Stäng fönstret för objudna gäster

Storlek: px
Starta visningen från sidan:

Download "Stäng fönstret för objudna gäster"

Transkript

1 Stäng fönstret för objudna gäster IT-säkerhet för småföretag

2 Stäng fönstret för objudna gäster

3 Stäng fönstret för objudna gäster IT-säkerhet för småföretag

4 Boken Stäng fönstret för objudna gäster. IT-säkerhet för småföretag har producerats av marknadsavdelningen på Symantec Nordic AB i samarbete med Kundskaparna AB. Projektledare på Symantec Nordic: Helene Ruda Projektansvarig på Symantec Nordic: Michael Skärbo Projektledare på Kundskaparna: Niclas Norling Layout & design: Kundskaparna Texter: Bertil Myhr, Hedberg & Co. Helene Ruda och Joakim von Braun, Symantec Nordic Textbearbetning: Lars Strömqvist, Kundskaparna Foto: Mats Åsman, noart.nu Grafik: Tomas Öhrling/Info AB och Tove Hennix Marknadsundersökning av små företag: GM Marknadskommunikation Typografi: SymantecSans, SymantecSerif, Webdings Papper, pärmöverdrag: Geltex 130 g Papper, försättsblad: Kaskad solgul 120 g Papper, inlaga: Lessebo Linné vitt 120 g Papper, omslag: Lessebo Linné vitt 150 g Tryck och repro: Kristianstads Boktryckeri AB Upplaga första utgåvan: ex på svenska, norska, danska, finska och engelska. ISBN Symantec och Symantec-logotypen är registrerade varumärken i USA och tillhör Symantec Corporation. Andra varumärken och produktnamn tillhör respektive innehavare. Copyright 2004 Symantec Corporation. Med ensamrätt. 9/04

5 Innehåll Förord 7 Företagets IT-miljö 9 Trådbundna nätverk 9 Trådlösa nätverk (WLAN) 10 Serverrummet 12 Förbindelsen till Internet 13 Distansarbete 15 Distansarbete på hemdator 17 Distansarbete på bärbar dator 18 Hoten mot informationssäkerheten 21 Vem hotar? 21 Virus 22 Maskar 23 Trojanska hästar 24 Blandade hot 25 E-posthot och skräppost 26 Phishing 28 Interna hot 28 Missbruk av företagets IT-resurser 29 Skydd mot förlust av data 39 UPS och reservkraft 39 Rutiner för backup 39 Säkerhetskopiering 40 Skydd mot intrång och fientlig programvara 43 Brandvägg 43 Hård- och mjukvarubaserade brandväggar 44 Principer för brandväggar 45 Antivirus 46 Intrångsdetektering 47 Användar-ID och accesskontroll 48 Kryptering 49 Digitala signaturer 50 Lösenord 51 Virtuella privata nät (VPN) 54 Sårbarhetsanalys 57 Säkerhetsprodukter för små och medelstora företag 59 Säkerhetsregler 31 Skapa säkerhetsregler 31 Sju steg mot ett effektivt säkerhetsarbete 32 Katastrofplanen 34 Utbilda medarbetarna 37

6

7 Det ska inte krävas att man är data- eller säkerhetsexpert för att kunna driva företag. Men lite kunnande om de IT-faror som lurar kan utgöra en väsentlig försäkring mot de vanligast förekommande hoten. Många onödiga incidenter kan helt förhindras eller skadeverkningarna åtminstone mildras med litet kunskap och rätt verktyg. Att driva företag är sällan någon dans på rosor. Omvärlden förändras snabbt. Konkurrensen är hård och priserna pressade. Står datorerna still står hela företaget ofta still, särskilt om IT-driftstoppet blir långvarigt. Skulle all information som lagrats i datorerna försvinna är det inte säkert att företaget överlever. Tyvärr finns det många klåfingrade personer som intresserar sig för ditt företags datorer. Det skrivs och sprids mängder av virus, maskar och trojanska hästar. Hackare tar sig in i företags IT-system, förstör information och ändrar deras hemsidor. Överbelastningsattacker slår i värsta fall ut hela system eller stänger webbtjänster. Identitetsstölder och kreditkortsbedrägerier är exempel på hur traditionell brottslighet nu också härbärgerar på Internet. Vi på Symantec har stor erfarenhet av företagens informationssäkerhetsproblem och har mångårig praktisk erfarenhet av skyddsåtgärder för företag i alla storlekar. Det är vår förhoppning att denna lilla handbok ska vara dig till hjälp i försvarsarbetet. Med vänliga hälsningar Leif Gyllenberg, VD 7

8 8

9 Företagets IT-miljö Trådbundna nätverk Ett lokalt nätverk finns idag på nästan alla kontor med fler än ett par medarbetare, och används för att knyta samman persondatorer, servrar, skrivare och kommunikationsutrustning. Det byggs traditionellt upp med partvinnad kabel i ett stjärnformat nät: En kabel dras ut från en central kopplingspunkt, oftast i eller i närheten av serverrummet, ut till varje arbetsplats och dit skrivare och annan kringutrustning ska placeras. Tidigare fanns flera tekniska lösningar för lokala nätverk, men idag används så gott som uteslutande Ethernet. Det är visserligen den äldsta principen för lokala nätverk, men Ethernet har ändå visat sig bättre på att anpassa sig till den tekniska utvecklingen än alla sina tidigare konkurrenter samma princip används alltjämt i de senaste trådlösa nätverken. Hastigheten (bandbredden) inom ett kabelbaserat lokalt nätverk är oftast 100 Mbit/s, men en tio gånger snabbare variant, Gigabit Ethernet, vinner idag mark, framför allt vid anslutning av servrar och nätverksutrustning där den höga kapaciteten direkt kommer till användning. Fjärranslutning Internet Gateway Filserver E-postserver Stationär dator 9

10 Trådlösa nätverk (WLAN) WLAN (Wireless Local Area Network) är en teknik som utvecklas mycket snabbt, parallellt med att utrustningen sjunker i pris. Här ersätts merparten av kablaget av trådlösa förbindelser som har ungefär samma räckvidd som ett vanligt lokalt nätverk normalt upp till 100 meter. Kommunikationen går mellan basstationer, ofta kallade accesspunkter, och användarnas nätverksadaptrar. En WLAN-ansluten dator känns ofta igen på adaptern, som har en liten antenn som sticker ut på sidan, men allt fler bärbara datorer och skrivare är numera standardutrustade med inbyggda adaptrar och antenner för trådlös kommunikation. Även om WLAN på papperet är långsammare än ett kabelbaserat lokalt nätverk så är det få användare som i praktiken märker skillnaden. Ett generationsskifte pågår nu där den nya WLAN-utrustningen höjer topphastigheten i nätet från 11 Mbit/s till 22 eller 54 Mbit/s. Ur säkerhetssynpunkt är WLAN en sämre, eller åtminstone besvärligare lösning, än ett kabelbaserat nätverk. Eftersom trafiken sker över radiofrekvenser går det lätt att avlyssna den. De radiofrekvenser som de trådlösa lokala nätverken utnyttjar får i princip användas fritt, vilket ger både fördelar och nackdelar. Fördelen är att man kan installera sitt nät utan att tillstånd eller avgifter krävs. Det kan dock bli ett problem att alla andra företag i din närhet har samma rättigheter, eftersom prestanda och funktion kan drabbas om flera trådlösa nätverk installeras för tätt inpå varandra utan samordning. Mikrovågsugnar och annan trådlös överföring kan också störa WLAN-trafiken. Det är viktigt att se till att de säkerhetsfunktioner som WLAN-systemen innehåller verkligen används. Även om den inbyggda säkerheten inte är helt perfekt är den ju bättre än ingen säkerhet alls. Den inbyggda krypteringen WEP (Wired 10

11 Equivalent Privacy, ett säkerhetsprotokoll för trådlösa lokala nätverk) är enkel att knäcka och det finns många enkla program att ladda ner från Internet som gör det automatiskt. Ett minimikrav på säkerheten i ett WLAN är att information som rör användaridentifiering (autentisering) överförs i krypterad form. Företag som funderat på att skaffa en VPN-lösning (virtuellt privat nätverk, se sidan 54) gör klokt i att genomföra dessa planer i samband med att ett trådlöst nätverk tas i drift. Med hjälp av VPN kan avlyssningsriskerna bortses ifrån. 11

12 Serverrummet Visste du att Av de 50 värsta fallen av fientlig kod under första hälften av 2003, använde sig 19 av fildelningstjänster och applikationer för snabbmeddelanden för att sprida sig. Detta motsvarade en ökning med nästan 400 procent på bara ett år. En typisk IT-miljö på ett mindre kontor kan se ut som på bilden. Ett litet datorrum med några serverdatorer: en server för att lagra filer och gemensamma applikationer, en för e-post och en för webbplatsen. Till filservern finns ett UPSaggregat kopplat för reservkraft. På samma plats finns oftast också den viktigaste utrustningen för datakommunikation, exempelvis en router för anslutning till Internet och annan extern kommunikation, en switch för det lokala nätverket, en brandvägg och ibland ytterligare system som ska hålla nätverket säkert. Dator- eller serverrummet rymmer med andra ord kontorets viktigaste IT-system och här passerar och lagras stora mängder viktig information. Därför måste man tänka på den 12

13 fysiska säkerheten. Dörren till dator- eller serverrummet ska vara låst, rummet ska inte användas för andra ändamål, och bara de ansvariga med uppgifter som kräver tillträde dit ska få komma in där på egen hand. Ett annat klokt led i säkerhetstänkandet är att städningen av datorrummet ska ske övervakat och inte på kvällar samtidigt med resten av lokalerna. Förbindelsen till Internet Externa hot mot informationssäkerheten blir på allvar att räkna med först när den interna IT-miljön öppnas för kommunikation med omvärlden. Eftersom det idag nästan alltid handlar om att ansluta sig till Internet koncentrerar vi oss på det när vi beskriver de tekniska lösningarna. Det är dock värt att lägga på minnet att samma teknik som används på Internet är lika användbar i helt slutna, företagsinterna sammanhang. Brandvägg och antivirus är de viktigaste delarna i skyddet mot externa hot. Att ansluta sig till Internet utan dessa bägge skydd är att utsätta sig för helt onödiga risker och kan sätta ett företags hela existens på spel. Ett företag som ska ansluta sitt lokala nätverk till Internet kan välja mellan en rad olika tjänster och tekniska lösningar. Fast digital linje En så kallad fast lina är det dyraste men snabbaste sättet att kommunicera externt. Tjänsten ger ständig uppkoppling med en fast bandbredd. Kapaciteten på den fasta linjen kan man oftast bestämma själv ju snabbare, desto dyrare. Under de senaste åren har priset på fasta linjer sjunkit snabbt. TRÅDLÖSA NÄTVERK Använd aldrig standardinställningarna. Aktivera kryptering, som WEP (Wired Equivalent Protocol: Kryptering för trådlöst) eller den nya standarden WPA (Wi-Fi Protected Access). Placera accesspunkterna i centrum av byggnaden. Begränsa kopplingen mellan det trådlösa nätverket och det vanliga nätverket, och installera en extra brandvägg. Se upp med besökare en handdator med WLAN är lätt att gömma. Utbilda användarna. Begränsa den fysiska tillgången till accesspunkterna. Förbjud otillåtna accesspunkter. 13

14 ADSL ADSL (Asynchronous Digital Subscriber Line) är samlingsnamn för uppringda dataförbindelser som utnyttjar vanliga telefonledningar för digital överföring, men som erbjuder högre hastigheter. ADSL ger inte samma kapacitet i båda riktningarna. Hastigheten för data som tas emot är flera gånger större än för data som skickas ut från användaren. Detta svarar väl mot behoven hos enskilda användare, exempelvis vid webbsurfning då betydligt mer data hämtas än skickas. Det är däremot inte säkert att ett företag har samma förutsättningar, bland annat om verksamheten kräver stora filöverföringar. ISDN ISDN (Integrated Services Digital Network) är en äldre uppringd tjänst som utnyttjar vanliga telefonledningar för digital överföring. Ett vanligt ISDN-abonnemang ger tillgång till två kanaler om vardera 64 kbit/s. Två eller flera ISDNabonnemang kan kopplas parallellt, så att de uppträder som en förbindelse med högre kapacitet. ISDN tappar idag i popularitet i takt med att ADSL-tjänster byggs ut. Modem Ett vanligt telefonmodem kan räcka för att förse en enskild användare med Internet-uppkoppling eller fjärranslutning till kontorets lokala nätverk, men hastigheten är låg. Ett annat skäl till att välja bort den gamla typen av modemkommunikation är att det blir dyrare än moderna digitala nättjänster, åtminstone om modem utnyttjas av många medarbetare som har långa uppkopplingstider. 14

15 Distansarbete Distansarbete med datorstöd blir allt mer utbrett, en utveckling som påskyndas av allt bättre kommunikationsmöjligheter. Eftersom distansarbete ofta förutsätter att de interna systemen öppnas för kommunikation med omvärlden så uppstår flera viktiga säkerhetsfrågor som måste ses över grundligt. Generellt är det svårt att hålla samma höga säkerhetsnivå på distansarbetsplatsen som på kontoret. Därför gäller det att minska sin exponering för säkerhetshot och de möjliga konsekvenserna vid distansarbete, snarare än att försöka efterlikna det skydd som finns på kontoret. Först och främst gäller det att, i en bärbar dator eller en hemdator, spara och lagra en så liten mängd viktiga data som möjligt. Det mest grundläggande är att den dator man arbetar ifrån följer företagets säkerhetspolicy i form av installerad säkerhetsteknik. Vilken säkerhet man ska ha beror på vilken typ av distansarbete som utförs behöver man tillgång till hela kontorets IT-resurser, eller e-postar man bara? Använder man en bärbar dator, eller arbetar man från hemdatorn? Kommunikationen är en svag länk vid allt distansarbete. Visste du att 994 nya virus och maskar dokumenterades under första hälften av 2003, vilket var mer än dubbelt så många som de som dokumenterades under första hälften av

16 SÄKERT DISTANSARBETE Tänk på att informera de anställda om att företagets säkerhetspolicy gäller även vid distansarbete. Se till att alla som arbetar på distans har rätt skydd installerat på datorn. För att arbeta på distans är det viktigt att ha ett antivirus, en personlig (distribuerad) brandvägg, samt VPNfunktioner så man säkert kan logga in på företagets nätverk. Det finns idag paketlösningar som innehåller alla dessa funktioner (exempelvis Symantec Client Security). Sätt upp regler för hur de anställda får hantera distansarbetet. Man får inte arbeta med företagets information på någon annan dator än jobbdatorn. All uppkoppling till företagets nätverk måste ske via VPN. Datorn måste vara skyddad med både antivirus och personlig brandvägg. Allmän försiktighet. Var försiktig med konfidentiellt material. Låt inte andra familjemedlemmar använda din jobbdator. Lämna aldrig din dator utan tillsyn eller olåst! Se alltid till att ha en lösenordsskyddad skärmsläckare på när du inte använder datorn. Var speciellt uppmärksam när du är på flygplatser eller hotell. Se till att din dator är utom synhåll och inlåst. Om någon stjäl din dator, meddela genast den IT-ansvarige och din chef. Om du laddar ner program eller filer från Internet, gör en virussökning innan du installerar dem. Installera inte mjukvara som du inte har licens för. Kontrollera att företaget godkänt de program du vill installera innan du gör det. 16

17 Uppringda modemförbindelser är fortfarande ett vanligt sätt att koppla upp sig från distans. På kontoret finns då oftast flera modem anslutna i grupp till det lokala nätverket. En enkel och effektiv åtgärd för att höja säkerhetsnivån är motringning användaren kopplar först upp sig och identifierar sig, sedan bryts uppkopplingen. Modemet på kontoret ringer sedan automatiskt tillbaka till det (godkända) nummer där distansarbetaren befinner sig och arbetet kan börja. Modemtrafiken kan också relativt enkelt krypteras. Idag ersätts modemtrafiken allt oftare av andra nättjänster med större kapacitet. Den naturliga lösningen i de flesta fall är att utnyttja VPN-teknik (Virtuella Privata Nät) för att skapa säkra anslutningar som utnyttjar Internet. Det kräver att särskild programvara installeras på varje ansluten dator. Distansarbete på hemdator Hemdatorer är ofta gemensamma för hela familjen. De skilda användningsområdena kan bli ett problem, bland annat genom att hoten från virus och intrång förstärks. Att helt skilja mellan hemdator och jobbdator även i hemmet är därför en god idé, och den principen blir allt lättare att genomdriva idag när utrustningen blir billigare. De ansvariga för informationssäkerheten kan dock inte helt förlita sig på en sådan princip, eftersom det är omöjligt att kontrollera att den efterföljs. Det är ofta svårt att dra gränser för vad som är privat bruk exempelvis är det få arbetsgivare som skulle kunna tänka sig att förbjuda korta e-postmeddelanden inom familjen till och från jobbadressen. Men slutsatsen är ändå att företaget behöver något slags riktlinjer för hur datorer får användas för privat bruk. Visste du att I maj 2000 dök LoveLettermasken upp. Masken skickade sig själv till adresserna i MS Outlooks adressbok. Den skrev över filer på lokala enheter och nätverksenheter, bifogde och gömde filer, och försökte ladda ner en trojan som stal lösenord. Att LoveLetter spreds så framgångsrikt berodde på att användarna trodde att de tog emot ett kärleksbrev via e-post. 17

18 Visste du att Under den värsta spridningen infekterade masken Blaster så många som 2500 datorer i timmen. Maskar spred sig allt snabbare, vilket resulterade i överbelastade nätverk, nedsaktad nätverkstrafik och hinder i Internetanvändandet. Distansarbete på bärbar dator Distansarbete och bärbara datorer går hand i hand. En allt vanligare variant är att bärbara datorer helt ersätter de stationära datorerna på kontoret och att de bärbara maskinerna ansluts till kontorets lokala nätverk genom dockningsenheter vid varje skrivbord. Dockningen kan också ge en bättre arbetsmiljö, med ett separat tangentbord och större bildskärm. En praktisk lösning, men också den besvärligaste ur säkerhetssynpunkt. Bärbara datorer är lättare att stjäla, de kan tappas bort och utsätter företaget för långt större risk att förlora viktig information än system som hela tiden finns inom kontorets väggar. Kravet på att säkerhetskopiera blir 18

19 därför extra viktigt, liksom att arbeta på ett sätt som minskar riskerna. Exempelvis kan medarbetare koppla upp sig via en fjärranslutning och hela tiden arbeta mot servern på kontoret. Då ser man till att lagra sina filer där och inte bara lokalt. Om kommunikationsmöjligheterna inte är så goda finns istället möjligheten att i efterhand synkronisera innehållet på den lokala hårddisken med servern eller med den stationära datorn på kontoret. Ett alternativ som ger en högre säkerhetsnivå än bärbara datorer är att använda löstagbara hårddiskar, så att enbart hårddisken behöver tas med från kontoret. Den lösa hårddisken är mindre stöldbegärlig och lättare att förvara säkert. En annan typ av flyttbart dataminne som snabbt vinner mark är små minnespinnar som ansluts till datorns USB-port. Tack vare den snabba utvecklingen av minneschips med allt större kapacitet kan dessa i dag rymma över en gigabyte i ett format som enkelt ryms i fickan. En minnespinne saknar rörliga delar och är därför oömmare än en löstagbar hårddisk. 19

20 20

21 Hoten mot informationssäkerheten Vem hotar? Hackare och cracker är de två begrepp som brukar användas som etikett på dem som ägnar sig åt datorintrång. Men det är enklare att nyttja det neutrala begreppet inkräktare, oavsett vem som försöker ta sig in i era system. De flesta inkräktare söker av stora delar av Internet för att leta efter system som är sårbara. När man hittar dem tar man sig helt enkelt in, oavsett om det rör sig om ett stort multinationellt företag eller en liten mekanisk verkstad. Man får alltså inte tro att man kan undgå angrepp bara för att man är ett litet och okänt företag. Här drabbas alla lika mycket. Det är svårt att dra alla inkräktare över en kam, eftersom de har så skilda syften. Många intrång görs mer eller mindre för skojs skull eller åtminstone inte för att skada själva systemet. Det finns till exempel åtskilliga fall när inkräktare tagit sig in på webbplatser hos kända företag eller myndigheter och ersatt hemsidan med en falsk webbsida där företaget hånas, för sin dåliga säkerhet eller andra påstådda brister. Intrång där pengar är det direkta motivet är ovanliga, men å andra sidan är det denna typ av inkräktare som har förmågan att orsaka den största skadan för ett företag. Informationssäkerhet handlar inte bara om att skydda sig mot externa hot, utan lika mycket mot interna hot. Det kan handla om användare som är behöriga men överskrider befogenheter och på så sätt kommer över känslig eller värdefull information. 21

22 Virus Visste du att Av svenskar med Internetabonnemang för hemmet har 24 procent drabbats av virus som förstört information. Andelen företag med mer än tio anställda som drabbats av virus som resulterat i förlorad information eller arbetstid är 29 procent. När informationssäkerhet förs på tal idag är virus alltid med i diskussionen. Men så har det inte alltid varit. Från början var virus mest ett teoretiskt hot, och ett tag tvistade faktiskt experterna om de alls kunde bli en verklig fara som påverkar system och nätverk. Den debatten tog dock slut 1984 när forskaren Fred Cohen myntade själva begreppet datorvirus och presenterade experiment som bevisade att skadliga datorvirus var en realistisk möjlighet. Ett datorvirus är enligt Cohen ett program som infekterar andra program genom att modifiera dem så att de inrymmer en kopia av virusprogrammet. Med andra ord ett program som har förmågan att reproducera sig självt. Redan i slutet av 1980-talet var virus ett plågsamt faktum för den tidens datoranvändare. Till att börja med spreds de via filer på infekterade disketter kom det första makroviruset som utnyttjade makrofunktioner i vanliga program, främst ordbehandlaren Word, och som spreds genom infekterade Word-filer och som kunde smitta användare på både PC och Macintosh. När virusen började bekämpas systematiskt med antivirushjälpmedel blev ett av virusmakarnas motdrag att utveckla polymorfa virus, som ändrar utseende när de kopieras. Det var emellertid ett problem som löstes ganska snabbt. Trots att det skapats över virus är det förhållandevis få som faktiskt har fått spridning och smittat användarna. De var oftast rätt enkla att ta bort och i och med att de spreds ganska långsamt behövde man inte uppdatera sitt antivirusprogram oftare än en gång i veckan. 22

23 Maskar Idag sprids nästan inga traditionella virus alls. De som tidigare sysslade med virus har istället börjat skriva maskar. En mask är ett virusliknande program som sprids genom nätverk, antingen lokalt eller över Internet. Maskar kan sprida sig helt utan mänsklig inblandning mellan servrar på Internet och de fortplantar sig genom att exakta kopior av den fientliga koden förs över till andra datorer och startas automatiskt. Maskar kan uppträda i form av blandade hot (se sid 25) men är i sin enklaste form inte destruktiva, utan skadar genom att de överbelastar de system som drabbas. De flesta maskarna har hittills spridits med hjälp av e-post och krävt att användaren varit aktiv genom att dubbelklicka på bifogade filer. Nu sprids dock många maskar med automatik genom att de utnyttjar kända säkerhetshål. Allt oftare utnyttjas snabbmeddelandetjänster som MSN Messenger, Yahoo Messenger, ICQ, Internet Relay Chat (IRC) och fildelningsprogram som Kazaa. Maskspridningen drabbar inte bara de företag eller privatpersoner som smittas. Ibland blir flödet av maskar så stort att förbindelsen till Internet som helhet blir väldigt trög. 23

24 Trojanska hästar De största hoten mot IT-säkerheten enligt mindre företag Haverier, driftstörningar, säkerhetsluckor: 31% Vet ej: 5% Interna rutiner, egna medarbetare: 9% Virus och elak kod: 41% Intrång via nätet, avlyssning: 14% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Trojanska hästar, eller trojaner, är egentligen ett slags hackarverktyg. Till skillnad ifrån maskar och virus kan trojaner inte sprida sig själva. Precis som den trojanska hästen i mytologin är trojaner något annat än vad de utger sig för att vara. De kan uppträda som vanliga datorprogram som framstår som användbara eller intressanta, men döljer fientlig kod. Ofta är denna förklädnad så lockande, att en person som får programmet skickat till sig eller själv laddar ner det, luras att använda det. Väl på plats kan trojanen bjuda in inkräktare och till exempel öppna upp en bakdörr mot Internet. Därefter kan inkräktaren ta kontroll över systemet. Många trojaner stjäl lösenord eller installerar kod som kopierar allt som skrivs på tangentbordet till en osynlig fil. Denna information kan sedan skickas till en hackare. Andra trojaner är skapade för att attackera andras datorer genom så kallade DoS-attacker (Denial of Service). Är attacken framgångsrik överbelastas de attackerade datorerna, och kan inte kommunicera med andra datorer. Allt fler trojaner sprids nu så att de automatiskt laddas ner till en användare som besöker en webbsida. På sidan döljer sig dolda instruktioner som laddar ner trojanen och startar den på användarens dator utan att det märks. Användaren uppfattar det endast som att hon eller han läser på webbsidan. Det är därför det är så viktigt att alla användare har både uppdaterade antivirusprogram och personliga brandväggar. 24

25 Blandade hot Var och en för sig kan maskar, virus och trojanska hästar orsaka stor skada, men tillsammans kan de orsaka än värre skador i servrar, användardatorer och webbplatser. Dessa så kallade blandade hot utnyttjar en kombination av flera mekanismer för att uppnå större, snabbare spridning och allvarligare skador. Vanligen är det en mask eller en trojansk häst som också använder sig av säkerhetshål i operativsystem eller andra program för att spridas. Ett av de mest kända blandade hoten var Nimda, som spreds till över två miljoner servrar och persondatorer på en enda dag. Blandade hot sprids mycket lättare och snabbare än vanliga maskar. De kräver nämligen ingen aktiv medverkan från användaren. Det kan räcka med att besöka en infekterad webbplats eller att den egna datorn är inställd för att förhandsvisa e-postmeddelanden. Ett annat exempel på ett blandat hot är Blaster, som dök upp under augusti Blaster använde sig inte av e-post, utan letade över Internet upp datorer som inte patchats mot ett känt säkerhetshål i Windows operativsystem, och spred sig vidare via det. För att möta de blandade hoten gäller det att införa ett skydd i flera nivåer. Ett hot som riktar sig mot flera svaga punkter samtidigt kan inte ensamt hanteras av ett säkerhetsverktyg. Det räcker alltså inte längre bara med ett antivirusprogram, utan helst ska man kombinera tekniker för antivirus, brandväggar och intrångsdetektering för att få stopp på spridningen. 25

26 E-posthot och skräppost Visste du att Antalet attacker steg i genomsnitt med 19 procent, 38 attacker per företag och vecka under första hälften av 2003 jämfört med 32 attacker per företag under samma tid Många säkerhetshot på Internet sprids främst via e-post. Om dessa smittade meddelanden slinker igenom säkerhetsspärrar och hamnar i din inkorg kan du ändå klara dig utan problem. Det gäller att upptäcka det smittade meddelandet och radera det fullständigt utan att ha öppnat det, och i synnerhet inte öppna filer som bifogats till meddelandet. Antivirusprogram tar effektivt hand om e-posthot, både hos användarna och i e-postservern, om de är rätt inställda och uppdaterade. Om ditt företag saknar egen e-postserver och istället anlitar en operatör eller tjänsteföretag för e-posthanteringen är det klokt att välja en tjänst där all trafik granskas så att virus och skräppost kan filtreras bort. Även om man har antivirus via sin Internet-leverantör bör man också ha antivirus på användarnas datorer, eftersom smittan sprids inte bara direkt över Internet utan också via snabbmeddelanden, nedladdade filer och program från Internet. Ett växande problem idag är spam, eller skräppost. Undersökningar visar att över 60 procent av all e-postkommunikation idag utgörs av skräppost. Idag finns särskilda program och tjänster för att bekämpa skräppost, exempelvis Norton AntiSpam. Programmen använder sig till exempel av listor över godkända avsändare (vita listor), listor över kända skräppostspridare (svarta listor), och kunskap om hur typisk skräppost ser ut i form av ordval och rubriker. 26

27 E-POSTANVÄNDNING Öppna inte bifogade filer i meddelanden från okända avsändare. Om du inte känner igen namnet i Från -fältet, så öppna inte bilagan. Kontrollera med avsändaren. Om du får ett oväntat meddelande, eller en oväntad bilaga från en bekant avsändare kan det innehålla virus eller fientlig kod. Många maskar sprids via e-postprogrammets adressbok. Sådana meddelanden kan ofta avslöjas genom en avvikande ämnesrad (ofta på engelska) eller bilagans namn. Ofta är det ett humoristiskt budskap som uppmanar mottagaren att titta på en bild eller läsa en bifogad textfil. Ställ alltid en kontrollfråga till avsändaren innan du öppnar sådana meddelanden eller bilagor. Kontrollera hela filnamnet på bilagor. Dolda filnamnsändelser kan lura mottagarna att öppna smittade e-postbilagor. Se alltid till att e-postprogrammet visar alla filändelser på bifogade filer! Virus och maskar kan finnas i filer som på skärmen ser ut som bilder, typiskt med filändelsen.jpg. Dessa har en dold filändelse tillagd,.exe eller.vbs, vilket betyder att den bifogade filen inte alls är en bild utan ett program som körs när bilagan öppnas. Se upp med falska virusvarningar. Falska virusvarningar kallas också hoax. Det är en typ av kedjebrev, där användarna luras att tro att de fått ett virus och uppmanas att skicka varningen vidare till alla bekanta. Ibland innehåller meddelandet ett bifogat hjälpprogram som ska användas för att ta bort det påstådda viruset, men som tvärtom infekterar mottagarens dator. På Symantec Security Response (securityresponse.symantec.com) finns alltid aktuell information om både verkliga säkerhetshot och falska virusvarningar. Öppna inte skräppost. Skräppost (spam) stör arbetet och fyller inkorgen, men kan även vara ett hot på annat sätt. E-post med skräpreklam kan också användas som bärare av virus och maskar. Släng därför för säkerhets skull alla reklammeddelanden med okända avsändare direkt, utan att öppna dem. Stäng av förhandsgranskningen. Många e-postprogram kan visa innehållet i meddelanden i ett separat fönster direkt när det tagits emot, utan att du klickat i inkorgens lista över meddelanden. Även om de flesta säkerhetshot som sprids via e-post utnyttjar bifogade filer så finns exempel på meddelanden som smittar direkt när det öppnas, även när det sker automatiskt. Det är klokt att stänga av förhandsgranskningen i inkorgen i e-postprogrammet. 27

28 MISSBRUK AV INTERNET OCH IT-RESURSER Begränsa tillgången till nätverkstjänster som inte behöver utnyttjas av alla. Koppla bort tjänster och funktioner som sällan eller aldrig behövs. Sätt upp tydliga regler för hur anställda får använda Internet för privata syften, och se till att informera samtliga anställda om vilka regler som gäller. Utnyttja innehållsfiltrering för att spärra tillgången till oönskat material på Internet. Följ Datainspektionens riktlinjer för hur anställdas bruk av Internet får övervakas. Phishing Phishing är en ganska ny företeelse där man med hjälp av e-post försöker stjäla bland annat bank- och kreditkortsuppgifter. I Sverige har exempelvis kunder till Visa, PayPal och ebay drabbats under det senaste året. De har fått e-post i sina inkorgar som varit skickligt förfalskade och kunnat tas för kommunikation från dessa företag. Bedragarna utnyttjar olika tekniker som gör det omöjligt för många kunder att se att de webblänkar de trycker på, lurar iväg dem till hemsidor som kontrolleras av hackare. Väl inne på dessa sidor luras man att besvara frågor som sägs vara från företaget, men som i själva verket gör att kunderna lämnar ut hemligheter om sina konton till bedragare. Interna hot De anställda utgör också en risk, liksom andra personer som har tillgång till företagets lokaler eller datanätverk. Någon kan vara ute efter att skada företaget eller stjäla information, men oftast beror problem på ren okunskap eller att en person som inte ska ha tillgång till information ändå kommer åt den. Det är alltså viktigt att lägga en bra grund i säkerhetsarbetet genom att utbilda de anställda. En rak och tydlig säkerhetspolicy, väl utbildade medarbetare i kombination med goda rutiner betyder att alla kan följa riktlinjerna. Då minskar risken både för skador som tillkommer avsiktligt och sådana som beror på slarv och okunskap. För den interna informationssäkerheten gäller ungefär samma förutsättningar som för det allmänna säkerhetsarbetet. Känslig information ska inte finnas tillgänglig för alla medarbetare, utan enbart för dem som behöver ha tillgång till den. 28

29 Missbruk av företagets IT-resurser Datorer och Internet är arbetsredskap, och bör hanteras därefter. Hur kan missbruk stävjas, och hur får sådana åtgärder se ut? Innan ett sådant arbete sätts igång är det viktigt att först ställa sig den omvända frågan: om och hur en arbetsgivare har rätt att kontrollera anställda för att upptäcka missbruk? Det är den känsligaste av alla policyfrågor. Datainspektionen har angett riktlinjer som gäller både företag och myndigheter. De vilar till stor del på Personuppgiftslagen (PuL). En grundprincip i PuL är att anställda som kan bli föremål för kontroll från arbetsgivarens sida måste informeras om att så kan ske. I många fall måste de även ge sitt samtycke, och anställda ska då även ha rätt att ta tillbaka sitt samtycke till kontrollen, utan risk för sin egen position på arbetsplatsen slog Datainspektionen fast att en arbetsgivare visserligen har rätt att logga aktiviteter i e-post och andra datorsystem och att granska anställdas e-post, med den viktiga begränsningen att privat information inte får granskas. Men skyddet för det privata är begränsat. Arbetsgivaren kan ha rätt att ta del av innehållet om det rör sig om mycket stora datamängder. Det finns också tekniska lösningar för att stävja Internetmissbruk, som om de används rätt gör det mindre angeläget att kontrollera anställdas utnyttjande av nätet. Missbruk av nätet kan förebyggas genom innehållsfiltrering, vilket spärrar tillgången till oönskat eller otillåtet innehåll och webbplatser. Funktioner för innehållsfiltrering finns tillgängliga i många brandväggar, men de är som regel inte aktiverade i standardinställningarna. Nackdelen med innehållsfiltrering är att även legitimt innehåll och webbplatser riskerar att spärras ut, och det är orealistiskt att den kan tillämpas helt utan biverkningar och irritation bland användarna. 29

30 30

31 Säkerhetsregler Skapa säkerhetsregler Så många användare har själva drabbats, direkt eller indirekt, att det blivit vardagsmat att hantera dessa problem på många arbetsplatser. Hos många användare finns det därför idag ett utbrett säkerhetsmedvetande som knappast hade funnits om hoten var mindre påtagliga än vad som nu är fallet. För IT-ansvariga och chefer betyder det att de möter förståelse för säkerhetsarbetet, och att medarbetarna aktivt vill delta. För säkerheten kan aldrig bli tillfredsställande om alla insatser görs på att bygga upp tekniska lösningar och rutiner som bara berör chefer och IT-personal. Det blir allt viktigare att ha en bra policy, en strategi och en plan för informationssäkerhetsfrågor. Grunden till ett framgångsrikt säkerhetsarbete är att ledningen inser att en fungerande IT-infrastruktur är affärskritisk. Det är ledningens ansvar att besluta om en säkerhetspolicy som är: möjlig att implementera och för de anställda att följa, koncis och lättförståelig, rätt balanserad mellan tillräckligt skydd och bibehållen produktivitet. Eftersom varje företag är unikt finns det inte två regelverk som är exakt lika, men själva arbetet med att ta fram en framgångsrik säkerhetspolicy kan man oftast strukturera på samma sätt. Visste du att I ett genomsnittligt företag genereras 9,5 miljoner loggfiler och varningar varje månad från brandväggar och intrångsdetekteringssystem. I genomsnitt är det dock bara två hot som är så allvarliga att de kräver direktåtgärd. 31

32 Sju steg mot ett effektivt säkerhetsarbete Andel mindre företag med intern policy för IT-säkerhet Saknar policy: 50% Har policy: 50% 1. Identifiera och värdera informationstillgångar Vilken information finns i företaget? Var finns den? Vilket värde har den? Vad skulle hända om den gick förlorad? Det är först när du vet vilket värde informationen har som du kan besluta om hur stora resurser du bör lägga på att skydda den. Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Visste du att 50 procent av företagen mellan 10 och 19 anställda har köpt varor eller tjänster via Internet medan 79 procent av företagen mellan 200 till 499 anställda och 85 procent av företagen med 500 anställda eller fler gjort det. 2. Identifiera hotbilder Var finns det potentiella säkerhetsproblem? Utvärdera sannolikheten för att en incident inträffar, och vilka följder den då får. Hoten kan vara både externa och interna: Externa hot exempelvis virus, maskar, trojanska hästar, hackarattacker, missnöjda före detta anställda och industrispionage. Interna hot exempelvis missnöjda anställda med kunskap om eller tillgång till viktiga data. Interna hot kan också vara medarbetare som använder e-post och Internet på ett felaktigt sätt. Man ska dock inte glömma att de flesta incidenter är olyckor på grund av okunskap. 3. Uppskatta riskerna Beräkna sannolikheten för att en incident inträffar och storleken på den potentiella skadan. Dataförlust, integritetsproblem, ansvarsskyldighet, oönskad uppmärksamhet, förlorat förtroende bland kunder, ägare och partners, liksom kostnaden för att reparera säkerhetshål måste också värderas. 4. Tilldela ansvarsområden I mindre företag är det naturligt att ledningen inte bara har det yttersta ansvaret, utan också tar hand om praktiska säkerhetsfrågor. Om man vänder på steken är det dock inte självklart att den IT-ansvarige också är rätt person att driva det övergripande 32

33 säkerhetsarbetet. Istället är det en god regel att skilja mellan det tekniska och det administrativa ansvaret. I lite större företag kan det bli aktuellt att utse en krisberedskapsgrupp med huvudansvar för att identifiera potentiella hot mot företaget. Nyckelmedlemmar inkluderar nätverksadministratören, ekonomichefen, en juridisk representant, en styrelsemedlem, en personalansvarig och en informations- och PR-ansvarig. 5. Etablera säkerhetspolicyn Formulera en policy som koordineras med företagets övriga riktlinjer och regelverk, samt anställningskontrakt. Dessa dokument bör därför innehålla specifik information om nätverk, IT-plattformar, användaransvar, och organisationsstruktur. Därigenom slipper man ändra hela policyn vid förändringar i organisationen. Ändringarna kan i stället göras i de relaterade dokumenten. 6. Genomför policyn Policyn måste tydligt definiera säkerhetsansvariga och vem som äger de specifika systemen och informationen. Tre viktiga delar i genomförandet är: Efterlevnad skapa en process för att säkerställa att policyn följs och var tydlig med vilka åtgärder som kan bli aktuella om någon bryter mot, eller struntar i policyn. Ansvar utse en IT-säkerhetsansvarig. Finansiering se till att budgeten medger att säkerhetspolicyn följs. 7. Följ upp och övervaka Alla medarbetare har ett ansvar för att policyn efterlevs och följaktligen ska den läsas av samtliga. Policyn bör också uppdateras regelbundet för att reflektera förändringar i organisation eller kultur. SÄKERHETSPOLICY Avgränsning. Vad ska säkerhetspolicyn täcka? Vad täcks inte? Ansvar. Vem bär huvudansvaret internt? Mål. Vad är syftet med policyn? Inriktning på säkerhetsarbetet. Vilken säkerhetsnivå vill och bör företaget upprätthålla? Stöd, samordning och kontroll. Vem utför detta? Hur ska det utföras? Säkerhetsnivåer och skyddsåtgärder. Regler och riktlinjer. Vilka regler gäller för de anställda/ansvariga, och hur ska detta kommuniceras? Information och utbildning. Användare rättigheter och skyldigheter. Systemadministratörer rättigheter och skyldigheter. Katastrofplanering. Vad händer när larmet går och katastrofen är ett faktum, vem ansvarar för vad? Och vilka rutiner finns på plats för att minimera skada? Årlig granskning. Behöver policyn uppdateras? Vilka förutsättningar har ändrats? Hur efterlevs policyn? 33

34 Katastrofplanen Andel mindre företag med förberedd krisplan för störningar i IT-miljön Saknar krisplan: 64% Vet ej: 1% Har krisplan: 35% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Visste du att Antalet fall av fientlig kod som öppnar bakdörrar till IT-system har ökat med nära 50 procent under första hälften av Det mest uppmärksammade fallet av försök till stöld av konfidentiell data var Bugbear.B, som riktade in sig specifikt på banker och finansinstitut. Det kan vara svårt att föreställa sig den värsta tänkbara händelsen, just eftersom man förmodar att riskerna för en verklig katastrof är väldigt små. En sådan slutsats vilar dock oftast på önsketänkande. Antag till exempel att företaget råkar ut för inbrott och alla datorer blir stulna en händelse som inte alls är osannolik. Då krävs det att den som ansvarar för företagets informationssäkerhet vet vad han eller hon ska göra. Målet måste vara att återställa normal verksamhet så snabbt som möjligt, och för att lyckas med detta är goda förberedelser helt avgörande. En katastrofplan går därför hand i hand med företagets policy för informationssäkerhet. Fel och datorhaverier i datorer, system och nätverk drabbar förr eller senare alla företag. De flesta sådana störningar är lyckligtvis lindriga och kortvariga, och brukar lösas genom vanliga service- och supportåtgärder. Men när viktiga data förloras eller viktiga system faller ifrån under längre tid, då påverkas affärsverksamheten mer direkt. Exemplet med inbrott visar att även ett litet företag behöver förbereda sig på ett akut krisläge. Större företag förbereder sig för katastrofer genom att skaffa reservalternativ för IT-driften, där en komplett anläggning står klar och förberedd att ta över på kort varsel om katastrofen är ett faktum. Denna lösning står dock sällan till buds för ett litet kontor, eller medför kostnader som inte kan motiveras. Ett fungerande katastrofskydd kräver först och främst goda backup-rutiner. I planeringen ska därför ingå att man inte bara regelbundet tar backup, utan även testar att återställa data från säkerhetskopior. Processen med att återställa systemens innehåll kan också förenklas genom så kallad imagehantering. Det innebär bland annat att man sparar kopior på hårddiskarnas hela innehåll. I ett krisläge kan man då spara mycket tid genom 34

35 att återskapa systemet från denna kopia, istället för att behöva installera om all programvara från början. Företag kan också välja att lägga ut så mycket som möjligt av driften av viktiga system, så att så lite som möjligt av känsliga datorer och data finns i de egna lokalerna. Ett litet företag gör exempelvis klokt i att avstå att ha egna webb- och e-postservrar, utan istället köpa dessa i form av tjänster från operatörer, webbhotell eller andra konsultföretag. KATASTROFPLAN KATASTROFPLAN Sätt samman en krisgrupp som består av representanter från företagets olika avdelningar, ekonomi, personal, ledning, IT, information/pr (samma arbetsgrupp som för säkerhetspolicyn, se sid 33). Upprätta ett mål med planen. Är målet att skydda viss information eller andra tillgångar? Är det att upprätthålla vissa affärsprocesser? Målet hjälper IT-avdelningen att skapa en strategisk plan för vilka resurser som först ska skyddas. Gör en fullständig inventering av de IT-verktyg, resurser och arbetsuppgifter som behövs för att upprätthålla affärsverksamheten och upprätthålla de kritiska funktionerna som står i den strategiska planen. Gör en riskanalys. Utvärdera vilken finansiell, teknisk, juridisk och operationell skada som en säkerhetsincident skulle kunna innebära. Riskanalysen bör innehålla potentiell skada för kunder och företaget. Analysera också specifika säkerhetshot och vilken skada de kan åsamka olika avdelningar. Ta fram en handlingsplan. Gå igenom scenarier med olika säkerhetshot och vilken effekt de skulle ha. För varje scenario, gå igenom vem som skulle vara inblandad, ansvar, eventuella kostnader etc. Plan B. Även den bästa katastrofplan har sina brister. Försök att hitta bristerna och ta fram alternativa lösningar. Kommunicera planen. Planen är bara effektiv om de anställda känner till och förstår, både planen och sin roll i den. 35

36 HANDLINGSPLANEN Katastrofplanen kommer att variera beroende på vilken typ av säkerhetsincident det gäller. En virusattack kan exempelvis påverka företagets verksamhet annorlunda än en DoS-attack. Eftersom det finns många olika säkerhetshot bör planen vara flexibel. Alla planer bör dock ta med följande: Förlust av data/information. Kan exempelvis orsakas av strömavbrott, virus, hackare. Förbered genom att säkerhetskopiera informationen på system och nätverk. Se till att det finns en policy för vem som ansvarar för säkerhetskopieringen, vilken typ av media som används, hur ofta den ska göras. Hårdvarubackup. Företag som har egna servrar kan behöva backup-servrar om något skulle hända med den primära servern. Ett reservkraftsaggregat, en UPS, är en viktig komponent av en katastrofplan. Tjänsteleverantörer och partners. Säkerhet bör vara en viktig komponent i varje kontrakt med leverantörer och partners, speciellt om man delar information genom ett extranät eller har en VPN-koppling mellan företagen. IT bör utvärdera hur en säkerhetsbrist i en partners/ leverantörs nätverk påverkar företaget. IT-resurser. Om en säkerhetsincident inträffar, kan IT behöva ta in extrapersonal. Se till att identifiera konsulter som kan kallas in i förväg. Press. Hur bemöter man frågor från journalister? Vem ska uttala sig? Ta fram en strategi. Budget. En incident kan kräva utgifter utöver den vanliga budgeten. Klargör vem som avgör om en situation är en katastrof, och därmed kan ge tillstånd för att utnyttja den avsatta fonden. 36

37 Allt fler av de vanliga IT-systemen kan hyras. Leverantörerna på denna nya tjänstemarknad brukar kallas ASP (Application Service Providers). De erbjuder ett brett spektrum av tjänster för bland annat ekonomistyrning, kundvård, löner, med mera. Utbilda medarbetarna Många säkerhetsproblem bottnar i slarv, okunskap eller andra varianter på den mänskliga faktorn. Och säkerhetspolicyn, oavsett hur välformulerad och heltäckande den är, fungerar i praktiken bara om den också är känd av och kan efterlevas av dem som den angår. Det är klokt att dela upp utbildningen i en generell del, som tar upp frågor som angår alla, samt en del som mer specifikt lär ut hur medarbetarna utnyttjar de hjälpmedel för säkerhet som finns på plats. Här krävs speciella insatser för dem som ska kunna ta ett administrativt ansvar, för exempelvis användarrättigheter, drift av brandväggar och backup-hantering, med mera. Att genomföra utbildningen helt internt i form av ett seminarium eller en klassrumskurs understryker vikten av säkerhetsfrågorna. Då bygger man upp ett säkerhetsmedvetande som utgår från, och även förstärker medarbetarnas lojalitet. Sprid gärna utbildningsinsatserna över tiden. Det markerar att företaget bedriver ett kontinuerligt säkerhetsarbete och att medvetandet bland de anställda är lika viktigt om ett år som nästa vecka. Förändringar i system och er verksamhet kan också ge skäl till nya utbildningsinsatser, samt givetvis om ny personal kommer in. UTBILDNING AV MEDARBETARNA Kom ihåg att berätta varför, inte bara hur. Genom att förklara ett problem och ge en lösning blir det lättare för användarna att ta till sig informationen. Upprepa utbildningen vid flera tillfällen. Förklara viktiga punkter och varför just de är viktiga. Gör en checklista över de viktigaste punkterna i säkerhetspolicyn och sätt upp på strategiska ställen (kaffeautomaten, hissen etc.). Gör ett referenskort till alla anställda som de kan ha tillgängligt på skrivbordet. Se till att ha IT-säkerhetspolicyn tillgänglig för alla. 37

38 38

39 Skydd mot förlust av data UPS och reservkraft UPS (Uninterrupted Power Supply) brukar översättas med avbrottsfri kraft. Åtminstone alla system med server bör ha UPS. Det skyddar system och data från att skadas i händelse av ett strömavbrott. I aggregatet finns batterier som tar över och förser servern med ström. Ett enkelt UPS-aggregat dimensioneras för att klara högst 30 minuter, tillräckligt lång tid för att systemet ska kunna stängas av under kontrollerade former. Vill man klara längre strömavbrott krävs ett större aggregat. En UPS-enhet ska inte förväxlas med ett reservkraftaggregat som kan driva datorerna kontinuerligt vid ett strömavbrott. För det krävs ett minikraftverk som brukar drivas med dieselgeneratorer, en mycket mer kostsam lösning som endast stora datacentraler brukar ha tillgång till. Ett UPSaggregat är överkomligt för de flesta, med priser från ett par tusen kronor. Rutiner för backup Tekniken är sällan särskilt viktig för en bra backuplösning. Prestanda blir en faktor att räkna med bara om man har extremt höga krav på tillgänglighet eller ovanligt stora datavolymer i förhållande till företagets storlek. Det väsentliga är att skaffa sig bra rutiner för backup. Man kan välja mellan att göra en fullständig säkerhetskopia (med både program och data) eller bara kopiera datafiler. Fördelen med att göra en fullständig säkerhetskopia är att man snabbt kommer på fötter efter en incident, och att man behåller de inställningar man gjort i programmen sedan de installerades. 39

40 Andel av mindre företag som har olika säkerhetslösningar Virusskydd: 97% Brandvägg: 68% Accesskontroll: 36% Intrångsdetektering: 30% Kryptering: 29% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Det är en enkel uppgift att sköta det dagliga bytet av band och att kontrollera loggen för kopieringen, för att se att processen fungerar normalt. Ansvaret för backup-rutinerna behöver därför inte ligga på den övergripande IT-ansvarige eller en specialist. Kom dock ihåg att regelbundet testa att det går att återskapa innehållet från säkerhetskopian. Säkerhetskopiering Backup, eller säkerhetskopiering, är den grundläggande åtgärden för informationssäkerhet. Backup är ganska enkelt att ordna och medför inga avskräckande kostnader. En nätverksserver har alltid plats för en backupenhet dit data kan kopieras, dels från serverns hårddisk, dels från användarnas SÄKERHETSKOPIERING Utse en ansvarig för säkerhetskopieringen. Alla viktiga data som förändras ska säkerhetskopieras dagligen. Gör backup både på servrar och användarnas hårddiskar. Testa regelbundet att det går att återskapa informationen från säkerhetskopian. Se till att ha en image -kopia (en fullständig kopia av innehållet) av alla hårddiskar tillgängliga. Det gör det mycket enklare att återskapa innehållet och komma igång efter ett datorhaveri eller stöld. En image -kopia spar dessutom alla inställningar som du gjort i operativsystemet efter installation. 40

41 datorer via det lokala nätverket. Som backupenhet är det vanligast att använda en bandstation med kassetter. Idag är band av typ DLT (Digital Linear Tape) och DAT (Digital Audio Tape) vanligast. DLT är den bästa tekniken. För större behov finns bandrobotar med plats för flera kassetter som växlas automatiskt. I den nedre änden av backupskalan finns vanliga CD-ROMskivor. Även ganska enkla persondatorer utrustas numera med inbyggd brännare för CD-ROM- eller DVD-skivor, och de fungerar utmärkt för att säkerhetskopiera personliga data och ibland också för det mindre företaget. Man ska dock komma ihåg att hembrända CD-skivor är ganska känsliga. Till skillnad från inspelade skivor man köper har de inget skyddande lack på inspelningsytan. Det kan räcka med vanligt kranvatten för att ytan ska förstöras. 41

42 42

43 Skydd mot intrång och fientlig programvara Brandvägg En god regel är att alla anslutningar mot Internet behöver skyddas av en brandvägg. En brandvägg krävs till exempel om man har ett företagsinternt nätverk som ansluts mot Internet, eller mot ett annat externt nätverk som du inte kontrollerar. Däremot krävs vanligtvis ingen brandvägg inom ett företagsnät som enbart är uppbyggt av fasta förbindelser mellan olika enheter, även om ett sådant nät utnyttjar samma kommunikationsteknik som Internet. Det är alltid viktigt att brandväggen sätts upp på rätt sätt. En brandvägg gör det möjligt att kontrollera och reglera vilken datatrafik som får lov att utväxlas mellan två nätverk, eller mellan en enskild användare och ett externt nätverk. Det normala i ett företag är att brandväggen placeras mellan kontorets lokala nätverk och anslutningen mot Internet. Brandväggens viktigaste uppgift är att skydda företaget mot externa hot som intrång från hackare, men den kan också utnyttjas för att begränsa hur medarbetarna och deras datorer kan kommunicera utåt. Kom dessutom ihåg att mobila användare, personer som jobbar hemifrån eller kanske kopplar upp sig mot Internet från ett hotell behöver en mjukvarubrandvägg på sin dator, eftersom företagets nätverks brandvägg inte skyddar utanför nätverket. Begreppet port är nära förknippat med brandväggar. Här är det viktigt att skilja mellan de fysiska portarna till exempel anslutningarna för en nätverkskabel eller en skrivarkabel och de virtuella portarna. En virtuell port kan liknas Visste du att 27 procent av de små och medelstora företagen i Sverige uppgav 2003 att de någon gång förlorat information eller haft driftsstopp på grund av intrång eller virusangrepp. I 78 procent av dessa fall blev följden att systemen låg nere, de flesta i mer än 4 timmar. 43

44 Visste du att Masken W32.Blaster infekterar endast datorer med Windows 2000 och XP. Masken Welchia försöker skydda system mot Blaster genom att ladda ner en patch från Microsoft. Men den öppnar också en bakdörr på den infekterade datorn. Welchia orsakar överbelastningsattacker hos många företag. vid en kanal i nätverket som reserveras för en viss typ av trafik. Varje dator har virtuella portar. Man skulle kunna likna datorn med en telefonväxel där varje slags trafik har sin anknytning. Som exempel används port 80 webbtrafik, portarna 25 och 110 används till e-post, på port 21 startar filöverföring och så vidare. Det är brandväggens roll att stänga alla portar som inte behövs. Den håller reda på portarna och bestämmer vilka som ska vara öppna. Med hjälp av olika regler kan trafiken filtreras och förhindra att otillåten trafik kommer in. Brandväggen märker om någon utomstående försöker ansluta sig till en öppen port eller försöker öppna en redan stängd port och varnar den säkerhetsansvarige om det är något som verkar onormalt. Hård- och mjukvarubaserade brandväggar Brandväggen kan vara antingen hårdvarubaserad eller mjukvarubaserad. Det vanligaste är en mjukvarubaserad brandvägg som installeras och körs på en vanlig dator som avsatts för detta ändamål. Inga andra program ska köras på denna dator. Då ökar riskerna för intrång dramatiskt. En hårdvarubaserad brandvägg är en fristående enhet som levereras mer eller mindre körklar. För hemanvändare med bredbandsanslutning finns exempelvis kombinerade brandväggar och kabelmodem. Det finns idag också brandväggar med en rad ytterligare funktioner integrerade i en enda enhet, som intrångsdetektering, innehållsfiltrering, virtuella privata nät och virusskydd. Exempel på en denna typ av integrerad brandvägg är Symantec Gateway Security. På enskilda datorer bör personliga brandväggar (i företagsmiljö även kallat distribuerade brandväggar) användas. Personliga brandväggar körs på en vanlig användardator som 44

45 också kan köra andra program parallellt. Den arbetar på ett annorlunda sätt och ska inte förväxlas med den gemensamma brandvägg som skyddar hela det lokala nätverket. Ett exempel är Norton Personal Firewall, som dessutom ingår i Symantecs Internet-säkerhetsprogramvara Norton Internet Security. En personlig brandvägg behövs då man ansluter datorn mot Internet utanför kontorets nätverk, eftersom man då inte längre skyddas av företagets nätverksbrandvägg. Principer för brandväggar Den enklaste formen av brandvägg arbetar med paketfiltrering. Data som skickas över ett nät delas upp i många små delar som kallas paket. Varje paket inleds med information, ett så kallat pakethuvud, som nätverket behöver för att transportera det. En brandvägg som arbetar med filtrering på paketnivå granskar endast informationen i datapaketets huvud för att reglera tillgången till nätet. Detta är tyvärr inte en så säker metod, men har nyttjats under många år då den har medgett höga överföringshastigheter. En annan viktig brandväggsfunktion är översättning av nätverksadresser, NAT (Network Address Translation). För att ge användarna som sitter bakom brandväggen i kontorets lokala nätverk möjlighet att kommunicera med Internet, tilldelas de en extern (publik) Internet-adress. De använder annars helt andra nätadresser sinsemellan innanför brandväggen. Översättningen medför att hela det lokala nätverket gömmer sig bakom en enda adress, den som tilldelas av brandväggen. Alla användarna i det lokala nätverket uppträder då för andra system på Internet som om de kör på samma dator. NAT är dock bara en del av en komplett brandvägg och ger inte på egen hand någon tillfredsställande säkerhet. Visste du att 33 procent av företagen med anställda använder ett intranät, medan hela 95 procent av företagen med 500 eller fler anställda gör det. 45

46 Utvecklingen går mot mer avancerade brandväggar som granskar applikationer, så kallade proxybrandväggar. Begreppet proxy kan i det här sammanhanget översättas med ersättare. En proxy är en dator eller ett program som tar över uppgifterna från en annan maskin. En proxybrandvägg tar över kommunikationen med Internet åt alla datorer som är anslutna dit, så att användarna inte kan kommunicera direkt med nätet, utan enbart via en proxy. Vilken brandvägg man än använder sig av är det viktigt att man kollar de loggar som den genererar. Eftersom detta kräver en hel del kunskap är det vanligt att detta läggs ut på specialister. Det bästa är att låta övervaka brandväggen kontinuerligt, precis som när ett larmföretag övervakar inbrottslarmet. Antivirus Att skaffa ett antivirusprogram är ofta den allra första säkerhetsåtgärden både för hemanvändare och företag. Virusskydd ska finnas vid Internet-anslutningen, på alla servrar och alla enskilda datorer. En viktig egenskap hos antivirusprogrammet är att det måste kunna anpassa sig till en hotbild som ständigt förändras. Varje dag uppträder nya hot som maskar, trojanska hästar och virus på Internet. Även om ett modernt antivirusskydd ofta kan avslöja nya hot direkt, så minskar risken för smitta om antivirusprogrammet kan jämföra ett misstänkt hot med en så kallad definition, ett slags digitalt fingeravtryck som tas fram av leverantörerna för varje nytt hot som upptäcks. Nya signaturer och annan information som hjälper till att stoppa nya hot kan automatiskt hämtas till antivirusprogrammet via Internet så att användarens skydd uppdateras. Det upptäcks mer än 100 nya hot varje vecka. För ett fullgott skydd måste därför virusdefinitionerna uppdateras med 46

47 täta mellanrum, helst en gång per dag. Dessutom är det lämpligt att schemalägga fullständiga genomsökningar av systemet, helst en gång i veckan. Intrångsdetektering Ett intrångsdetekteringssystem (IDS) övervakar och analyserar nätverkstrafiken för att upptäcka om en inkräktare har brutit sig in i systemet eller om det missbrukas av användare inom den egna organisationen. Intrångsdetekteringssystemet tar vid där brandväggen slutar och granskar trafiken i ett större sammanhang. Ett exempel är om ett stort antal anslutningsförsök görs mot olika virtuella portar på en maskin. Detta är tecken på att en portscanning pågår, ett klassiskt sätt att kartlägga ett okänt system. Här upptäcker intrångsdetekteringssystemet tidigt vad som pågår och kan varna de ansvariga. Ett intrångsdetekteringssystem kan antingen köras som ett program på den maskin som ska skyddas (värdbaserat IDS) eller på en fristående enhet som övervakar all nätverkstrafik (nätverksbaserat IDS). Inget hindrar att man utnyttjar båda varianterna parallellt, men vanligast är att man använder ett nätverksbaserat IDS. Den vanligaste typen av intrångsdetektering bygger på att systemet kan känna igen och förutse angrepp. Den andra vanliga grundprincipen är statistisk intrångsdetektering som skiljer mellan normal och onormal trafik och larmar när trafiken avviker från ett visst mönster. Precis som för brandväggar måste system för intrångsdetektering övervakas och deras loggar analyseras, annars gör systemen ingen nytta. För att kunna upptäcka verkliga och farliga intrång måste man också analysera mängder av falska tillbud. På samma sätt som med brandväggar kan det därför vara klokt att lämna denna uppgift till en specialist Visste du att Sobig är en masspostande nätverksmask som skickar sig själv till alla e-postadresser den hittar i vissa filer. Sobig släpper också ut konfidentiell information, och stjäl i vissa fall systeminformation som exempelvis lösenord. Sobig stänger av sig själv efter en viss tid. 47

48 som också sköter intrångsdetekteringssystem dygnet runt. Den allra bästa säkerheten får man om man både bevakar brandväggar och IDS:er, och jämför informationen från de bägge säkerhetssystemen. Ett problem med intrångsdetekteringssystem är att de larmar om allt som händer i nätverket om de inte konfigureras ordentligt. Det är därför väl använd tid att noggrant konfigurera intrångsdetekteringen för att undvika falsklarm! Användar-ID och accesskontroll Precis på samma sätt som man behöver hålla koll på vem som får lov att komma in i företagets lokaler, vill man naturligtvis ha kontroll över vem som är inne i datasystemen och att obehöriga inte kommer in. Alla datorsystem på vanliga kontor har inbyggda funktioner för att kontrollera tillgången till program och data. Användarna tilldelas identiteter och lösenord som måste anges för att komma åt innehållet på servrar, nättjänster eller för att kunna köra ett visst program. Vanliga operativsystem som Windows och Unix ger stora möjligheter att styra vem som ska ha tillgång till vad. Och det ingår i IT-administratörens jobb att tilldela dessa rättigheter. Redan i detta arbete finns mycket man kan göra för att höja säkerhetsnivån inledningsvis bör man inte utgå från att alla användare ska ha samma rättigheter, utan dessa tilldelas efter de behov deras arbetsuppgifter kräver. Man måste vara medveten både om att sådana möjligheter finns och att det också kräver en del arbete att utnyttja dem. De flesta företag och myndigheter nöjer sig med de möjligheter till accesskontroll som erbjuds som standard av den IT-plattform man valt. Men framför allt i större företag och på kontor där datorerna står i offentliga miljöer förstärks de 48

49 med ett fristående system för användaridentifiering. Sådana lösningar utnyttjar ofta smarta kort som många gånger också kan fungera som personliga ID- och passerkort för medarbetarna. Varje datorarbetsplats utrustas då med en kortläsare och datorn kan bara användas om ett ID-kort finns i läsaren och användaren angivit den kod som finns knuten till kortet. I systemet ingår även ett centralt program där varje användares identiteter, lösenord och rättigheter till olika system finns upplagda. För användarna är ett separat system för accesskontroll en praktisk lösning eftersom de slipper hålla reda på många olika användaridentiteter och lösenord anslutningen kan göras automatiskt till alla de tjänster som användaren har rättigheter till. Kryptering Det kanske viktigaste skälet att utnyttja kryptering är att det ger stöldskydd för information. Borttappade och stulna datorer kommer sällan tillbaka, men värdefull information går inte förlorad när tjuven inte kan komma åt den. Kryptering är ett klassiskt sätt att skydda känsliga uppgifter så att bara den som är behörig kan få tillgång till dem i klartext. Genom datorernas intåg har det blivit enklare att kryptera, men de har samtidigt gjort det oerhört mycket lättare att också knäcka krypton. I de flesta datorsystem och nätverk används därför kryptering sparsamt. Som standard brukar lösenord lagras i krypterad form, men just inte mer. Skälen är främst ekonomiska. Dels kostar själva tekniken för kryptering, dels kräver det mycket administration. Uppstår problem med krypteringsprogrammet kan det betyda att data och arbetstid går förlorat. Att utnyttja kryptering mer genomgående var länge i praktiken ogenomförbart för de allra flesta företag, utan förekom 49

50 bara i militära sammanhang, på banker och finansinstitut och inom andra organisationer med motsvarande krav på sekretess. Men kryptering är en fullt realistisk möjlighet. Det finns exempelvis program som kontinuerligt kan kryptera hela hårddiskens innehåll på en persondator till förhållandevis låg kostnad. Kryptering av e-post är också en vanlig åtgärd som kan genomföras med lätt tillgängliga och relativt lättanvända verktyg. Antivirusprogram och krypteringsprogram kan ha svårt att arbeta tillsammans eftersom de ofta måste komma åt samma datorresurser. Blir krypteringsprogrammet virussmittat kan det i princip vara omöjligt att rensa programmet. Digitala signaturer Visste du att Varje vecka upptäcks över 100 nya virus och ett sjuttiotal nya säkerhetsluckor i mjukvaror. En speciell form av kryptering är digitala signaturer som används vid e-handel och affärstransaktioner på Internet. En digital signatur fyller samma funktion som en vanlig namnunderskrift. En digital signatur i ett e-postmeddelande ger garanti för att det är skrivet och skickat av den person som står som avsändare, och att meddelandet inte har utsatts för påverkan eller skadats under överföringen. Genom att använda Public Key Infrastructure (PKI) med en privat krypteringsnyckel och en offentlig, kan digitala signaturer användas även för att kryptera och signera exempelvis e-post som sänds mellan användare som aldrig tidigare haft kontakt med varandra. Digitala signaturer har kommit till bred användning i Sverige genom bankernas Internet-tjänster. Från början har varje bank använt sin egen lösning, men nu pågår en övergång till BankID-standarden, som alla landets stora banker står bakom. Även de nya möjligheterna att deklarera via nätet som erbjuds av Riksskatteverket utnyttjar digitala signaturer. 50

51 Lösenord De flesta datoranvändare behöver flera lösenord ett för e-post, ett för ekonomisystemet, ett för att logga in på datorn, och så vidare. Många människor har ett dussintal lösenord, och att hålla reda på alla användarnamn och lösenord kan bli ett problem. Utmaningen i att skapa ett starkt, hackar-säkert lösenord är att göra lösenordet så svårt som möjligt att gissa, utan att det blir omöjligt att komma ihåg. Undvik sårbara lösenord När du har skapat ett starkt lösenord, se till att hålla det så säkert som möjligt. E-posta aldrig ett lösenord till någon och uppge det aldrig till någon som frågar, även om personen arbetar på företaget. Den som är IT-ansvarig bör redan ha tillgång till dina system. Använd aldrig ett lösenord som du använder inne på företagets system när du ska skriva in lösenord på Internet. Att byta tillbaka till ett gammalt lösenord ökar bara risken för att du själv råkar illa ut. Använd inte namn eller nummer som kan sammankopplas med dig, som födelsedatum, smeknamn, telefonnummer eller adresser. LÖSENORD Ett starkt lösenord... består av en kombination av små och stora bokstäver, siffror och symboler (ett S kan bytas mot tecknet $, ett O mot en nolla etc.). är minst åtta tecken långt. Ju fler tecken ett lösenord innehåller, desto svårare är det att lista ut eller knäcka med hjälp av hackarprogram. är lätt att komma ihåg och ska aldrig skrivas ner. ska bytas regelbundet. används bara för en tjänst eller system. Skapa olika lösenord för varje konto eller användaridentitet. Använd inte ditt användarnamn som lösenord, i någon form. Använd inte ditt eget namn, en familjemedlems eller husdjurs namn. Använd inte ordet lösenord (eller för den delen password...). 51

52 Tips för att komma ihåg lösenord Lösenord bör alltid memoreras, aldrig skrivas ned. Bilda en förkortning genom att välja en refräng från en sång, och använd den första bokstaven i varje ord. Välj två korta ord som inte har något med varandra att göra, och kombinera dem med symboler eller siffror, till exempel mossa9bord eller snabb!matta. Använd en vanlig fras, men byt ut nollor mot o, ettor mot i etc. Använd stora och små bokstäver i kombination med siffror och symboler. Hjälpmedel för lösenordslagring Om det blir för svårt att hålla alla lösenord i huvudet finns det hjälpmedel för att hantera dem på ett säkert sätt: Programvara. Med ett hjälpprogram kan du lagra alla dina användaridentiteter och lösenord och sedan få tillgång till dem alla genom endast ett lösenord som du behöver memorera. Ett sådant verktyg är Norton Password Manager från Symantec. Hårdvarubaserade system för accesskontroll. I större företag och myndigheter är det vanligt med system för accesskontroll som utnyttjar smarta kort för att identifiera användarna. Webbtjänster för lösenordslagring. Det finns rikligt med tjänster tillgängliga på Internet som ger dig tillgång till dina sparade användarnamn och lösenord. Många erbjuder också 128-bitars kryptering. Begränsningen är att tjänsterna enbart kan användas för att logga in på webbplatser och system med webbläsargränssnitt. 52

53 SÄKERHETSRÅD TILL KONTORETS DATAANVÄNDARE Använd starka lösenord. Uppge aldrig ditt lösenord. Ett starkt lösenord består av minst åtta tecken, med bokstäver, siffror och symboler blandat. Använd inte ord som är lätta att gissa. Använd virusskydd. Koppla aldrig ur det virusskydd som finns installerat på din dator. Lämna inte din dator inloggad när den inte används. Stäng av datorn när du avslutar arbetsdagen. Öppna inte oväntad eller misstänkt e-post. I synnerhet inte bifogade filer till misstänkta meddelanden. Skicka aldrig vidare virusvarningar och kedjebrev som kommer med e-post. Virusvarningar är oftast falska och känns igen på att de uppmanar mottagaren att skicka meddelandet vidare till alla bekanta. Gör aktiva val av säkerhetsinställningar i webbläsaren. Koppla inte permanent ur säkerhetskontroller bara för att enskilda webbplatser kräver det för att fungera. Lämna inte ut personlig information på osäkra Internet-sidor. Var uppmärksam på att uppge personliga och känsliga uppgifter. Lämna endast ut känslig information på säkra webbsidor (markerat med hänglås eller nyckel i webbläsarfönstret). Kontrollera att backup tas på dina viktiga filer. Meddela systemansvariga om du märker att den automatiska processen inte fungerar normalt. Var rädd om din bärbara dator. Lämna den inte obevakad på offentlig plats, synlig i bilen, eller på andra sätt där den är lätt åtkomlig för tjuvar. Kom ihåg att uppdatera mjukvaran på din dator. Det är vikigt att komma ihåg att mjukvara är en typ av färskvara. Om leverantören upptäcker en säkerhetsbrist i programvaran tillverkas en patch, som när den installeras täpper till hålet. Idag har många programvaror automatisk sökning efter nya uppdateringar, se till att den är påkopplad. 53

54 Virtuella privata nät (VPN) Visste du att I januari 2004 beräknade Brightmail att 60 procent av all Internet-e-post var skräppost, eller spam. Mest frekvent var erbjudanden om produkter, tätt följt av finansiella erbjudanden och pornografi. Ett Virtuellt Privat Nät (VPN) innebär att ett publikt nät som Internet kan utnyttjas för att bygga ett privat nät för företaget. Tack vare att VPN-tekniken bygger på kryptering kan det ske på ett säkert sätt, så att den privata trafiken effektivt skiljs åt från andra parter som delar samma infrastruktur. VPN var från början mest en lösning för större företag, med stora trafikvolymer och egen personal för administration. Idag erbjuder dock många operatörer VPN-tjänster som även vänder sig till mindre företag. Ett företag med två kontor på skilda platser kan till exempel välja en VPN-lösning för att knyta samman de lokala nätverken på respektive kontor istället för att hyra fasta ledningar mellan kontoren. Trafiken går då över Internet i en säker tunnel. Genom att överlåta övervakningen på operatören kan det också administrativt vara en praktisk lösning. Ett virtuellt privat nät fungerar också som en säker lösning för medarbetare som behöver koppla upp sig till kontorets lokala nätverk från hemarbetsplatsen eller ute på resa. 54

55 55

56 SÅRBARHETSANALYS Det är viktigt att börja med att ta reda på hur djupt man vill gå med analysen, och vad man ska använda resultatet till. Vill man veta om det finns sårbarheter i systemen, eller om man kan ta sig in i de kritiska systemen, eller behövs en total säkerhetsrapport? Därefter är det dags att välja metod. För att kontrollera om det finns sårbara system i nätverket kan det räcka att göra en sårbarhetsanalys med hjälp av en programvara. Vill man veta om det går att ta sig in i företagets kritiska servrar kan man anlita en konsult för att göra ett penetrationstest. Vill man göra en total genomgång av säkerheten för att certifiera företaget enligt en säkerhetsstandard, exempelvis ISO , bör man ta hjälp av en konsult som hjälper till att lägga upp riktlinjer och plan för certifieringen. Ta reda på om kunskapen att genomföra analysen finns internt eller om det behövs extern hjälp. Sätt upp en plan för hur analysen ska genomföras, vem som ansvarar och vem som sköter efterarbetet. Efter att ha genomfört analysen, se till att gå igenom resultatet noggrant och förbättra de svaga områden som lokaliserats. 56

57 Sårbarhetsanalys Ett företag ska inte nöja sig med att bara installera ett antal säkerhetsprodukter, utan måste också få ett tydligt kvitto på att de har ett gott skydd. Detta gör man bäst genom en sårbarhetsanalys. Vid en komplett sårbarhetsanalys kontrolleras alla tänkbara inställningar för åtkomst till system, data och resurser, samt konfigureringar som kan leda till problem. Många företag gör sårbarhetsanalyser i form av ett sökverktyg som kan se in på djupet i ett nätverk och avslöja svaga punkter. Sökverktyget kan till exempel testa nätverkets känslighet för kända sårbarheter i operativsystem, applikationer och lösenord. Det kan också utnyttja avancerade spårningsmetoder som försöker efterlikna de steg som en inkräktare går igenom för att upptäcka och utnyttja en sårbarhet i nätverket. Man kan också välja att göra ett så kallat penetrationstest där man väljer ut delar av nätverket, simulerar ett intrångsförsök och på så sätt visar om det är möjligt att ta sig in i systemen. SÅRBARHETSTEST MED MJUKVARA Ett verktyg som används för sårbarhetsanalys ska klara av följande uppgifter: Testa hela nätverket med avseende på säkerhetshål och ge råd för hur de ska täppas till. Söka genom flera operativsystem, bl a Unix, Linux, Windows och NetWare. Hålla sig uppdaterad på de senaste säkerhetsvarningarna. Presentera sökningens resultat grafiskt och avslöja källor och orsaker till sårbarheter. Producera rapporter som kan anpassas för olika målgrupper. 57

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen Surfa säkrare Goda råd om säkerhet på Internet Information från Post- och telestyrelsen Goda råd för att surfa säkrare Stäng av datorn när den inte används Riskerna du utsätter dig för på Internet är beroende

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

2006 UPPHOVSRÄTTS- OCH SÄKERHETSGUIDE FÖR FÖRETAG

2006 UPPHOVSRÄTTS- OCH SÄKERHETSGUIDE FÖR FÖRETAG 2006 UPPHOVSRÄTTS- OCH SÄKERHETSGUIDE FÖR FÖRETAG 25% 02 De ansvariga på ett företag tar stora risker om det finns musik, film eller annat upphovsskyddat material på företagets servrar eller datorer utan

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Innehåll F-Secure Anti-Virus for Mac 2015 Innehåll Kapitel 1: Komma igång...3 1.1 Hantera prenumeration...4 1.2 Så här kontrollerar du att datorn är skyddad...4 1.2.1

Läs mer

Novi Net handelsbolag. Produkter och tjänster

Novi Net handelsbolag. Produkter och tjänster Novi Net handelsbolag Produkter och tjänster 25 november 2008 Sammanfattning Dokumentet innehåller prisuppgifter och information om tjänster och produkter levererade av Novi Net handelsbolag. Samtliga

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Skydda företagets information. Symantecs lösningar för mindre företag

Skydda företagets information. Symantecs lösningar för mindre företag Skydda företagets information Symantecs lösningar för mindre företag HELTÄCKANDE FÖRETAGSSKYDD Skadliga koder på Internet kan stänga av datorer, stjäla information och utsätta medarbetare och kunder för

Läs mer

om trådlösa nätverk 1 I Om trådlösa nätverk

om trådlösa nätverk 1 I Om trådlösa nätverk om trådlösa nätverk 1 I Om trådlösa nätverk GRAFISK FORM: Gandini Forma - Karin Gandini FOTO: Pernille Tofte TRYCK: Lenanders Grafiska AB OM TRÅDLÖSA NÄTVERK Trådlösa nätverk blir allt vanligare i hemmen.

Läs mer

Guide till ett bättre wifi på kontoret

Guide till ett bättre wifi på kontoret Guide till ett bättre wifi på kontoret De trådlösa routerna och accesspunkterna är centralt för det moderna trådlösa kontoret. De förser datorer, mobiler, surfplattor och skrivare med trådlös access så

Läs mer

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Till ditt skrivbord som tjänst via Internet

Till ditt skrivbord som tjänst via Internet Till ditt skrivbord som tjänst via Internet UITs koncept är enkelt och kan sammanfattas med Inga burkar. Genom att anlita oss kan du helt enkelt glömma dyra investeringar i servers och programvara. Inte

Läs mer

Regler för användning av Oskarshamns kommuns IT-system

Regler för användning av Oskarshamns kommuns IT-system Regler för användning av Oskarshamns kommuns IT-system Gäller från 2006-01-01 1. Bakgrund Information är en viktig tillgång för vår organisation. All information som har skapats här på kommunen har tagit

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

DATA CIRKEL VÅREN 2014

DATA CIRKEL VÅREN 2014 DATA CIRKEL VÅREN 2014 Ledare: Birger Höglund och Sten Halvarsson Sida:1 av 6 Kursdag 22 januari 2014 Olika kablar: Sten berättade och visade upp olika möjligheter att ansluta kablar till dator och telefoner.

Läs mer

Det finns bättre sätt än att sluta använda Internet.

Det finns bättre sätt än att sluta använda Internet. Bengas datorhörna Det finns bättre sätt än att sluta använda Internet. Riktigt säker kan du aldrig bli, men med lite förståelse för hur Internet fungerar och med ganska enkla medel kan du göra din egen

Läs mer

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual 3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual ,QQHKnOOVI UWHFNQLQJ,QVWDOODWLRQDY931NOLHQW 'DWRUHUVRPLQJnULHQ)DVW7UDFNPLOM $QYlQGDUHPHGNRQWRL9+6RFKGDWRUPHG:LQGRZV;3 $QYlQGDUHPHGNRQWRLDQQDQGRPlQlQ9+6HOOHUGDWRUPHG:LQGRZV

Läs mer

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. Vi har alla ansvar för säkerheten En del av IKEA andan är att Jag gör lite grann, du gör lite grann,

Läs mer

Bordermail instruktionsmanual

Bordermail instruktionsmanual Bordermail instruktionsmanual Du kan själv skapa upp till 4 nya e-postadresser via självadministrationssidorna Du kan läsa och skicka e-post på 2 sätt För att komma till självadministrationssidorna öppna

Läs mer

Kapitel 1: Komma igång...3

Kapitel 1: Komma igång...3 F-Secure Anti-Virus for Mac 2014 Innehåll 2 Innehåll Kapitel 1: Komma igång...3 1.1 Vad gör jag efter installationen...4 1.1.1 Hantera prenumeration...4 1.1.2 Öppna produkten...4 1.2 Så här kontrollerar

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Kom i gång med trådlösa

Kom i gång med trådlösa 1 Kom i gång med trådlösa nätverk Lite historia För ganska många år sedan började man att koppla samman datorer i ett nätverk med kablar. Detta gör man fortfarande, och kommer även att göra i framtiden.

Läs mer

Norton 360 Online Användarhandbok

Norton 360 Online Användarhandbok Användarhandbok Norton 360 Online Användarhandbok Dokumentation version 1,0 2007 Symantec Corporation. Med ensamrätt. Den licensierade programvaran och dokumentationen betraktas som kommersiell programvara

Läs mer

E-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB

E-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB E-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB Författare: Stefan Sjödin Datum: 2002-05-12 Granskare: Jan Blomqvist Granskningsdatum: 2002-05-14 Adress: Azenna Advox AB Esplanaden

Läs mer

UPPHOVSRÄTTS OCH SÄKERHETSGUIDE för akademiska institutioner

UPPHOVSRÄTTS OCH SÄKERHETSGUIDE för akademiska institutioner UPPHOVSRÄTTS OCH SÄKERHETSGUIDE för akademiska institutioner INTRODUKTION De som skapar musik, räknar liksom de som arbetar inom den akademiska sektorn, med en rättvis belöning för sin kreativitet, tid

Läs mer

del 12 SKYDDA DIN DATOR

del 12 SKYDDA DIN DATOR del SKYDDA DIN DATOR När du ansluter datorn till Internet får till tillgång till en helt ny värld, full av äventyr och information som du och din familj kan ta del av. Tråkigt nog öppnar du också upp mot

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

SkeKraft Bredband Installationsguide

SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide Innan du startar installationen av SkeKraft Bredband bör du kontrollera om din dator har ett nätverkskort installerat. OBS! Har

Läs mer

MEG. Bredband utan begränsningar. phone 0:- Välkommen till ViaEuropa!

MEG. Bredband utan begränsningar. phone 0:- Välkommen till ViaEuropa! Bäst på bredband! Bredband utan begränsningar Internet har utvecklats explosionsartat under det senaste decenniet. 80 procent av alla hushåll har någon form av uppkoppling till Internet idag och det blir

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

IT-säkerhetsinstruktion för användare

IT-säkerhetsinstruktion för användare Utgivare: Kommunledningsenheten Gäller från: 1 januari 2007 Antagen: KF 246/2006 STYRDOKUMENT IT-säkerhetsinstruktion för användare 1 Inledning Ronneby kommuns IT-policy 1, Policy för IT-säkerhet i Ronneby

Läs mer

Installera SoS2000. Kapitel 2 Installation Innehåll

Installera SoS2000. Kapitel 2 Installation Innehåll Kapitel 2 Installation Innehåll INSTALLATION MDAC och ODBC...2 Installera SoS2000 i arbetsplatsen...2 SoS2000 serverprogramvara...2 SoS2000 och övriga Office program...3 Avinstallera SoS2000...3 Brandväggar...3

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Vad finns i paketet. Detta bör finnas i paketet: Ett trådlöst modem, E5 Ett batteri Denna manual samt säkerhetsinformation En USB-kabel En nätadapter

Vad finns i paketet. Detta bör finnas i paketet: Ett trådlöst modem, E5 Ett batteri Denna manual samt säkerhetsinformation En USB-kabel En nätadapter Innehåll Vad finns i paketet. 2 Lär känna ditt modem.. 3 Förbered modemet för användning 5 Starta modemet första gången. 6 Koppla upp en dator via USB.. 8 Koppla upp en eller flera enheter via WiFi.. 9

Läs mer

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget.

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget. Lathund för tipsare Vill du lämna information till media? Läs det här först för att få koll på läget. 1 Först 1.1 Vill du vara anonym? Den journalist eller redaktion du kontaktar är enligt lag skyldig

Läs mer

Rekryteringsmyndighetens interna bestämmelser

Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser om användning av myndighetens IT-utrustning samt IT-tjänster och telefoni RIB 2014:1 beslutade den 9 april 2014.

Läs mer

Användarhandbok. Nero BackItUp. Ahead Software AG

Användarhandbok. Nero BackItUp. Ahead Software AG Användarhandbok Nero BackItUp Ahead Software AG Information om copyright och varumärken Användarhandboken till Nero BackItUp och innehållet i den är skyddat av copyright och tillhör Ahead Software. Alla

Läs mer

Ciscos problemlösarguide. Utnyttja IT fullt ut tio viktiga råd om säkerhet för ditt företag

Ciscos problemlösarguide. Utnyttja IT fullt ut tio viktiga råd om säkerhet för ditt företag Ciscos problemlösarguide Utnyttja IT fullt ut tio viktiga råd om säkerhet för ditt företag 31997_Cisco_SMB Problem Solver_v2.indd 1 5/19/2009 2:28:52 PM Säkerhet en del av allt företagande. Att kunna garantera

Läs mer

Råd& Rön 2003. Eftertryck, helt eller delvis, är förbjudet.

Råd& Rön 2003. Eftertryck, helt eller delvis, är förbjudet. Sidorna i detta pdf-dokument är ett utdrag ur tidningen Råd& Rön nr 3, 2003. Pdf-dokumentet är framtaget för PTS, Post- och telestyrelsen efter godkännande av Råd& Rön. Råd& Rön 2003. Eftertryck, helt

Läs mer

E-POSTINSTÄLLNINGAR I E-POSTPROGRAMMET

E-POSTINSTÄLLNINGAR I E-POSTPROGRAMMET E-POSTINSTÄLLNINGAR I E-POSTPROGRAMMET För att kunna läsa sin e-post i sin dator, utan att logga in i webbmailen, måste man göra ett par inställningar i e-postprogrammet i datorn. Det finns många typer

Läs mer

Internet Security 2013. Snabbstartguide

Internet Security 2013. Snabbstartguide Panda Internet Security 2013 Snabbstartguide Viktigt! På cd-fodralet hittar du Aktiveringskoden som du aktiverar produkten med. Förvara den på ett säkert ställe. Om du köpte produkten på Internet, så har

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Skydd mot stöld av datorutrustning

Skydd mot stöld av datorutrustning November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott

Läs mer

Hemmanätverk. Av Jan Pihlgren. Innehåll

Hemmanätverk. Av Jan Pihlgren. Innehåll Hemmanätverk Av Jan Pihlgren Innehåll Inledning Ansluta till nätverk Inställningar Bilaga 1. Om IP-adresser Bilaga 2. Inställning av router Bilaga 3. Trådlösa inställningar Manuella inställningar Inledning

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning VANLIGA FRÅGOR 1 NÄTVERKSINSTÄLLNINGAR, WINDOWS 2000/XP 2 Hastighet/duplex-inställningar för nätverkskort 3 Inställningar

Läs mer

Toshiba EasyGuard i praktiken:

Toshiba EasyGuard i praktiken: Toshiba EasyGuard i praktiken Toshiba EasyGuard i praktiken: Portégé M300 Superlätt och robust allt-i-ett-produkt. Toshiba EasyGuard innehåller funktioner som är speciellt utformade för att ge ökad datasäkerhet,

Läs mer

Henrik Asp. Allt du behöver veta för att KÖPA DATOR

Henrik Asp. Allt du behöver veta för att KÖPA DATOR Allt du behöver veta för att KÖPA DATOR Henrik Asp DEL 1 KOMPONENTER OCH PROGRAMVARA DEL 3 EFTER KÖPET 1. INTRODUKTION TILL BOKEN... 3 2. DATORNS HISTORIA... 4 A. Pc...5 B. Mac...6 C. HTPC...7 3. DATORNS

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

NYA Panda Platinum Internet Security 2007 Snabbguide Viktigt! Läs avsnittet om onlineregistrering i den här guiden noggrant. Informationen i det här avsnittet är viktig för att skydda din dator. Avinstallera

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2011-10-05 Informationssäkerhetspolicy Informationssäkerhet avser hantering av verksamhetens information. Policyn redovisar mål och regler för informationssäkerhetsarbetet. Med informationssäkerhet avses

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Skydda din dator. En handbok för varje hem. www.tietoturvaopas.fi

Skydda din dator. En handbok för varje hem. www.tietoturvaopas.fi Skydda din dator En handbok för varje hem www.tietoturvaopas.fi Skydda din dator! En oskyddad dator är säker på Internet under cirka en minut. Sedan börjar det hända. Genom Internet och e-post sprids virus,

Läs mer

Allmänna villkor Allmänna användarvillkor för Yobeeda AB, http://www.yobeeda.com Senast ändrade 2014-07-01

Allmänna villkor Allmänna användarvillkor för Yobeeda AB, http://www.yobeeda.com Senast ändrade 2014-07-01 Allmänna villkor Allmänna användarvillkor för Yobeeda AB, http://www.yobeeda.com Senast ändrade 2014-07-01 De allmänna användarvillkoren ("Användarvillkor") finns tillgängliga på webbplatsen http://www.yobeeda.com

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker.

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker. Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker. 2 Hur skapar du det säkra nätverket? IT-säkerhet är en fråga om att bedöma och hantera den risk som företaget utsätts för det som vanligtvis

Läs mer

snabbmanual för installation av bredband och telefoni

snabbmanual för installation av bredband och telefoni snabbmanual för installation av bredband och telefoni Startboxen innehåller följande utrustning Nätverkskablar Modem Strömadapter Testplugg Splitter Antenner Väggfäste Bredbandsbolaget Kundservice: 0770-777

Läs mer

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

Installationsanvisning - Kopplingen mellan GK96 och golf.se - Installationsanvisning - Kopplingen mellan GK96 och golf.se - (Läs hela anvisningen innan du installerar)!denna installationsanvisning innehåller förändringar från tidigare versioner! 1. Programmets syfte...

Läs mer

som finns i skolan. Det hjälp. använder datorn. behandlad.

som finns i skolan. Det hjälp. använder datorn. behandlad. Användarinstruktionn och elevkontrakt för elever på S:t Eskils gymnasium S:t Eskils gymnasium vill ge dig som elev en utvecklande, kreativ och lärorik tid under dina år på gymnasiet. Skolan satsar stora

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Global Protection 2011

Global Protection 2011 Global Protection 2011 Snabbguide Viktigt! På CD-fodralet finns den aktiveringskod som du behöver för att aktivera produkten. Förvara den på ett säkert ställe. Den här produkten får endast användas om

Läs mer

Manual för Aktiv Ungdoms e-post (Zimbra)

Manual för Aktiv Ungdoms e-post (Zimbra) Manual för Aktiv Ungdoms e-post (Zimbra) fr.o.m 10 juni 2011 Introduktion... 2 Inloggning... 2 E-post... 3 Samla e-posten i konversationer eller som separata meddelanden... 3 Skicka e-post... 3 Adresslistor...

Läs mer

Guide för att välja fibertjänst

Guide för att välja fibertjänst Guide för att välja fibertjänst Förord Många är vi som i dagarna skall välja nya leverantörer för Internet, TV och telefoni. Sundholmens fiberförening har valt Quadracom som komunikationsopperatör. De

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3 Antagen/Senast ändrad Gäller från Dnr Kf 2004-08-30 88 2004-08-31 2004/273-008 RIKTLINJER FÖR IT-ANVÄNDNING Riktlinjer för IT-användningen i Bromölla

Läs mer

Panda. Antivirus Pro 2013. Snabbstartguide

Panda. Antivirus Pro 2013. Snabbstartguide Panda Antivirus Pro 2013 Snabbstartguide Viktigt! På cd-fodralet hittar du Aktiveringskoden som du aktiverar produkten med. Förvara den på ett säkert ställe. Om du köpte produkten på Internet, så har du

Läs mer

snabbmanual för installation av trådlöst bredband och telefoni

snabbmanual för installation av trådlöst bredband och telefoni snabbmanual för installation av trådlöst bredband och telefoni STARTBOXEN INNEHÅLLER FÖLJANDE UTRUSTNING Modem Två nätverkskablar Strömadapter Splitter Testplugg Bredbandsbolaget Kundservice: 0770-777

Läs mer

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17 Datum Dnr Dpl 2012-09-17 2012/KS0194-1 005 Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17 Bakgrund Information

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift Beslutad av Utgångspunkt Datorer är ett mycket viktigt redskap i Svenska kyrkans verksamhet. Förutom verksamhetens krav på

Läs mer

bredband Bredbandsbolaget Kundservice: 0770-777 000

bredband Bredbandsbolaget Kundservice: 0770-777 000 Snabbmanual för installation av bredband och telefoni Den här guiden visar dig hur du installerarr bredband och telefoni med modemet Zyxel 2812. Startboxen innehåller följande utrustning Bredbandsbolaget

Läs mer

Välj bort om du vill. 96 Internet och e-post. 2. Mail-programmet finns i datorn. 1. Skriv mail i sökrutan. Windows Live Mail i Aktivitetsfältet.

Välj bort om du vill. 96 Internet och e-post. 2. Mail-programmet finns i datorn. 1. Skriv mail i sökrutan. Windows Live Mail i Aktivitetsfältet. Välj bort om du vill Om du är nöjd med att ha din e-post på nätet, kan du lugnt hoppa över detta avsnitt. Har du tid och tycker att det är roligt, kan du testa att använda e-postprogrammet Windows Live

Läs mer

Tekniska system och deras funktion och uppbyggnad.

Tekniska system och deras funktion och uppbyggnad. Tekniska system och deras funktion och uppbyggnad. Ett tekniskt system är oftast beroende av andra delsystem, alltså ett antal mindre tekniska system. T.ex. Datorn består av ett antal olika delsystem,

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Mer information om snabbinstallation finns på baksidan.

Mer information om snabbinstallation finns på baksidan. Användarhandbok Mer information om snabbinstallation finns på baksidan. Vi skyddar fler människor från fler hot på Internet än någon annan i världen. Det är det enda rätta är att bry sig om miljön. Symantec

Läs mer

Kom igång med. Windows 8. www.datautb.se DATAUTB MORIN AB

Kom igång med. Windows 8. www.datautb.se DATAUTB MORIN AB Kom igång med Windows 8 www.datautb.se DATAUTB MORIN AB Innehållsförteckning Grunderna i Windows.... 1 Miljön i Windows 8... 2 Startskärmen... 2 Zooma... 2 Snabbknappar... 3 Sök... 4 Dela... 4 Start...

Läs mer

INNEHÅLLSFÖRTECKNING. 2010-04-29 Handbok infrastruktur. IT-ledning

INNEHÅLLSFÖRTECKNING. 2010-04-29 Handbok infrastruktur. IT-ledning 2010-04-29 IT-ledning INNEHÅLLSFÖRTECKNING 1 Inledning... 2 1.1 IT-infrastruktur vid Göteborgs universitet... 2 1.2 Organisation, regelverk och lagstiftning... 2 1.3 Delegationsordning... 2 2 Telefoni...

Läs mer

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Fastställd av kommunstyrelsen 2012-11-13 Dnr 2012-259 Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Användningen av IT-stöd i vårt dagliga

Läs mer

Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration

Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration itlararen.se Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration Förutom trådbundna nätverk så finns det tekniker som möjliggör trådlös kommunikation Trådlös kommunikation

Läs mer

Datorn från grunden. En enkel introduktion. Innehåll: Inledning 1 Vad är en dator? 2 Datorns olika delar 3 Starta datorn 5 Stänga av datorn 7

Datorn från grunden. En enkel introduktion. Innehåll: Inledning 1 Vad är en dator? 2 Datorns olika delar 3 Starta datorn 5 Stänga av datorn 7 Datorn från grunden En enkel introduktion Innehåll: Inledning 1 Vad är en dator? 2 Datorns olika delar 3 Starta datorn 5 Stänga av datorn 7 2 Inledning Välkommen till Söderköpings bibliotek! Vid detta

Läs mer

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID... Viktig information om internetbankens behörighetssystem, trojaner och virus Den senaste tiden har ett antal svenska bankkunder drabbats av så kallade trojaner i sina datorer. En trojan infekterar datorn

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Användarmanual Elevdator

Användarmanual Elevdator Användarmanual Elevdator UBG Elev-PC Introduktion Innehållsförteckning 1 GENERELL INFORMATION... 2 1.1 Garanti och försäkring... 2 1.2 Innehåll i datorpaket... 2 2 TIPS FÖR ANVÄNDNING AV DIN DATOR... 2

Läs mer

3. Regler för användandet av den personliga datorn

3. Regler för användandet av den personliga datorn Sida 1 av 6 Personlig dator (en till en) till elever i Sollentuna kommunala skolor 1. Bakgrund och syfte Sollentuna kommunala skolor vill skapa goda förutsättningar för en utbildning där modern informations

Läs mer

Du?! Datasäkerhet. Vad menas med datasäkerhet? = skydd mot förlust och oönskad spridning av din lagrade information

Du?! Datasäkerhet. Vad menas med datasäkerhet? = skydd mot förlust och oönskad spridning av din lagrade information Datasäkerhet Vad menas med datasäkerhet? = skydd mot förlust och oönskad spridning av din lagrade information Du?! Vilket är det största hotet mot din datasäkerhet? 1 Dagens 4 ämnen Backup Destruktion

Läs mer

DI-624+ AirPlus G+ trådlös 2.4 GHz router

DI-624+ AirPlus G+ trådlös 2.4 GHz router Denna produkt kan installeras med hjälp av en vanlig webbläsare, t.ex. Internet Explorer 6 eller Netscape Navigator 6.2.3. DI-624+ AirPlus G+ trådlös 2.4 GHz router Innan du börjar 1. Om du har köpt denna

Läs mer

Innehållsförteckning. Skräppost... 19

Innehållsförteckning. Skräppost... 19 Innehållsförteckning 1 Börja arbeta med Outlook... 1 Öppna e-postprogrammet... 1 Skapa nytt meddelande... 2 Skicka ett brev... 3 Öppna och stäng ett meddelande... 3 Markera/avmarkera ett meddelande...

Läs mer