Det holder ikke lenger å bare snakke om IT-sikkerhet – vi må faktisk handle. I en hverdag hvor digitale trusler blir stadig mer avanserte, er passordet alene blitt vårt svakeste ledd.
Nasjonal sikkerhetsmyndighet (NSM) har nylig publisert en rapport som understreker at Flerfaktorautentisering (MFA) er et av de absolutt viktigste tiltakene vi kan iverksette for å beskytte oss. Det handler ikke bare om å legge til en ekstra kode, men om å rulle ut løsninger som faktisk tåler moderne angrep.
Denne artikkelen gir deg de konkrete anbefalingene for hvordan din virksomhet går fra plan til praksis. Enten du leder en liten bedrift eller en stor organisasjon, er tiden inne for å sikre at de digitale dørene er ordentlig låst.
Publisert: 12.12.2024
Rapporten er en introduksjon til Flerfaktorautentisering med anbefalinger om hvordan dette tas i bruk på en trygg måte i egen virksomhet.
Flerfaktorautentisering, ofte omtalt med den engelske forkortelsen MFA (multifactor authentication), gir ekstra sikkerhetslag ved å kreve minst to uavhengige autentiseringsfaktorer. Dette øker tilliten til at den som forsøker å autentisere er den legitime brukeren.
Last ned temarapporten: Flerfaktorautentisering (PDF, 239KB)
MFA-faktorene deles vanligvis inn i kategorier basert på noe bruker 1) vet, 2) har og 3) er. Noe bruker vet kan være et passord eller en PIN-kode. Noe bruker har er en fysisk enhet som anvendes som en av autentiseringsfaktorene under autentiseringsprosessen. Dette kan være brukerens telefon, datamaskin eller en kodebrikke. Noe brukeren er går under biometri og kan eksempelvis være fingeravtrykk eller ansiktsgjenkjenning. Ved MFA anvendes minst to faktorer av ulike kategorier.
Ikke alle typer MFA like sikre. Slik en angriper kan lure til seg et passord, kan hen også lure til seg engangskoder eller få brukere til å akseptere pushvarsler som brukeren ikke har forårsaket selv. Det er derfor viktig å se etter løsninger som er resistente mot sosial manipulering. Passnøkler kan benyttes som en av faktorene, og kan ansees som et moderne alternativ til passord.
NSM har fire anbefalinger til virksomheter knyttet til valg og utrulling av Flerfaktorautentisering. Den første er nettopp å ta i bruk Flerfaktorautentisering, og da gjennom løsninger som er resistente mot sosial manipulering. Den andre anbefalingen er å rulle ut MFA-løsninger på en strukturert og planlagt måte. En tredje anbefaling er å påse at MFA-løsningene og andre avhengige systemer ikke er sårbare. Den siste anbefalingen er å utføre jevnlig kontroll (revisjon).
Rapportens innhold og anbefalinger er relevante for alle virksomheter uavhengig av størrelse. Dette gir et utgangspunkt for å delta i risikovurderinger, og til både å velge og rulle ut MFA-løsninger.
Rapporten fokuserer på Flerfaktorautentisering og dekker ikke andre aspekter rundt autentisering, som identifikasjon av bruker og utlevering av autentiseringsfaktorer eller generelle IT-sikkerhetstemaer som sikring av brukerklienter. Rapporten er produktnøytral.
phishing-angrep skjer vanligvis via e-post der angripere utgir seg for å være en legitim avsender, for eksempel en leverandør eller leder i selskapet. Målet er ofte å lure ansatte til å klikke på skadelige lenker, oppgi passord eller gjennomføre betalinger.
Den største cybertrusselen mot små og mellomstore bedrifter (SMB) er industrialisert og AI-drevet nettkriminalitet, der særlig sofistikert phishing og løsepengevirus (ransomware) dominerer trusselbildet.
3-2-1-regelen er gullstandarden for backup 3 kopier av dataene: Du skal ha originaldataene pluss to sikkerhetskopier. 2 ulike medier: Lagre kopiene på forskjellige typer lagringsenheter (f.eks. PC, NAS, og sky). 1 kopi utenfor huset:Én backup skal alltid oppbevares på en annen fysisk lokasjon (f.eks. i skyen).
Norske bedrifter kan få oppdatert informasjon fra nasjonale myndigheter og fagmiljøer som publiserer analyser, råd og varsler om cybersikkerhet.
Flere bransjer er spesielt utsatt for cyberangrep, blant annet produksjon, detaljhandel og e-handel, regnskap og økonomitjenester, helse og omsorg, samt byggebransjen.
Bedrifter bør ta regelmessige sikkerhetskopier av kritiske data, helst daglig. Backup bør lagres både sikkert og offline slik at den ikke påvirkes av ransomware-angrep eller andre sikkerhetshendelser.
Tofaktorautentisering (MFA) gir et ekstra sikkerhetslag ved at brukere må bekrefte innlogging med en ekstra faktor, for eksempel en kode fra mobiltelefonen. Dette gjør det mye vanskeligere for angripere å få tilgang til kontoer selv om passordet blir stjålet.
CEO-svindel er en type phishing der angriperen utgir seg for å være en leder i bedriften. De sender ofte en e-post til en ansatt i økonomi eller administrasjon med en hasteforespørsel om å overføre penger til en konto.
Fabrikkvegen 27,
5256 Ytre Arna
#
Vi bruker informasjonskapsler for å gi deg den beste opplevelsen på nettstedet vårt.
Informasjonskapsler (cookies) | Personvernerklæring (GDPR)