Hvad er et databrud og hvordan opstår det?

Hvad er databrud?

Det er også kendt som datalækage, datatyveri eller informationsafsløring.

Cyberkriminelle ønsker at stjæle data som navne, e-mailadresser, brugernavne, adgangskoder og kreditkortnumre samt andre økonomiske oplysninger for egen vindings skyld. Uanset om det er for at stjæle din identitet eller for at sælge dem på dark web.

Et kig på de seneste store databrud

Capital One, Dubsmash, Houzz, Clearview AI. Dette er blot nogle af de virksomhedsgiganter, der for nylig har været udsat for nogle af de største brud, verden nogensinde har set. Næsten 800 millioner unikke e-mailadresser, 21 millioner adgangskoder og tonsvis af andre stjålne data blev solgt på nettet af hackere i 2019.

Her er et hurtigt øjebliksbillede af disse brud efter industrisektor:

• Erhvervslivet: 644 tilfælde (43,7%)
• Sundhedsvæsenet: 525 (35,6%)
• Bank/kredit/finans: 108 (7,3%)
• Uddannelse: 113 (7,7%)
• Staten/militæret: 83 (5,6%)

Når man ser på tallene år for år, ser man næsten aldrig et dramatisk fald i antallet af databrud på tværs af sektorer. Data viser, at antallet af brud i banksektoren kun faldt med 4% fra 2018 til 2019, og at det kun lykkedes erhvervslivet at reducere antallet af brud med 10% i løbet af to år. (2017-2019).

Da cyberkriminelle konstant udtænker måder at udnytte virksomheders infrastrukturer på, er det bedst for os at begynde at tage sikkerheden i egne hænder.

Hvordan opstår databrud?

Malware

Malware eller ondsindet kode er en teknik for eksfiltrering af data, der kan inficere et website eller netværk og lække værdifulde kundedata. Malware er en tavs trussel og kan downloades ved et uheld fra en vedhæftet fil i en e-mail eller fra beskadiget software. Når den først er inde, spreder den sig som en virus og sender alle dine personlige data tilbage til de kommando- og kontrolservere, som de cyberkriminelle driver.

Phishing

Da phishing-angreb i vid udstrækning er baseret på menneskelige fejl, er de chokerende enkle at udføre, men har katastrofale følger. Normalt sendes en “vigtig” e-mail, der efterligner en legitim afsender som f.eks. PayPal eller Microsoft. Når phishing-mailen åbnes, eller der klikkes på de vedhæftede filer, inficerer en sværm af ondsindet malware din enhed eller dit netværk og stjæler alt, hvad der er i nærheden.

Menneskelig fejl

Menneskelige fejl eller utilsigtede handlinger bidrager massivt til databrud. Med et væld af værktøjer og adgangskoder, der understøtter vores komplekse arbejdsmiljøer, kan medarbejdere og slutbrugere nemt begå sikkerhedsfejl. Nogle genkender ikke falske e-mails. Nogle bruger adgangskoder, der kan knækkes, til større virksomhedsnetværk. Nogle opdager ikke sikkerhedsrisikoen ved split tunneling, når de bruger arbejdsenheder til at ordne personlige ting - eller kompromitterer følsomme oplysninger ved at skrive uforsigtige indlæg på de sociale medier.

Faktisk fandt CybSafe (en virksomhed, der beskæftiger sig med cybersikkerhed) ud af, at 90% af alle sikkerhedsbrud, der blev rapporteret i 2019, skyldtes slutbrugernes tilfældige fejl.

Svage adgangskoder

Svage adgangskoder er mere almindelige, end du tror. I et brute force-angreb kan en hacker f.eks. producere millioner af bruger-/passwordkombinationer i sekundet. De bliver så afprøvet mod systemet i lyntempo, indtil én sidder fast - sesam, luk dig op!

Det er klart, at de bedste passwords er lange, komplekse og meningsløse. Her kan du se, hvordan du laver en stærk adgangskode.

Et ‘inside job’

I slutningen af sidste år informerede American Express millioner af sine kunder om, at deres kontooplysninger muligvis var blevet “uretmæssigt tilgået” af en “medarbejder, der forsøgte at begå bedrageri”. Morrisons, den britiske supermarkedsgigant, var også vært for en utilfreds medarbejder, der lækkede lønoplysninger om 100.000 medarbejdere. Årsagen? Hævn over en tidligere disciplinærsag.

Mindre ondsindede tilfælde, men lige så skadelige, kan være medarbejdere, der uskyldigt downloader følsomme data til deres enhed, lægejournaler, der er fejlkonfigureret af medarbejdere, og systemadvarsler, der bliver ignoreret af medarbejdere, som ikke ved bedre.

Tekniske fejl

Når vi taler om sikkerhedsvedligeholdelse, kan investering i solid sikkerhed kun beskytte dig mod nogen af de ovennævnte sårbarheder. De fleste virksomheder er på vagt ved at have en reaktiv tilgang til huller og lappe fejl, efterhånden som de opstår. Berygtede teknologibrud som det, Adobe oplevede, efterlod 150 millioner e-mailadresser og adgangskoder eksponeret.

PRO TIP: Hvis du hører, at en virksomhed, som du har givet dine data til, er blevet misbrugt - f.eks. en onlinebutik eller en social medieplatform - skal du ændre dine adgangskoder og opdatere dine sikkerhedsforanstaltninger. Vent ikke på, at de kontakter dig direkte.

Sådan undgår du databrud

Selv verdens største organisationer kan blive ofre for et sikkerhedsbrud, men der er masser af skridt, vi alle kan tage for at beskytte os selv.

Her er en simpel tjekliste:

Makulering af dokumenter

Gør det til en vane at destruere breve, regninger, dokumenter eller andet med dele af din identitet på. Kriminelle har kun brug for dit CPR-nummer, din fødselsdato samt navn og adresse for at åbne kreditkortkonti og optage lån.

Brug sikre hjemmesider

Det afslørende tegn er i webadresselinjen. En sikker hjemmeside skal læses som https://www.website.com i stedet for http://www.website.com, hvor 'S' står for secure.

Skab stærke adgangskoder

De mest sikre adgangskoder bruger store og små bogstaver, ikke-sekventielle tal, specialtegn og symboler og bruger ord, der ikke er ordbogsord. Brug altid en god adgangskodeadministrator, så du ikke glemmer dine nye og meget komplicerede adgangskoder.

Brug forskellige adgangskoder på hver konto

Hvis en hacker får fat i brugeroplysningerne til en af dine konti, kan vedkommende bryde ind på alle dine andre konti. En god tommelfingerregel er altid at holde din e-mailadgangskode helt anderledes, fordi angribere kan logge ind i din indbakke for at godkende sig selv og anmode om ændring af adgangskoder.

Opdater din computer og mobile enheder

Sørg for, at du altid kører de nyeste versioner af operativsystemer og programmer. Opdateringer handler ikke altid om skinnende nye funktioner, de indeholder vigtige sikkerhedsrettelser, der er designet til at beskytte dig mod hackere.

Undgå offentlige USB-opladningsstationer 

Vidste du, at en almindelig offentlig USB-opladningsport kan indeholde malware? Nu ved du det. At bruge offentlige USB-porte til at sprede malware og stjæle data kaldes juice jacking. For at undgå det skal du holde dig væk fra de offentlige USB-porte, du ser i lufthavne, eller købe en USB-datablokker, der er designet til at forbinde din enhed med porten og beskytte den mod ondsindede koder.

Hold øje med dine bankkontoudtog

Overvåg ofte dine transaktioner online for at identificere eventuelle mærkelige transaktioner. Nogle gange vil hackere bruge dine oplysninger til at købe varer for 1 dollar eller mindre til at begynde med, så din konto ikke bliver markeret til sikkerhedstjek, når de foretager det store køb.

Tjek din kreditrapport regelmæssigt

Din kreditrapport viser, om der er åbnet konti eller lån i dit navn. Identitetstyve kan sammensætte din identitet på få minutter. Et uskyldigt Instagram-billede med dit husnummer og din gade i baggrunden, usorteret post fra skraldespanden, adgang til din e-mail eller konti på sociale medier - sporene er overalt for en hacker, der er beslutsom nok til at finde dem.

Undgå hamstring af data

Jo flere data du har, jo flere data kan du miste. Undgå at akkumulere store mængder digitale aktiver, revidér dine data regelmæssigt, og sørg for, at de opbevares sikkert. Du bør ikke praktisere datahamstring, hvis du vil undgå datalækager.

Hvad gør jeg, hvis jeg har været offer for et databrud?

Gå ikke i panik. Der er nemlig flere enkle trin du kan tage for at få styr på det hele igen.

Trin 1: Få bekræftet databruddet

Lad være med at klikke på e-mails fra virksomheder, der fortæller dig, at der er sket et sikkerhedsbrud. Ofte er det phishing-mails - skrevet af svindlere for at stjæle dine personlige oplysninger. Ring i stedet direkte til virksomheden, eller vent på, at de lægger det ud på deres hjemmeside.

Trin 2: Få klarlagt, hvilken type databrud der har været tale om

Hvis dine følsomme oplysninger er blevet eksponeret, er der nogle hurtige løsninger til at genvinde kontrollen - afhængigt af, hvilke oplysninger det drejer sig om.

Hvis dit CPR-nummer er blevet lækket

CPR-numre er sværere at erstatte end kreditkortoplysninger eller bankoplysninger. Dit CPR-nummer kan bruges til at antage din identitet, indgive falske selvangivelser, leje eller købe ejendomme og begå en lang række forbrydelser, alt sammen i dit navn.

Hvis din adgangskode er blevet afsløret

Hvis du er bekymret for, at din adgangskode eller e-mailadresse er blevet misbrugt, kan du se, om den er blevet afsløret her. Skift og styrk din adgangskode og dine sikkerhedsspørgsmål med det samme. Vælg noget med mere end 7 tegn for at skabe et kompliceret ord, der helst ikke skal give mening. Brug en adgangskodeadministrator, så du ikke glemmer det.

Hvis en virksomhed, som du har en konto hos, har lidt et databrud

Skift straks dit brugernavn og din adgangskode, og dobbelttjek, at du ikke har brugt de samme oplysninger andre steder. Hav en separat e-mailadresse til at logge ind på vigtige konti til f.eks. bank, sundhedsvæsen, sociale registre eller universitet. Hvis du bruger de samme oplysninger til hver eneste konto, kan en hacker få adgang til hver eneste konto, du ejer.

Trin 3: Sig ja til den hjælp, du kan få

Hvis dit CPR-nummer eller andre personligt identificerbare oplysninger er blevet afsløret, skal du i hvert fald overvåge din konto i løbet af det næste år. Når det drejer sig om banksvindel, vil en hacker nogle gange tage meget små beløb fra en række konti for at gå ubemærket hen. Anerkendte virksomheder tilbyder ofrene gratis kreditovervågning eller beskyttelse mod identitetstyveri, så udnyt det ved at informere dem om dine kompromitterede data.