Med anledning av Data Privacy Day varnar det globala cyberskyddsföretaget Acronis om de globala hot mot integritet och säkerhet som organisationer står inför idag och uppmanar till direkta åtgärder för att undvika kostsamma cyberattacker.
Den senaste forskningen utförd av cybersäkerhetsexperter på det globala nätverket av Acronis Cyber Protection Operations Centers (CPOC) visar att 80% av företagen inte har etablerat en lösenordspolicy.
Dessutom innehåller 15–20% av de lösenord som används företagens namn vilket gör dem lättare att spåra. Två cyberintrång som skett nyligen illustrerar detta problem: Före Orion-intrånget varnades SolarWinds för att lösenordet till en av deras uppdateringsservers, ”solarwinds123”, var allmänt känt och Twitter-kontot för USA:s förre president Donald Trump hackades för att lösenordet påstods vara ”maga2020!”.
Analytikerna på Acronis har identifierat att hackande av lösenord var den näst vanligaste angreppsmetoden under 2020, bara överträffat av nätfiske. Detta kan kopplas till ökningen av distansarbete som ett resultat av coronapandemin.
- Den plötsliga ökningen av distansarbete under pandemin accelererade användningen av molnlösningar. I denna övergång var det många företag som inte kunde upprätthålla sin cybersäkerhet och sitt dataskydd. Nu har dessa företag insett att integritetsskydd är en mycket viktig del av en holistisk cyberskyddsstrategi bestående av cybersäkerhet och dataskydd, och de måste agera mer kraftfullt för att skydda sina distansarbetare, säger Candid Wüest, chef för cyberskyddsforskning på Acronis.
Organisationer behöver stärka sina krav på autentisering. Acronis och andra cybersäkerhetsexperter rekommenderar följande policy:
- Multifaktorautentisering (MFA), kräver att användare identifierar sig på minst två olika sätt för att få tillgång till företagets nätverk, system eller VPN. Genom att kombinera lösenord med ytterligare identifikation såsom fingeravtryck eller slumptal från en mobilapp så är företaget skyddat även om an angripare har knäckt användarens lösenord.
- Zero trust-modellen ska tillämpas för skydd och integritet av data. Alla användare, oavsett om de arbetar hemifrån eller i företagets lokaler måste genomgå behörighetskontroll, autentisering och kontinuerligt ha godkänd säkerhet för att komma åt företagets data och system.
- Beteendeanalys av användare och enhet, kallas även UEBA, hjälper till att automatisera organisationens försvar. Genom övervakning av användarens normala aktivitet med AI och statistisk analys kan systemet känna igen beteenden som avviker från det normala, särskilt sådant som tyder på att ett intrång skett eller att det finns risk för datastöld.