De største fejl virksomheder laver med adgangskoder

Virksomheder undervurderer ofte, hvor afgørende medarbejdernes adfærd er for adgangskodesikkerheden. Mange tror, at avanceret teknologi alene beskytter data, selv om svage og genbrugte adgangskoder fortsat skaber alvorlige sårbarheder. Uden to-faktor autentificering står både små og store virksomheder langt mere åbne for angreb, selv hvis de har investeret massivt i sikkerhedssystemer.

Key takeaways

• Over 80 procent af sikkerhedsbrud stammer fra svage eller stjålne adgangskoder, især når medarbejdere genbruger eller deler kodeord på tværs af systemer.
• Mange virksomheder mangler klare og praktiske procedurer for adgangskodehåndtering, hvilket direkte øger risikoen for brud.
• Deling af adgangskoder via usikre kanaler som e-mail, chat eller papir eksponerer virksomhedens data for øjeblikkelig og unødvendig risiko.
• Ignorering af to-faktor autentificering og fravær af struktureret adgangsstyring svækker markant virksomhedens forsvar mod moderne cyberangreb.
• Manglende løbende uddannelse og træning af medarbejdere øger sandsynligheden for, at ansatte falder for phishing, social engineering og andre målrettede angreb.

Udbredte misforståelser om adgangskodesikkerhed i virksomheder

Mange virksomheder antager fejlagtigt, at avancerede adgangskoder alene beskytter deres data. I virkeligheden opstår de fleste brud, fordi medarbejdere genbruger kodeord eller vælger for svage løsninger. Ifølge Verizon Data Breach Investigations Report skyldes over 80 procent af sikkerhedsbrud svage eller stjålne adgangskoder. Det understreger behovet for både teknologiske og adfærdsbaserede tiltag, da adgangskodesikkerhed ofte fejlagtigt betragtes som et rent teknisk ansvar.

Hvorfor komplekse adgangskoder ikke er nok

Selv med avancerede krav til kodeord ender mange medarbejdere med at skrive deres adgangskoder ned eller bruge de samme adgangskoder flere steder. Denne praksis øger risikoen markant for, at ubudne får adgang. Virksomheder skal ikke blot fokusere på kompleksitet, men også indføre klare procedurer for håndtering, ændring og opbevaring af adgangskoder. Læs mere om nødvendige procedurer i vores vejledning om IT-sikkerhed.

Adfærdens betydning i virksomheden

Det er en udbredt misforståelse, at kun IT-afdelingen bærer ansvaret for sikker adgangskodepraksis. Sikkerhed afhænger i høj grad af medarbejdernes adfærd. Vi anbefaler, at virksomheder investerer i løbende træning og awareness, så alle i organisationen forstår deres rolle. Få inspiration til forbedrede procedurer i webinaret Fra password-kaos til fuld kontrol.

Genbrug af adgangskoder og manglende opdatering

At bruge den samme adgangskode på flere konti øger markant risikoen for brud på sikkerheden. Når én tjeneste kompromitteres, åbner det let vejen til kompromittering af flere systemer på én gang. En undersøgelse dokumenteret af Verizon afslører, at 59 procent bruger identiske adgangskoder til flere konti. Det betyder, at ét læk hurtigt kan udvikle sig til et omfattende sikkerhedsproblem for hele virksomheden.

Mange steder mangler der konkrete retningslinjer for løbende opdatering af adgangskoder. Vi anbefaler at indføre faste procedurer og benytte sikre værktøjer til håndtering af adgangskoder.

Utilstrækkelig adgangskodehåndtering og deling

Deling af adgangskoder blandt kolleger via e-mail, papir eller mundtligt sætter virksomhedens data under akut risiko. Når virksomheder lagrer adgangskoder i tekstfiler eller personlige notesbøger, svækkes selv de bedste sikkerhedssystemer, fordi disse metoder let kan udnyttes af udefrakommende. Mange små virksomheder mangler systemer til sikker adgangskodehåndtering og har ofte ikke klare retningslinjer for deling af adgangskoder.

Typiske fejl ved adgangskodehåndtering

Her er nogle af de typiske fejl ved adgangskodehåndtering, som øger risikoen for lækager:

• Deling af adgangskoder via usikre kanaler som e-mail, sms eller papir
• Ingen brug af centrale værktøjer, der kan spore og styre, hvem der har adgang til hvilke oplysninger
• Ingen faste procedurer eller politikker for, hvordan adgangskoder håndteres og ændres

Det er afgørende at implementere sikre processer og stærke administrative procedurer. Få konkrete råd og løsninger om it-sikkerhed og deltag i vores webinar om adgangskodekontrol for at optimere sikkerheden hos jer.

Ignorering af to-faktor autentificering og adgangsstyring

For mange virksomheder overser den effekt, to-faktor autentificering har på beskyttelsen af digitale systemer. Selvom det kan virke som et ekstra trin i log ind-processen, viser statistik fra Microsoft, at to-faktor autentificering kan blokere op til 99,9 procent af automatiske kontoangreb. Det er en effektiv teknik, som bør prioriteres højt i enhver organisations cybersikkerhedsstrategi.

Mange glemmer også betydningen af at adskille adgangsniveauer. Når alle får adgang til kritiske eller følsomme data, forøges risikoen for både interne og eksterne trusler. Vi anbefaler aktivt at begrænse medarbejderes adgang ud fra roller og ansvar, så ikke alle har nøglen til hele virksomheden.

Manglende uddannelse og træning af medarbejdere

Når virksomheder ikke investerer i uddannelse og træning af deres medarbejdere, øges risikoen for svag adgangskodesikkerhed markant. Mange medarbejdere har svært ved at identificere phishingforsøg og social engineering, hvilket gør dem til oplagte mål for cyberkriminelle. Ofte skyldes sikkerhedsbrud manglende forståelse for, hvordan mistænkelig adfærd eller falske anmodninger om adgangskoder ser ud.

Sådan kan sikkerhedsbrud forebygges med træning

Vi anbefaler, at virksomheder indfører regelmæssig træning og opkvalificering af medarbejdere for at mindske risikoen for angreb. Ifølge undersøgelser er ansatte, der jævnligt trænes, langt mindre tilbøjelige til at falde for cyberkriminalitet.

Tegn på, at medarbejdere mangler træning

Her er nogle typiske tegn på, at medarbejdere har behov for mere viden om adgangskodesikkerhed:

• De klikker ubekymret på ukendte links eller vedhæftede filer
• De deler adgangskoder via e-mail eller chat uden at tænke over risikoen
• De reagerer hurtigt på anmodninger om adgang uden at tjekke afsender

Betydningen af sikre adgangskodepolitikker og værktøjer

Stærke adgangskodepolitikker er afgørende for at beskytte virksomhedens data mod uautoriseret adgang og cybertrusler. Ved at bruge adgangskodeadministratorer reducerer vi både administrative byrder og risikoen for genbrug af adgangskoder. Password managers gør det nemt at generere og gemme unikke koder for hver eneste tjeneste, hvilket styrker hele virksomhedens sikkerhedsbillede.

Virksomheder skal følge konkrete retningslinjer for adgangskoder for at mindske sårbarheder mest effektivt. Her er de vigtigste punkter at implementere:

• Alle adgangskoder bør være mindst 12 tegn lange
• Adgangskoder skal bestå af en kombination af bogstaver, tal og specialtegn
• De bør udskiftes regelmæssigt og aldrig deles mellem medarbejdere

Ved at kombinere teknologi med klare politikker og løbende uddannelse, som fx via webinar om adgangskodekontrol, opnår vi markant større beskyttelse. Læs mere om IT-sikkerhed og hvordan vi hjælper med at sikre stærke adgangskodepolitikker.

Kilder:
Verizon – Verizon Data Breach Investigations Report
Microsoft – Password-less security: The time is now