Intranät, webbplatser och säkerhet – vad du som redaktör bör veta
En dataläcka kan skada din organisation och inte minst förtroendet för den. Och hur kommunicerar du med en målgrupp som inte riktigt litar på dig? Vägen att bygga upp förtroendet kan vara lång – lika bra att tänka efter redan nu.
Karl Emil Nikka
Länk till annan webbplats. är it-säkerhetsspecialist och författare till boken Bli säker. Under Sitevisiondagarna 2022 höll han ett uppskattat morgonseminarium för gäster med webbplatser och intranät i Sitevision Länk till annan webbplats.. Vad lärdomarna var? I det här inlägget gästar vi på Sitevision Soleils blogg och delar med oss av insikterna.
1. Läckande bilagor
Rensa bilder från metadata
Visste du att när du publicerar en bild följer metadata med? Metadatan beskriver bilden du precis publicerade och kan exempelvis skicka med GPS-platsen för var du tog bilden med din mobilkamera.
Det här löser du snabbt genom att alltid göra dina bilder redo för webben. Komprimera bilder till rätt storlek (då blir även sökmotorerna glada) och exportera dem för webben för att ta bort all metadata.
Tvätta PDF:er
Har det hänt att du gjort om din presentation till en PDF för att sen dela den vidare? Genom att öppna presentationen i Acrobat Reader kan vem som helst se historik som hur bilder är beskurna och vad som döljer sig i olika lager.
Kom ihåg att alltid tvätta din PDF genom att använda skyddsfunktionen i Acrobat Reader. Då är all information som du inte vill dela med dig av putsväck. Sen är ju inte PDF:er optimalt av många anledningar – inte minst för tillgänglighet – men det är ett helt annat blogginlägg.
2. Webbapplikationsattacker
Webbplatser och intranät kan bli attackerade på flera olika sätt. Någon kan exempelvis stjäla känslig information från ditt intranät eller ändra budskap på din webbplats.
Hur går det till då? Jo, det kan vara så att du använder ett tillägg som inte är utvecklat av en legitim avsändare – och vips öppnar sig en bakdörr för förövaren. Det kan också vara så att en testdator systematiskt tar sig genom användarnamn och lösenord (hint: har du ”admin” och ”password” går det rätt snabbt). Sen kan det förstås bero på tekniska sårbarheter som tillåter script på sidan.
Vad det beror på i 85 procent av fallen? Stulna lösenordsuppgifter.
Någon i organisationen blir lurad att lämna ifrån sig inloggningsuppgifterna – eller så bli du av med uppgifterna i en annan läcka. Helt klart är att många använder samma inloggningsuppgifter på flera platser. På en arbetsplats har vi i genomsnitt 50 lösenord att hålla reda på och det är omöjligt för den mänskliga hjärnan.
Vad du ska göra för att lösa problemet?
Skaffa en företagsanpassad lösenordhanterare. Då behöver dina medarbetare bara komma ihåg ett användarnamn och lösenord. Och din organisation blir säkrare.
3. Konfigurationsmisstag
Ta reda på om din webbplats eller ditt intranät är beroende av tredjepartsförfrågningar och om det finns några konfigurationsmisstag. En vanlig miss är att inte skydda e-postservrarna från så kallad spoofing (alltså att någon utomstående mejlar från dina e-postservrar så att det ser ut att komma från din organisation).
De här två webbplatserna är en bra hjälp på vägen:
Vilka tredjepartstjänster är din webbplats beroende av och finns konfigurationsmisstag?
webbkoll.dataskydd.net Länk till annan webbplats.
Har din organisation ett grundläggande skydd mot spoofing?
mxtoolbox.com/spf.aspx Länk till annan webbplats.
Så, om du tvättar bilagor, använder en företagsanpassad lösenordhanterare och kontrollerar tredjepartsberoenden och eventuella konfigurationsmisstag – då har du skaffat dig betydligt säkrare webbplatser och intranät. Lycka till!