkerhed #NIS2 #cyberawareness

Mange ideer bliver hjulpet på vej af AI 🧠 ChatGPT, Copilot og Claude er eksempler på populære Machine Learning (ML) services, der kan hjælpe virksomheder med at få omsat ideer til virkelighed lynhurtigt ⚡️ Men som onkel Ben sagde til Spiderman 🕷️, da han opdagede sine superkræfter: “with great power comes great responsibility”. Ansvarligheden ligger i, at man som virksomhed opsætter et etisk regelsæt før man slipper medarbejderne løs: GDPR 🇪🇺 - regler for overførsel af persondata til de valgte services. Gratis services bør være et ‘no-go’. Kildekritik 🤔 - sørg altid for at verificere og validere information fra AI. IP ⭐️ - pas på med at overtræde andres intelektuelle rettigheder. AI gør det ikke for dig. Hallucination 🤪 - vær opmærksom på, at AI kan generere fejl eller misinformation. Bias og fairness ⚖️ - undgå og håndter bias i data og algoritmer for at sikre retfærdige resultater. Transparens 🫣 - vær åben om, hvordan AI bruges og hvilke data der behandles. ❗️Husk også at man som virksomhed har et juridisk ansvar og skal være forberedt på at tage ansvar for eventuelle juridiske konsekvenser af AI’s beslutninger og handlinger. #chatgpt #ai #cybersecurity

AzeroCloud gik konkurs efter ransomware-angreb ☠ Den danske hostingvirksomhed AzeroCloud ApS (CloudNordic) gik i august 2023 konkurs efter et altødelæggende ransomware-angreb. Blandt ofrene for angrebet var blandt andre Chili Klaus 🌶og hundredevis af SMV-kunder. Virksomhedens daværende interim direktør, Martin Haslund Johansson, fortæller i dette rørende interview om de menneskelige konsekvenser ved et ransomware-angreb, og hvorfor det gik så galt, at virksomheden blev tvunget ud i konkurs. Brug syv minutter på at lytte til DR1 Orienterings interview og bliv klogere på, hvad der sker, når ransomware rammer. Interviewet kan også høres her: https://lnkd.in/dRjjc-C8 #ransomware #cybersecurity #cyberawareness

Hvilke krav stiller NIS2 omkring rapportering ved sikkerhedsbrud? I udkastet til NIS2 lovforslaget, som udkom i sidste uge stilles der krav om rapportering af sikkerhedsbrud til CSIRT ud fra følgende retningslinjer: 1️⃣ Tidlig varsling: Inden for 24 timer. 2️⃣ Hændelsesunderretning: Inden for 72 timer. 3️⃣ Foreløbig rapport: Efter anmodning. 4️⃣ Endelig rapport: Inden for 1 måned. Er man ikke direkte omfattet af NIS2, så kan man vælge frivilligt at indberette sikkerhedshændelser. #nis2 #cybersecurity #ransomware

En beredskabsplan er ikke en plan, før den er testet 🤔 Det er først efter en test, at alle kender deres rolle i beredskabsorganisationen og ved, hvad der forventes af dem. Det sparer dyrbar tid, som man sjældent har, når først det er gået galt, og man er ramt af et nedbrud ⚡️ eller et cyberangreb 🛡️ Testen behøver ikke at være stor, avanceret og kostbar. Mindre kan gøre det - det vigtigste er, at den gennemføres med fast interval, og at man lærer 📚 af resultatet. Vi hjælper virksomheder med at udarbejde beredskabsplaner og efterfølgende teste dem: https://lnkd.in/dddKhnUu #nis2 #cybersecurity #ransomware

Hvordan ved man, om man overholder kravene i NIS2? NIS2 er ikke en standard eller et rammeværk for cybersikkerhed som f.eks. ISO 27001/2. Det er en lovtekst ⚖️, og lovtekster kan ofte være svære at forstå og ikke mindst omsætte til praktisk cybersikkerhed🛡️ FSR - danske revisorer har lavet en ny erklæring, der er baseret på #NIS2. Den gør det væsentligt nemmere at forstå, hvad man i praksis skal gøre for at blive NIS2-compliant. Følger man kontrolmålene i erklæringen, opnår man NIS2-compliance og kan efterfølgende få lavet en revisorerklæring hos f.eks. BDO Danmark, som man kan dele med bestyrelse, ledelse, kunder og leverandører. Det er smart. Erklæringen kan også hentes hos FSR her (DA og EN): https://lnkd.in/durknuFr