I den digitala tidsåldern har e-post blivit det främsta kommunikationsmedlet för företag av alla storlekar, men det är också en betydande säkerhetsutmaning, speciellt för småföretag. När cyberhot fortsätter att utvecklas och bli mer sofistikerade, har det aldrig varit viktigare att skydda känslig information och säkerställa ett e-postmeddelanden förblir konfidentiella.
Under de senaste åren har cyberangrepp via företags e-postservrar ökat dramatiskt över hela linjen. Detta kommer knappast som en överraskning, med tanke på den globala övergången till distansarbete under samma tid. Men när distansarbete har kommit för att stanna har det kommit som en överraskning för de flesta cybersäkerhetsspecialister att många organisationer (speciellt småföretag, som är mer sårbara för denna typ av angrepp) inte har implementerat grundläggande cybersäkerhetspraxis för att hålla sina system skyddade mot e-postintrång och andra mer traditionella former av e-postorienterade cyberangrepp.
E-postintrång är en allvarlig typ av digitalt bedrägeri och utpressning, som försöker utnyttja den dagliga mängden e-postkommunikation mellan företag. Genom en komplicerad process använder cyberbrottslingar social ingenjörskonst för att utge sig för att vara en anställd eller betrodd affärspartner och övertygar offer på företaget att överföra känslig information eller pengar till ett dolt konto. Dessa typer av angrepp kan vara olika allvarliga, men är oftast mycket kostsamma för det utsatta företaget. Därför har vi bestämt oss för att skriva denna guide till bästa praxis, riktlinjer, protokoll och policyer för e-postsäkerhet, skräddarsydd för småföretag (men dessa procedurer fungerar för organisationer av vilken storlek som helst). Det är dags att säkerställa att din e-post på företaget är säker och att all känslig information är skyddad mot ovälkomna besökare.
Bästa praxis för e-postsäkerhet på småföretag
Bästa praxis för e-postsäkerhet för småföretag liknar den som används i stora organisationer. De skyddar mot tre typer av cyberangrepp via e-post: nätfiske, riktat nätfiske och bluffakturor. Vi börjar med de nödvändigaste säkerhetsåtgärderna för e-post:
Företagets e-postkonton är till för affärer
Även om detta kan tyckas vara ganska enkelt och rakt på sak, är det ändå värt att påpeka, för att vara på den säkra sidan. Arbete är en viktig del av allas liv, och det kan vara frestande att använda jobbmejlen för att registrera sig eller logga in på vissa tjänster som din personliga e-post inte har tillgång till. Men om du använder företagets e-post för personliga onlineaktiviteter får bedragare lättare möjlighet att profilera dig, vilket kan leda till ett mycket mer målinriktat cyberangrepp. Och på motsvarande sätt gäller att om du använder en hemmadator eller hemma-Wi-Fi, som normalt sett inte är lika säkra som en företagsuppkoppling eller de anpassade datorer som används på arbetsplatsen, får hackare större chans att stjäla din jobbinloggning. Detta leder oss till nästa bästa praxis.
Använd inte jobbmejlen på offentlig Wi-Fi
Även om du använder företagets säkra dator för att komma åt din jobbmejl är offentlig Wi-Fi den perfekta ingången för hackare och cyberbrottslingar när de vill infiltrera din dator och stjäla dina känsliga data. Om det inte går att undvika att använda en offentlig uppkoppling rekommenderar vi att du använder en VPN för att ansluta till företagsservrar och förbättra din övergripande slutpunktssäkerhet. Ett virtuellt privat nätverk (VPN) fungerar genom att skapa en sorts krypterad privat tunnel mellan användarens fjärrdator och organisationens egna servrar. På så sätt skyddas alla data som du skickar över ett osäkert nätverk med realtidskryptering. Om du vill veta mer om VPN och hur de fungerar kan du läsa vår artikel ”Vad är ett VPN?”.
Starka lösenord och lösenordsfraser
När någon försöker hacka sig in på ett jobbmejlkonto är det första steget ett nyckelsökningsangrepp mot kontot, och försöka gissa sig till ditt lösenord eller din lösenordsfras. Därför rekommenderar vi att alla anställda använder ”starka” lösenord eller lösenordsfraser. Ett lösenord anses vara ”starkt” om det är tillräckligt långt (12-14 tecken) och innehåller en blandning av specialtecken, siffror, versaler och gemener. En ”stark” lösenordsfras följer samma regler, men bör vara 15-20 tecken lång och om möjligt använda tecken från andra språk.
För alla dessa är det viktigaste att de måste vara unika och bara användas för en enda tillämpning. Det betyder att du kommer att behöva flera lösenord eller lösenordsfraser, beroende på hur många system du använder på jobbet. Därför rekommenderar vi att du använder en lösenordshanterare eller ett lösenordsvalv, som också innehåller en lösenordsgenerator som genererar starka lösenord, för att lagra alla dina unika lösenord och lösenordsfraser. Även om lösenordshanterare och lösenordsvalv kan hackas, är dina lösenord säkra eftersom de är krypterade: det är nästan omöjligt att dechiffrera kryptering av industristandard, som 256-bitars AES (Advanced Encryption Standard). Så även om en hackare tar sig ”in” i själva valvet betyder det inte att de kan göra något med dina krypterade data.
Utbildning för medvetenhet om nätfiske och bifogade filer
Ett av de enklaste sätten att skydda ditt företag är att investera i grundläggande cybersäkerhetsutbildning för alla anställda. Om det inte är ett alternativ för ditt företag rekommenderar vi att du informerar personalen om farorna med nätfiske och angrepp via bifogade filer i e-post, även känt som skadliga bilagor eller HTML-smuggling. De viktigaste punkterna är:
- Medvetenhet om vanliga nätfiskemetoder, till exempel falska webbplatser och inloggningsfönster som stjäl användarnas inloggningsuppgifter och efterliknar vanliga meddelandefönster, till exempel inloggningsfönstret i Microsoft Outlook.
- Kunskap om de vanligaste filformaten där man döljer skadlig kod i bifogade filer, till exempel .DOCX, .HTML och .EXE. Detta innefattar även en typ av cyberangrepp som blivit populär nyligen: HTML-smuggling.
- Varna de anställda att de aldrig ska klicka på en länk som ser misstänkt ut eller som kommer från en okänd avsändare. Skadliga länkar är bedragarnas enklaste sätt att genomföra ett framgångsrikt cyberangrepp mot dina anställda och ditt företag, oftast via någon sorts nätfiskewebbplats.
Aktivera flerfaktorsautentisering
En säkerhetsprocedur som blir mer och mer populär på grund av sin effektivitet är flerfaktorsautentisering. Den kallas även MFA, tvåfaktorsautentisering eller 2FA. Flerfaktorsautentisering ger företagets inloggningar fler lager med säkerhetskontroller innan en anställd släpps in. Det kan röra sig om en kod från ett SMS eller en app.
Glöm inte att logga ut
Detta kanske åter ser ut som det mest självklara i världen när du använder din jobbmejl, men det är viktigt att komma ihåg att en stor andel av alla cyberangrepp börjar när missnöjda anställda försöker skada en tidigare arbetsgivares verksamhet. Att ta sig in på någons konto och utge sig för att vara en annan anställd är ett av de enklaste sätten att begå cyberbrott och undvika upptäckt. Så för att se till att de anställda inte blir misstänkta i onödan ska du se till att alla på företaget kommer ihåg att logga ut efter varje session och att aldrig dela sina inloggningsuppgifter med varandra.
System för att söka igenom och skydda e-post
Med de allt mer komplexa hoten från social ingenjörskonst och e-postrelaterade cyberangrepp är ett specifikt system för att söka igenom och skydda e-post det bästa försvaret mot skadliga e-postbilagor och angrepp med inbäddade skript. Vi rekommenderar en automatiserad antiviruslösning med maskininlärning och statisk kodanalys, som utvärderas e-postens faktiska innehåll och inte bara den bifogade filens filtyp. Om du vill ha en avancerad lösning för onlinecybersäkerhet rekommenderar vi Kaspersky Security för Microsoft Office 365. Vårt prisbelönta system för både företag och privatanvändare har ett premiumpaket med fjärrassistans och support dygnet runt alla dagar i veckan.
Säkerhetsprotokoll och säkerhetsstandarder för e-post
Ett av de viktigaste sätten att skydda företagets e-postsystem är genom att implementera lämpliga e-postsäkerhetsprotokoll. Det anses oftast vara den första försvarslinjen mot e-postrelaterade cyberangrepp. E-postprotokoll har designats för att hålla din kommunikation säker när den passerar webbmejltjänster. E-postservrar levererar e-postmeddelanden mellan mottagarnas e-postklienter med e-postprotokoll. Protokollen berättar för servern hur meddelanden ska behandlas och levereras. Säkerhetsprotokoll verifierar och autentiserar denna process.
Det finns ett antal olika protokoll som kan användas för att säkra upp företagets e-post:
- SPF – gör att e-postdomänägare kan identifiera och verifiera vem som är auktoriserad att använda deras domännamn när de skickar e-post.
- DMARC – gör att domänägare kan meddelas och svara när ett meddelande inte kunde autentiseras.
- SMTPS och STARTTLS – kryptera e-post som utväxlas mellan klienter och servrar.
- DKIM – gör att användaren kan länkas till en digital signatur för autentisering.
- S/MIME – definierar hur data som formaterats i MIME ska krypteras och autentiseras.
- OpenPGP – baseras på ramverket Pretty Good Privacy, och är en krypterings- och autentiseringsstandard för e-post.
- Digitala certifikat – är et sätt att verifiera avsändarinformation via ägarskap till publika nycklar.
- SSL/TLS – används inte direkt för e-postsäkerhet, men krypterar nätverkstrafik mellan servrar (vilket innefattar meddelanden via webbmejl) eftersom det används för HTTPS.
Många populära leverantörer av e-postklienter använder SPF, DKIM och DMARC (konfigureras via DNS-posterna) för att skydda användarnas integritet. Vi rekommenderar att du implementerar åtminstone dessa tre för företagets e-postsystem.
Säkerhetspolicyer, riktlinjer och efterlevnad för e-post
Säkerhetspolicyer, riktlinjer och efterlevnad för e-post definierar regler och förordningar för användning av jobbmejl på en arbetsplats. Var och en av de punkter som listats ovan bör vara en viktig komponent i organisationens policyer för e-postsäkerhet. Dessutom bör riktlinjerna även innehålla regler om följande:
- Användaråtkomst och användning av enheter.
- Datahantering och datalagring.
- Regler om att vidarebefordra, radera och behålla e-postmeddelanden.
- Policyernas omfattning, inklusive användning av nätverk och system.
- Etiskt korrekt och lämpligt uppträdande.
- Kryptering av lösenord och andra säkerhetsverktyg som används i e-postklienter.
- Utbildningsmaterial inom cybersäkerhet gällande skadlig kod och e-post samt hur man upptäcker bedrägliga bifogade filer, länkar och meddelanden.
- Praxis för övervakning av e-post och registrering av anställda från företagets sida.
- Hur och på vilket sätt man rapporterar skadlig kod, hotfullt innehåll eller olagligt innehåll som tas emot per e-post.
Kort sagt bör varje organisation, från ett småföretag till en stor koncern, ha en modell för säkerhetsefterlevnad som tydligt definierar och anger ovanstående punkter. Dessa riktlinjer kommer att fungera som ett ramverk som kan säkerställa integritet och säkerhet för allt innehåll i företagets e-post. Detta är speciellt viktigt eftersom kunder och partners har blivit mer försiktiga med företag som haft överträdelser gällande digital kommunikation.
I dagens digitala landskap har e-post blivit oundgängligt för företag av alla storlekar, men det är också en måltavla för cyberbrott. När distansarbete blir vanligare ökar risken för e-postrelaterade cyberangrepp. Skydda enkelt ditt småföretag med Kasperskys Small Business Security, som utformats speciellt för att uppfylla småföretags behov.
Relaterade artiklar:
- Vad är lösenordshanterare och är de säkra?
- Hur man krypterar e-post i Outlook, Gmail, iOS och Yahoo.
- Hur du stoppar skräppost – tips och råd.
- Nätfiskemeddelanden: så här känner du igen och undviker nätfiskemeddelanden.
Rekommenderade produkter: