Lige nu arbejder tusindvis af journalister og andre mediearbejdere fra spisebordet eller hjemmekontoret i stedet for redaktionen. Det samme gælder psykologer, advokater og andre med behov for fortrolig og sikker databehandling. Og det ser ikke ud til at stoppe lige foreløbig.
Når arbejdspladsen pludselig er din egen lejlighed, er der nye udfordringer for vores digitale sikkerhed, vi er nødt til at tage hånd om.
Vi har samlet syv gode råd til, hvad du kan gøre at passe på dine kilder, kunder eller klienter og på din og arbejdsplads’ kritiske informationer, når du arbejder hjemmefra.
1. Pas på digitale tricktyve
En af de mest almindelige måder at få kompromitteret sin sikkerhed er, at hackere lokker os til at installere malware på vores enheder eller udlevere vores adgangskoder. Dette kaldes phishing – dine private oplysninger bliver så at sige fisket ud af dig, med forskellige former for lokkemad.
I øjeblikket sidder vi midt i en krise, og det udnytter it-kriminelle. FE’s Center for Cybersikkerhed fortæller, at cyberkriminelle i flere tilfælde har udgivet sig for at være fra nationale sundhedsmyndigheder i angreb med falske mails og sms’er eller har oprettet hjemmesider om coronavirus, som spreder malware til besøgende. Her er ‘maddingen’ i phishing-angrebet altså vores behov for at finde troværdige informationer om krisen.
Phishing-beskeder kan være både e-mails, sms’er og beskeder på sociale medier. Som regel fører de dig hen på en falsk login-side, hvor du kan komme til at afsløre dit login til en arbejdsmail eller en social mediekonti – og dermed give en hacker adgang til alle dine kontakter og beskeder.
Phishing-beskeder kan dog også forsøge at lokke dig til at installere malware på din enhed – f.eks. et program, der overvåger din adfærd eller låser din computer.
Som journalist er man særligt udsat for disse digitale tricktyve, da der normalt at få tilsendt underlige beskeder fra folk man ikke kender – og de kan jo være en god historie!
Du kan som regel genkende phishing-beskeder på én eller flere af de følgende kendetegn:
- Beskederne stresser dig til at reagere impulsivt. Eksempelvis med titler som “fyringsrunde” eller “smitte i dit netværk”.
- Beskeder fra offentlige myndigheder, der plejer at skrive på e-boks, i mailen eller på sms.
- Links til hjemmesider, hvor hjemmesideadressen ikke matcher afsenderens officielle hjemmeside.
- Opfordringer til at hente og installere et program for at se beskeden.
- Underligt sprogbrug og formuleringer, som ikke stemmer overens med afsenderens normale sprogbrug.
Hvis du er i tvivl om, hvorvidt et link er phishy, er den sikreste måde altid at gå direkte til den tjeneste, som beskeden ser ud til at være fra. Får du f.eks. en mail fra Skat, der ser sær ud, så gå direkte til Skats hjemmeside og log på dér. Så kan du verificere om der er en legitim besked, eller om der er tale om fup.
Hvis først du er hoppet på krogen, kan du uforvarende komme til at lukke hackerne ind i ikke bare din egen computer og kontorer, men også på de tjenester du bruger til at samarbejde og dele filer med dine kollegaer og kilder. Er det sket, er det vigtigt at du skifter koder til de tjenester du mener er kompromitteret og straks tager kontakt til en eventuel IT-afdeling på din arbejdsplads.
Pressefriheds-NGO’en Freedom of the Press Foundation har også lavet en rigtig god guide til digital sikkerhed for journalister under hjemmearbejde. Den kan du finde her.
2. Beskyt dine konti med stærke passwords og totrinsbekræftelse
Når man pludselig skal anvende 3-4 nye tjenester for at arbejde hjemmefra, kommer man måske til at genbruge et par af de passwords, man altid bruger for nemheds skyld. Éns barns navn og fødselsdag, for eksempel. Sådanne typer passwords er dog lette at gætte for folk, der gerne vil have adgang til dine konti.
Det er derfor utrolig vigtigt at have passwords der er svære at gætte og er unikke – det vil sige at du ikke genbruger dem til flere tjenester. Ellers har hackere der er lykkes med at få dig til at hoppe på en phishing e-mail, også adgang til alle de tjenester hvor du bruger det samme password.
Det kan være svært at huske en masse lange og unikke passwords – derfor anbefaler vi at du bruger en password-manager. Du kan læse mere om hvordan du laver gode passwords og bruger en password-manager her.
Derudover er et godt råd at slå totrinsbekræftelse til. Totrinsbekræftelse betyder, at der er et ekstra trin med bekræftelse, når nogen forsøger at logge på en af dine online konti på en anden computer eller telefon end den, du plejer at bruge.
Det kan for eksempel være, at der bliver sendt en SMS til din telefon med en bekræftelseskode, som du skal taste ind. Eller det kan være at du har et printet ark med bekræftelseskoder, som du skal bruge, ligesom du kender det fra nøglekortet til det offentlige Nem-ID. Altsammen ting som hackeren, der måske har snydt din kode ud af dig, ikke har adgang til.
Næsten alle store online-tjenester har en form for totrinsbekræftelse, som man kan slå til. Du kan finde en guide til de fleste her – og helt konkret kan du læse, hvordan du slår totrinsbekræftelse til på zoom her.
3. Tænk over hvordan du opbevarer dine sensitive data
Det kan være, at du og dine kolleger begynder at dele data på andre måder end I plejer, for eksempel gennem online tredjepartstjenester som Google Drive eller Dropbox.
Her er det vigtigt at huske på, at disse firmaer har adgang til al den data, du opbevarer hos dem. Google har en høj grad af sikkerhed mod udefra kommende angreb, og vil i mange tilfælde være en fin løsning til at samarbejde. Men hvis der er tale om fortrolige kilde/klientoplysninger og lignende, er det ikke sikkert, du har lyst til at dele dem med en stor amerikansk virksomhed, som er kendt for at udlevere oplysninger til myndighederne.
Her kan du istedet bruge en krypteret tjeneste. Keybase er et gratis end-to-end-krypteret alternativ, du kan bruge til at dele filer og kommunikere med et team af kolleger med. End-to-end encryption betyder, at det kun er dig og de personer du kommunikerer med, der kan læse indholdet af jeres kommunikation. Krypteringen af kommunikationen betyder at f.eks. internetudbydere eller udbyderne af den tjeneste du bruger ikke kan læse med.
4. Installér opdateringer på din computer og telefon
En af de vigtigste og letteste sikkerhedsråd er, at du skal huske at opdatere dit styresystem på computeren og telefonen. Selvom notifikationerne om, at det er tid til at installere en systemopdatering, sjældent kommer på et belejligt tidspunkt, så er det faktisk en af de bedste måder at sikre, at du har det nyeste og mest effektive bolværk mod virus og andre digitale angreb udefra.
Mange virus-programmer er udviklet af hackere, der har opdaget huller eller ‘bagdøre’ i styresystemerne på computere og telefoner. Softwareopdateringerne sørger for at ‘lukke’ disse huller, derfor er det vigtigt at du installerer dem. De fleste nyere computere og telefoner kan sættes til at installere opdateringer automatisk, når de er slukket.
5. Beskyt dit private wifi-netværk
En anden ting, det er vigtigt du er opmærksom på, er dit wifi i hjemmet. Når du ikke længere har din IT-afdeling til at sikre det for dig, er det vigtigt at du sørger for at opdatere jeres router og at have et unikt og sikkert password, der ikke er let at gætte for en hacker.
Folk der har adgang til din router, har mulighed for at se hvilken data du sender over ikke krypterede forbindelser, og vil således kunne opsnuse dine passwords eller anden ukrypteret kommunikation. Derudover kan de bruge dit hjemmenetværk til ting, du ikke har kontrol med.
Se mere om hvordan du sikrer dit wifinetværk, så hackere ikke kan få adgang til at kigge med på dit internetbrug her.
6. Pas på når dine børn låner computeren…
Det bør kun være dig, der bruger din arbejdscomputer. Det betyder også, at du som udgangspunkt ikke skal lade dine unger spille online spil på den. Børnene kan nemlig nemt uforvarende komme til at installere malware på computeren, hvis de klikker på et link de ikke ved, hvad betyder.
Det kan dog være svært at undgå at ungerne skal låne din computer, hvis du er freelancer eller selvstændig, og det er den eneste i har i huset. Derfor er det en god idé at sætte dig ind i hvilke online platforme du lader ungerne spille på, at du f.eks. opretter et login til dem på en platform du har tillid til og begrænser deres brug til denne.
Der har været flere eksempler på, at populære spil som Minecraft eller Roblox er blevet brugt af hackere til at lokke børn til at installere malware på computerne. Derfor gælder det samme princip om at have en god sikkerhedspraksis også for dine børn: De er nødt til at lære at de ikke må trykke på ukendte links, downloade opdateringer eller installere programmer uden at du er med til det. Det kan desuden betale sig at være skeptisk og dobbeltchecke de programmer ungerne gerne vil have du installerer først, som denne engelske far lærte på den hårde måde.
7. Hold fortrolig kommunikation sikker
Under corona-krisen er rigtig mange begyndt at bruge tjenester som Zoom, Google Meet og Microsoft Teams til at holde videomøder, interviews og lave onlineundervisning.
Særligt populær er Zoom, som på verdensplan har fået sin daglige trafik mere end femdoblet i løbet af krisen. Der har været en del mediehistorier om ‘sikkerhedshuller' og udfordringer med Zoom i medierne. Der er dog intet der indikerer, at Zoom er mere usikker end andre video-platforme. Til almindelige ikke-sensitive videokonferencer og møder fungerer platformen fint.
Den egentlige udfordring ved både Zoom og andre tredjepartstjenester som Google Hangouts og Microsoft Teams er deres privatlivspolitik. Du har ikke selv fuld kontrol over hvilken data virksomhederne bag platformene gemmer og hvad de bruger dine informationer til. F.eks. er Zoom er blevet afsløret i at sælge oplysninger om brugerne til Facebook til markedsføring. Desuden udleverer tjenesterne data til myndigheder, der beder om det.
Hvis du har brug for at kunne tale fortroligt, for eksempel ved et sensitivt interview med en kilde, en samtale med en klient, eller hvis du deler følsomme informationer med kolleger, skal du ikke bruge videokonferenceprogrammerne. Så er det kun tjenester til en-til-en-samtaler, der kan give dig den nødvendige sikkerhed.
Du kan føre sikre og krypterede samtaler med beskedappen Signal. I Signal kan man ringe, lave videoopkald og chatte med andre der har appen installeret. Du kan læse mere om hvordan du bruger Signal og hvorfor vi anbefaler det her.
Hvad bruger Cybernauterne selv?
I Cybernauterne er vi vilde med Signal, som vi både bruger på telefon og desktop. Vi har en Cybernaut-gruppe i Signal til korte arbejdsbeskeder – og memes! Derudover bruger vi Keybase til koordinering af vores arbejde og Zoom til interne møder eller møder med partnere og kunder, hvor der ikke er behov for en høj grad af privatliv.