I dagens digitale tidsalder har e-post blitt livsnerven i kommunikasjonen for bedrifter i alle størrelser, men det utgjør også en betydelig sikkerhetsutfordring, spesielt for små bedrifter. Mens nettrusler fortsetter å utvikle seg og bli mer sofistikerte, har beskyttelsen av sensitiv informasjon og sikring av konfidensialiteten til e-postkorrespondanse aldri vært viktigere.
De siste årene har nettangrep via bedrifters e-postservere sett en dramatisk økning over hele linja. Dette burde ikke komme som noen stor overraskelse, med tanke på den globale overgangen til fjernarbeid de siste årene. Siden fjernarbeid har kommet for å bli, kommer det som en overraskelse for de fleste nettsikkerhetseksperter at mange organisasjoner (spesielt mindre bedrifter, som er mest sårbare for denne typen angrep) ikke har implementert grunnleggende nettsikkerhetspraksiser for å holde systemene deres trygge mot Business Email Compromise, eller BEC, og andre mer tradisjonelle former for nettangrep via e-post.
Business Email Compromise er en alvorlig form for digital svindel og utpressing som forsøker å utnytte den daglige e-postkommunikasjonen mellom bedrifter. Gjennom en komplisert prosess med sosial manipulasjon, utgir nettkriminelle seg for å være en ansatt eller betrodd forretningspartner og overtaler ofre i samme selskap til å overføre sensitiv informasjon eller midler til en skjult konto. Disse typene angrep varierer i alvorlighetsgrad, men er som regel svært kostbare for bedriften som blir angrepet. Derfor har vi bestemt oss for å lage denne veiledningen med beste praksis, retningslinjer og protokoller for e-postsikkerhet, spesielt tilpasset små bedrifter (imidlertid vil disse praksisene gjelde like mye for organisasjoner i alle størrelser). Det er på tide å sørge for at e-postene til din småbedrift er sikre og at all sensitiv informasjon holdes trygg fra uønskede seere.
Beste praksis for e-postsikkerhet i små bedrifter
De beste praksisene for e-postsikkerhet for små bedrifter ligner på de som brukes for store organisasjoner. De beskytter mot de tre hovedtypene nettangrep via e-post: phishing-svindel, spydphishing-angrep og falske fakturaer. La oss begynne med de essensielle e-posttiltakene:
Bedrifts-e-postkontoer er for bedrifter
Selv om dette kan virke ganske enkelt og selvfølgelig, er det verdt å påpeke i tilfelle. Siden arbeid er en viktig del av alles liv, kan det være fristende å bruke bedrifts-e-posten for å registrere deg eller logge inn på visse tjenester som dine personlige kontoer ikke har tilgang til. Bruken av bedrifts-e-post til personlige nettaktiviteter gir imidlertid svindlere en langt bedre mulighet til å profilere deg, noe som kan føre til et mye mer målrettet nettangrep. På samme måte, hvis du bruker din personlige datamaskin eller hjemmenettverk, som vanligvis ikke er like sikre som en bedriftstilkobling eller de tilpassede maskinene som brukes på arbeidsplassen, gir du hackere en bedre sjanse til å stjele jobbrelaterte påloggingsopplysninger. Dette fører oss videre til vår neste beste praksis.
Ikke bruk bedrifts-e-posten på offentlige nettverk
Selv om du bruker selskapets sikre datamaskin til å få tilgang til bedrifts-e-posten, er offentlige nettverk den perfekte inngangen for hackere og nettkriminelle å infiltrere maskinen din og stjele sensitive data. Når det ikke er mulig å unngå bruken av offentlige nettverk, anbefaler vi å bruke et VPN for å koble til viktige jobbservere og forbedre den generelle endepunktssikkerheten. Et Virtuelt privat nettverk (VPN) fungerer ved å opprette en slags kryptert privat tunnel mellom brukerens eksterne datamaskin og organisasjonens dedikerte servere. Dette vil videre beskytte all data du sender over et usikret nettverk via sanntidskryptering. For å lese mer om VPN og hvordan de fungerer, se vår artikkel «Hva er et VPN?».
Sterke passord og passfraser
Når det gjelder å hacke e-postkontoer for bedrifter, er første skritt å gjennomføre et rå kraft-angrep mot kontoen og forsøke å gjette passordet eller passfrasen. Det er derfor vi anbefaler alle ansatte å bruke «sterke» passord eller passfraser. Et passord anses å være «sterkt» når det er tilstrekkelig langt (12-14 tegn) og inneholder en blanding av spesialtegn, tall, store og små bokstaver. «Sterke» passfraser følger stort sett de samme reglene, men de skal være mellom 15-20 tegn og bruke bokstaver fra andre språk (om mulig).
For hver av disse er det viktigste å huske at de må være unike og bare brukes for én applikasjon. Dette betyr at du vil trenge en god del passord og passfraser, avhengig av hvor mange systemer du bruker på arbeidsplassen. Som et resultat av dette anbefaler vi å bruke en passordbehandler eller passordhvelv, som også tilbyr en passordgenerator for å lage sterke passord, for å lagre alle dine unike passord og fraser. Selv om passordhvelv og -behandlere kan bli hacket, vil passordene dine fortsatt være trygge fordi de er kryptert. Å dekryptere bransjestandard kryptering, som 256-bit AES (Advanced Encryption Standard), er nesten umulig. Selv om en hacker kommer «inn» i selve hvelvet, betyr det ikke nødvendigvis at de kan gjøre noe mens de er inne.
Phishing-svindel og vedleggsbevissthet
En av de enkleste måtene å beskytte bedriften din på er å investere i enkel nettsikkerhetsopplæring for alle dine ansatte. Hvis det ikke er et alternativ for din bedrift, anbefaler vi å lære arbeidsstyrken din om farene ved phishing-svindel og e-postvedleggsangrep, også kjent som skadelige vedlegg eller HTML-smugling. De viktigste punktene å dekke er som følger:
- Bevissthet om vanlige phishing-svindler, som falske nettsteder og påloggingsvinduer som innhenter en brukers påloggingsopplysninger og etterligner vanlige popup-vinduer, som for eksempel påloggingsvinduet i Microsoft Outlook.
- Kunnskap om de vanligste e-postvedleggene som skadelig programvare kan skjules i, som .DOCX, .HTML og EXE. Dette inkluderer også en nyere og populær type e-postangrep kjent som HTML-smugling.
- Advar de ansatte om å aldri klikke på en lenke som ser mistenkelig ut eller kommer fra en ukjent avsender. Ondsinnede lenker er den enkleste måten for svindlere å utføre vellykkede nettangrep mot dine ansatte og bedriften, som regel via et slags phishing-nettsted.
Aktivere flerfaktorautentisering
En sikkerhetspraksis som blir stadig mer populær på grunn av dens effektivitet, er flerfaktorautentisering. Flerfaktorautosering, noen ganger referert til som MFA, tofaktorautentisering eller 2FA, gir dine bedrifts-e-postkontoer flere nivåer av sikkerhetssjekker før den ansatte får tilgang til meldingene sine. Dette kan for eksempel være et ekstra passord, en kode fra en sikker SMS, eller et svar på et sikkerhetsspørsmål.
Ikke glem å logge ut
Igjen kan dette kan virke som noe helt åpenbart når du bruker jobb-e-posten, men det er viktig å huske på at et stor del av nettangrep starter med misfornøyde ansatte som ønsker å skade en tidligere arbeidsgivers virksomhet. Å kapre noens konto og opptre som en annen ansatt er en av de enkleste måtene å begå nettkriminalitet uten å bli oppdaget. For å hindre at du eller dine ansatte blir ufrivillige mistenkte, må du derfor sørge for at alle i bedriften husker å logge ut etter hver økt og aldri deler påloggingsopplysningene sine med hverandre.
E-postskanning og beskyttelsessystemer
Med den økende kompleksiteten av trusler via sosial manipulasjon og e-postrelaterte nettangrep, er et dedikert e-postskannings- og beskyttelsessystem det beste forsvaret mot avanserte skadelige e-postvedlegg og innebygde skriptangrep. Vi anbefaler en automatisert antivirusløsning som inkluderer maskinlæring og statisk kodeanalyse, som vurderer det faktiske innholdet i e-posten og ikke bare vedleggets filtype. For en avansert nettsikkerhetsløsning anbefaler vi Kaspersky Security for Microsoft Office 365. Premium-pakken er en del av et prisvinnende system både for bedrifter og privatpersoner, og kommer med kundestøtte døgnet rundt.
Protokoller og standarder for e-postsikkerhet
En av de viktigste måtene du kan beskytte bedriftens e-postsystem på, er ved å implementere de riktige sikkerhetsprotokollene. E-postprotokoller blir vanligvis betraktet som den første forsvarslinjen mot e-postrelaterte nettangrep, og er designet for å holde kommunikasjonen din trygg når den passerer gjennom webmail-tjenestene. Helt konkret leverer e-postserverne e-poster mellom mottakernes e-postklienter ved hjelp av e-postprotokoller. Protokollene forteller serveren hvordan den skal behandle og levere meldingene. Sikkerhetsprotokoller verifiserer og autentiserer denne prosessen.
Det finnes flere ulike protokoller som kan brukes til å sikre din bedrifts-e-post:
- SPF – tillater e-postdomeneeiere å identifisere og verifisere hvem som er autorisert til å bruke domenenavnene sine når de sender e-post.
- DMARC – tillater e-postdomeneeiere å bli varslet og svare når en melding ikke blir autentisert.
- SMTPS og STARTTLS – krypterer e-postutvekslinger mellom klienter og servere.
- DKIM – gjør det mulig for brukeren å knyttes til en digital signatur for autentisering.
- S/MIME – definerer hvordan data krypteres og autentiseres i MIME.
- OpenPGP – er basert på rammeverket Pretty Good Privacy og er en krypterings- og autentiseringsstandard for e-poster.
- Digitale sertifikater – er en måte å verifisere avsenderens detaljer via eierskap av fellesnøkkel.
- SSL/TLS – brukes ikke direkte i e-postsikkerhet, men det krypterer nettverkstrafikk mellom servere (inkludert webmail-meldinger) fordi det brukes til HTTPS.
Mange populære leverandører av e-postklienter bruker SPF, DKIM og DMARC (konfigurert via DNS-oppføringer) for å beskytte brukernes personvern. Vi anbefaler å implementere minst disse tre for ditt bedrifts-e-postsystem.
Retningslinjer og samsvar for e-postsikkerhet
Retningslinjer og samsvar for e-postsikkerhet definerer regler og forskrifter rundt bruk av bedrifts-e-postkontoer på arbeidsplassen. Hver av punktene som er nevnt ovenfor, bør være en viktig del av organisasjonens retningslinjer for e-postsikkerhet. I tillegg bør disse retningslinjene også inkludere regler om:
- Brukertilgang og enhetsbruk.
- Håndtering og oppbevaring av data.
- Regler om videresending, sletting og oppbevaring av e-post.
- Bredden av retningslinjenes omfang, inkludert nettverks- og systembruk.
- Etisk atferd og passende oppførsel.
- Passordkryptering og andre sikkerhetsverktøy som brukes i e-postklienter.
- Nettsikkerhetsopplæring knyttet til skadelig programvare i e-post og hvordan man oppdager falske vedlegg, lenker eller meldinger.
- Praksiser for e-postovervåking og registrering av ansatte utført av bedriften din.
- Hvor og hvordan man skal rapportere skadelig programvare, trusler eller ulovlig innhold mottatt via e-post.
I korte trekk bør enhver organisasjon, fra liten bedrift til stor bedrift, ha en Security Compliance Model (SCN) som tydelig beskriver og definerer det ovennevnte emnet. Disse retningslinjene vil fungere som et juridisk rammeverk (håndhevet av nasjonale myndigheter) som kan sikre personvernet og sikkerheten til alt innholdet i selskapets e-poster. Dette er spesielt viktig med tanke på at kunder og samarbeidspartnere har blitt mer varsomme med hensyn til bedrifter med brudd på digitale kommunikasjonsregler.
I dagens digitale landskap har e-post blitt uunnværlig for både små og store bedrifter, men det er også et viktig mål for nettangrep. Ettersom fjernarbeid blir mer vanlig, øker risikoen for e-postrelaterte nettangrep. Beskytt din småbedrift enkelt med Kaspersky’s Small Business Security, som er spesielt designet for å imøtekomme behovene til små bedrifter.
Relaterte artikler:
- Hva er passordbehandlere, og er de trygge?
- Hvordan kryptere e-post i Outlook, Gmail, iOS og Yahoo?
- Hvordan stoppe søppelpost? – Tips og råd
Anbefalte produkter: