Sikker praksis

En blogg om sikkerhet og folk i samspill.

Phishing via Azure AD B2B Collaboration

E-posten har invites@microsoft.com som avsender, og alle tekniske undersøkelser (både SPF, DKIM og DMARC) viser at selve meldingen faktisk er sendt fra nettopp Microsoft.

Les hele innlegget

Digi.no-kronikk om simulert phishing

Nyheten om at flere tusen ansatte i en norsk kommune ble lurt av en falsk e-post, skaper naturligvis overskrifter. Betyr dette nødvendigvis at folk er dumme – og kanskje litt ekstra i den aktuelle kommunen, spør Erlend Andreas Gjære i en kronikk.

Les hele innlegget

86 prosent oppgir å ha vært utsatt for phishing

– Ofte hører vi fra it-ansvarlige at de ikke lenger lar seg overraske over at enkelte blir lurt av noen av disse e-postene, for de er faktisk veldig bra laget, forteller Erlend Andreas Gjære i en kommentar til Shifter.

Les hele innlegget

Secure Practice blir medlem i MIDSEC

MIDSEC er en industriklynge for aktører innen samfunnssikkerhet i Midt-Norge, fremmer utvikling og tilpasning av nye og eksisterende teknologier og løsninger som ivaretar den norske samfunnssikkerheten og beredskapsevnen.

Les hele innlegget

Kan vi digitalisere oss unna menneskelig sårbarhet

Erlend Andreas Gjære holdt foredrag hos NeXTDigital og ÅKP om hvordan menneskelige feil påvirker sikkerhetsarbeidet. Se video av hele foredraget her.

Les hele innlegget

The missing link in email security

Erlend Andreas Gjære holdt foredrag på Sikkerhetsfrokost med Mnemonic om hvordan folk kan bidra positivt i sikkerhetsarbeidet. Se video av hele foredraget her.

Les hele innlegget

Overtalelsens kunst på godt og ondt

Erlend Andreas Gjære holdt foredrag på Sikkerhetsfestivalen 2019 om hvordan seks prinsipper for innflytelse kan hjelpe oss alle i hverdagen. Se video av hele foredraget her.

Les hele innlegget

E-post med vedlegg *_yahoo_com.PDF

En bølge e-post har truffet flere av våre kunder med tomt emne felt og ikke noe tekst-innhold. Vedlegget er imidlertid av den skadelige sorten.

Les hele innlegget

Frokostseminar om epost-sikkerhet

Bli med på Mnemonics arrangement 3. september i Oslo, og lær hvordan MailRisk kan bidra til trygghet for både enkeltpersoner og virksomheten.

Les hele innlegget

Mnemonic og MailRisk i digi.no

Samarbeidet inkluderer integrasjon med Mnemonics operasjonssenter og analysemotor, for enda mer effektiv analyse og håndtering av skadelig e-post, døgnet rundt.

Les hele innlegget

Aktuell Sikkerhet skriver om statsrådbesøket

Magasinet som er rettet mot folk som arbeider med sikkerhetsløsninger, har publisert en artikkel fra samfunnssikkerhetsministerens besøkt hos Secure Practice.

Les hele innlegget

Samfunnssikkerhetsministeren fikk prøve seg som hacker

Statsråd Ingvil Smines Tybring-Gjedde besøkte Secure Practice i Trondheim forrige uke. Her fikk hun blant annet prøve å angripe en norsk samfunnskritisk virksomhet ved hjelp av phishing-simulatoren som vi har utviklet.

Les hele innlegget

En begivenhetsrik uke i mai

I løpet av tre dager i slutten av mai fikk Secure Practice delta på tre fullpakkede arrangementer med statsrådens åpning av AI Village, foredrag på BSides Oslo og Paranoia, samt utstillerplass på sistnevnte.

Les hele innlegget

Erfaringer med simulert phishing

Vurderer du å gjennomføre simulert phishing i virksomheten din? Se denne videoen for tips til forberedelse og gjennomføring av deres egen interne phishing-kampanje.

Les hele innlegget

Innspill til nasjonal strategi for kunstig intelligens

I samband med den offisielle åpningen av AI Village i Trondheim, hvor vi nå flytter inn, har vi blitt invitert til å dele følgende tanker om kunstig intelligens med digitaliseringsminister Nikolai Astrup.

Les hele innlegget

Secure Practice på Paranoia-konferansen

Lurer du på om simulert phishing er en god tilnærming for bevisstgjøring av ansatte? Bli med på Paranoia-konferansen 21.-22. mai og lær om dette, og mye mer – få kr 1000 rabatt med vår partnerkode.

Les hele innlegget

Sikker programvare med OWASP ASVS

Arbeider du med sikkerhetskrav i utvikling eller anskaffelse? Det er ingen grunn til å finne opp hjulet på nytt. Se foredrag om hvordan OWASP Application Security Verification Standard (ASVS) hjelper med dette.

Les hele innlegget

#004 Simulert phishing

Er det innafor å lure sine egne kolleger? Med simulert phishing er det nettopp dette vi gjør, når vi sender ut falsk e-post til folk for å se om de lar seg lure, gjerne for å øke bevisstheten.

Les hele innlegget

Er e-post-sikkerheten i Office 365 god nok?

Til tross for avanserte tekniske mekanismer i Office 365, er det alltid mulig for svindlere og hackere å komme seg forbi. En studie har undersøkt hvor en stor andel dette gjelder av mistenkelig e-post som sendes til brukere av Microsoft sitt spamfilter.

Les hele innlegget

#003 Rapportering av sikkerhetshendelser

Hvis vi har null sikkerhetshendelser så lurer vi oss selv. Hvordan kan vi få folk til å rapportere om ting vi ellers går glipp av?

Les hele innlegget

Tema-bilag om digital sikkerhet

Aftenposten sine lesere kunne i dag finne et helt eget bilag dedikert til digital sikkerhet. Her kan du laste ned avisen som PDF.

Les hele innlegget

‒ Det kollektive er viktig hos oss

Informasjonssikkerhetsleder Vigleik Hustadnes i Tussa forteller at bevissthet blant ansatte er et viktig fokusområde for sikkerhetsarbeidet, og at MailRisk passer godt inn her.

Les hele innlegget

Apple-svindel: Verify the account

Mange nordmenn er kunder av Apple, og en ny phishing-kampanje retter seg mot norske brukere.

Les hele innlegget

#002 Risiko og handling

De fleste ønsker å unngå tap, men det kan likevel være vanskelig å bruke penger på sikkerhetstiltak. En teori fra psykologien hjelper oss med å forstå hvordan folk tenker i møte med positiv og negativ risiko.

Les hele innlegget

LØRN.TECH om sikkerhet og folk

Hva skal du passe på når du får en mistenkelig e-post? Og hva betyr egentlig sikker praksis, i praksis? Hør denne samtalen om sikkerhet og folk fra læringspodkasten LØRN.TECH.

Les hele innlegget

#001 Menneskelige feil

Vi hører ofte om "menneskelig feil" som årsak til også informasjonssikkerhetshendelser. Men det er nyttig å gå litt i dybden på hva som egentlig er en menneskelig feil.

Les hele innlegget

Paranoia-konferansen 2019

Paranoia er en av Nordens største sikkerhetskonferanser, som arrangeres 21.-22. mai i Oslo. Som medlem av programkomiteen har Erlend Andreas Gjære blitt intervjuet om hvorfor akkurat du bør bli med på årets konferanse.

Les hele innlegget

Fem læringspunkter om digital sikkerhet

Napoleon har sagt at krig er 90 prosent informasjon, og det samme gjelder både cyberkriminelle og oss som skal forsvare oss mot dem, skriver Erlend Andreas Gjære i en kronikk på nettavisen Shifter.no.

Les hele innlegget

Spotify-svindel: Your payment failed

Mange nordmenn er kunder av Spotify, og nå er det denne merkevaren som misbrukes i svindelforsøk rettet mot norske virksomheter.

Les hele innlegget

Apple og Skatteetaten misbrukes av samme aktør

Se opp for e-post fra domenet replay.com, som både etterligner Apple og Skatteetaten med logo og "trygge" lenker via google.com.

Les hele innlegget

Få en god start på sikkerhetsåret

Er året kommet da sikkerhetsbevisstheten skal løftes til nye høyder blant dine kolleger? Det kan jo føles så bra å komme godt i gang, både med nye år og nye prosjekter.

Les hele innlegget

Er det mulig å oppnå total sikkerhet?

Svaret er nok opplagt for oss som arbeider med sikkerhetsfaget, men for andre kan opplevelsen av risiko og sårbarhet variere. I den grad man ikke er redd for at noe kan hackes, svindles eller misbrukes, lever man kanskje også i troen på fullstendig sikkerhet?

Les hele innlegget

Hvem ble årets tech-gründer?

Secure Practice var finalist i gründerkonkurransen, som ble avgjort foran flere hundre konferansedeltakere i salen på Telenor Arena denne uken.

Les hele innlegget

Cybersikkerhet som muliggjører for digitalisering

Handelshøyskolen BI setter cybersikkerhet på agendaen i sitt videreutdanningstilbud innen digital forretningsforståelse. Her er vi glade for å kunne bidra med gjesteforelesninger ved Erlend Andreas Gjære.

Les hele innlegget

Gamification i sikkerhetsarbeidet

Erlend Andreas Gjære holdt foredrag på Sikkerhetssymposiet i Bergen om hvordan såkalt "spillifisering" kan brukes til økt motivasjon og læringseffekt i samband med sikkerhetsarbeidet. Se video av hele foredraget her.

Les hele innlegget

Bygdebladet skriver om Secure Practice

"Ønsker å forandre måten vi tenker om datasikkerhet", skriver lokalavisen Bygdebladet på Sunnmøre i et intervju, 12. oktober 2018.

Les hele innlegget

Kan man lære av å bli lurt?

Er det mulig å få en positiv læringsopplevelse av å bli lurt, eller av at noen prøver å lure en? Dette er et relevant spørsmål i samband med bruk av såkalt simulert phishing.

Les hele innlegget

Kan man stole på at e-post kommer fra en "trygg avsender"?

Kan hende ser det ut som e-posten har blitt markert som trygg, men du bør ikke stole på slike meldinger.

Les hele innlegget

Digi.no skriver om MailRisk

"De vil gjøre det enklere og morsommere å spørre om eposten er ondsinnet", skriver teknologi-nettavisen Digi.no om Secure Practice og tjenesten vår MailRisk i et intervju, 4. oktober 2018.

Les hele innlegget

Shifter.no skriver om Secure Practice

"Prisbelønt sikkerhetsstartup vil ufarliggjøre virusprogrammer", skriver gründer-magasinet Shifter om Secure Practice og tjenesten vår MailRisk i et intervju, 4. oktober 2018.

Les hele innlegget

Sikkerhet og folk – fra teori til sikker praksis

Erlend Andreas Gjære fra Secure Practice holdt gjesteforelesning (NISlecture) for studenter og ansatte på NTNU Gjøvik, 28. september 2018. Se video av hele forelesningen her.

Les hele innlegget

— Må bli færre muligheter til å gjøre feil

Nasjonal Sikkerhetsmyndighet (NSM) har lagd rapporten IKT-risikobilde 2018, med brukervennlig sikkerhet som ett av hovedpunktene. Videre blir det igjen slått fast at e-post utgjør et ekstremt viktig virkemiddel for digitale angrep.

Les hele innlegget

Infotekst til nye MailRisk-brukere

Når MailRisk-knappen plutselig dukker opp i Outlook hos alle kollegene dine, er det viktig å fortelle dem hva den nye knappen innebærer. Her foreslår vi hvordan dette kan gjøres.

Les hele innlegget

MailRisk kåret til beste nye sikkerhetsprodukt

Det var en stor glede for oss å motta OSPA-prisen (Outstanding Security Performance Award) på Næringslivets Sikkerhetsråd sin sikkerhetskonferanse 20. september.

Les hele innlegget

MailRisk mottar Seal of Excellence fra EU

Det er ikke bare brukerne som liker tjenesten vår MailRisk. Nå har nemlig EU-kommisjonen gitt oss utmerkelsen «Seal of Excellence» for vår innovasjon og plan for videre kommersialisering.

Les hele innlegget

Det mørke nettet - spennende eller farlig?

De siste årene ser man en økende interesse som omhandler det mørke nettet og dette skyldes muligens avsløringen av Ross Ulbrichts Silk Road, -en nettside for kjøp og salg av narkotika. Lukrative avtaler, ulovlige bedrifter og innhold lokker stadig flere brukere inn i jungelen av tvilsomme nettsider og tjenester.

Les hele innlegget

Ny løspengesvindel truer med å vise vennene dine at du har surfet på porno

En ny type e-postsvindel har begynt å bre om seg hvor mottaker skal utpresses for 1400 dollar, ellers vil bilder og film av vedkommendes besøk på pornosider bli sendt til kontakter på Facebook og e-post.

Les hele innlegget

Planer for nasjonal sikkerhetsmåned?

Torsdag 27. september arrangerer NorSIS med partnere en gratis halvdagskonferanse i anledning kick-off for nasjonal sikkerhetsmåned.

Les hele innlegget

Hvis du har 99 problemer og direktørsvindel er ett av dem

CEO-fraud eller direktørsvindel er et stadig økende problem, og svindlere jobber stadig mer sofistikert for å få ut større pengebeløp fra virksomheten din.

Les hele innlegget

MailRisk er finalist til "Beste nye sikkerhetsprodukt"

Næringslivets Sikkerhetsråd deler hvert år ut OSPA-prisene for fremragende prestasjoner innen sikkerhetsfaget. Ekstra gøy for oss å være med i årets finale, bare et drøyt år etter oppstarten.

Les hele innlegget

Et menneskelig sikkerhetsbudsjett

For sikkerhet og folk generelt snakker vi om budsjett i form av tid, oppmerksomhet og innsats, og ikke penger. Her ser du hele foredraget som Erlend Andreas Gjære holdt på ISF Høstkonferansen.

Les hele innlegget

Office 365-svindel: [Account-Deactivation]

E-post med varsel om deaktivering av e-post-konto har nådd fram til mange innbokser. I en nylig variant er særlig den falske kontopåloggingssiden meget forseggjort.

Les hele innlegget

Pass på! De smarte IoT-hjelperne dine kan spionere på deg

En av cybersikkerhetens største fiender er innbilt trygghet og trådløse enheter, uavhengig av bruk, kompleksitet eller graden av innsamlet informasjon kan gjøre enheten til et potensielt attraktivt mål for cyberkriminelle. Disse kan hente ut vesentlige mengder informasjon, eller utnytte enheten ved å for eksempel få tilgang til et kamera, en mikrofon, sensitiv informasjon i skyen eller fysisk plassering, noe som vil utgjøre en personvernsrisiko

Les hele innlegget

Facebook vet mye mer om deg enn du tror

Det er ingen hemmelighet at Facebook vet hva vi tar oss til når vi er online. Og Facebook glemmer ikke. Vi fant ut hvor mye Facebook visste om oss og det var rett og slett skremmende.

Les hele innlegget

Lær hvordan du kan etterforske en e-post

En enkel og grei måte å lære mer og finne ekstra informasjon om en e-post er en relativt enkel operasjon så vi har laget en liten beskrivelse av hvordan du går frem for å gjøre nettopp dette.

Les hele innlegget

Surf sikrere på offentlige nettverk

Innenfor husets fire vegger er trygg internettilgang sjeldent et problem. Det er enkelt å koble seg til, og med mindre hele familien streamer Netflix samtidig så går det relativt fort. Utenfor hjemmets trygge rammer har vi også tilgang til internett mer eller mindre overalt, noe som gjør at man kan være pålogget stort sett hele tiden. Man kan arbeide, være sosial eller spille for å nevne noen av de tingene man kan gjøre. Men når man bruker ett offentlig tilgjengelig nettverk vil dataene dine være mindre trygge enn om du f.eks. er hjemme eller på jobb.

Les hele innlegget

Er e-posten farlig? Slik finner vi svaret

E-postsvindel er et økende problem. Derfor tilbyr vi nå helt unik hjelp til å stoppe truslene, med både kompetanse innen sikkerhetsopplæring, digital etterforskning og en innovativ applikasjon vi har utviklet for Outlook.

Les hele innlegget

Sjekker du datasystemene dine for sårbarheter?

Det viser seg at en sårbarhetsskanning kan utgjøre store forskjeller når det kommer til sikring av datasystemer. Vi forklarer litt om hva det er og hvorfor du bør utføre jevnlige analyser.

Les hele innlegget

Kriminelle kan benytte offentlig informasjon til å skade bedriften din

Du tenker kanskje ikke over det, men uskyldig informasjon som ansattes private kontoer på sosiale medier og firmaets hjemmeside kan sette bedriften din i fare for cyberangrep.

Les hele innlegget

Hvordan spammere får tak i e-postadressen din

Har du noen gang lurt på, og irritert deg over hvorfor du får så mye spam? Og ikke minst «hvor får de adressen min fra»?

Les hele innlegget

Phishing kostet bedrift 735 000 kroner

I helgen skrev NRK om en liten bedrift som hadde blitt frastjålet 735 000 kroner på grunn av cyberkriminalitet. Hackerne hadde fått tilgang til bedriftens Office 356-konto og e-post med falske fakturaer hadde blitt mottatt fra tilsynelatende kjente leverandører, men med et annet kontonummer.

Les hele innlegget

Effektiv barnesikring av iPhone

Til tross for sommerferie, kan det hende at regnet strømmer ned. "Mamma, pappa, kan jeg få spille på mobilen?" sier barnet. Men arbeidsgivers regler sier at det ikke er lov å låne bort mobilen. Hva gjør du?

Les hele innlegget

Sammen mot svindel og bedrageri på nett

Nasjonal Sikkerhetsmåned arrangeres av NorSIS for å fremme bevissthet rundt IT-sikkerhet, i samarbeid med blant andre EUs informasjonssikkerhetsorgan ENISA.

Les hele innlegget

Simulert phishing i tråd med GDPR

Nye personvernregler stiller også nye krav til personopplysninger internt i virksomheten. Heller ikke sikkerhetsrelaterte tjenester, inkludert simulert phishing, er fritatt for kravene under GDPR.

Les hele innlegget

Tips til gjennomføring av simulert phishing

Mange virksomheter sender ut falske e-poster til egne ansatte, såkalt simulert phishing, til tross for at dette også kan få noen negative konsekvenser. Her kommer noen tips som øker sannsynligheten for positivt resultat – for både IT-avdelingen og resten av virksomheten.

Les hele innlegget

En robot som ikke dømmer deg

Det er mye snakk om roboter for tiden, og deres samfunnsbidrag på både godt og vondt. Digitaliseringen påvirker også sikkerhetsarbeidet, hvor vi benytter kunstig intelligens på nye måter. Ved hjelp av innebygd personvern kan roboten vår hjelpe folk som rammes av svindelforsøk.

Les hele innlegget

Snart forsvinner HTTPS fra nettleseren

Men heldigvis bare i form av den grønne hengelåsen. Og dette er et godt tegn, fordi HTTPS har blitt så vanlig at det blir viktigst å advare om en tilkobling IKKE er kryptert.

Les hele innlegget

Hvordan sikre e-post på helhetlig måte?

Tema for nasjonal sikkerhetsmåned 2018 blir "Skadelig e-post og svindel på nett". Dette er ikke tilfeldig, for flertallet av cyberhendelser kan på en eller annen måte knyttes til e-post. Men hvor moden er virksomhetens sikringstiltak for e-post?

Les hele innlegget

Hvordan lagre personopplysninger i applikasjonen?

Ved utvikling av programvare får man plutselig behov for å håndtere personopplysninger. Hvordan kan dette gjøres på en måte som både ivaretar funksjonelle behov, og samtidig støtter etterlevelse av nye personvernregler?

Les hele innlegget

Vern av bedriftens verdier i møte med et digitalt trusselbilde

Torsdag 5. april kl. 9-12 deltar vi på seminar om digital sikkerhet, på Pirsenteret i Trondheim.

Les hele innlegget

You Have 23 Undelivered/Pending Messages

En ny phishing-kampanje har blitt observert med Office-brukere som mål. Selv om e-postene ser like ut, bruker kampanjen har en rekke variabler som gjør den utfordrende å stoppe i spamfilteret.

Les hele innlegget

Folk er ikke fienden

Det er vanligvis ikke offeret for kriminelle handlinger som må bære skylden. Likevel ser vi stadig at folk som ender opp med virus på PCen eller lignende, utsettes for negative reaksjoner.

Les hele innlegget

Slik finner du meldingshoder i Outlook

Har du mottatt en e-post og lurer på om den kan være farlig, eller kanskje verd å advare andre om? Da er det flott å varsle IT-ansvarlige om e-posten, men nytteverdien øker om man benytter en bestemt framgangsmåte.

Les hele innlegget

Lenker til Google er vel trygge?

Svindlere og hackere bruker mange teknikker for å lure folk til å gjøre risikable handlinger. Et av disse er å gjøre veien til farlige nettsider tilsynelatende trygg, ved å benytte lenker som videresender brukeren via Google. Disse lenkene bruker til og med HTTPS!

Les hele innlegget

Også småbedrifter har en plass i store strategier

Justis- og beredskapsdepartementet inviterte sammen med forsvarsdepartementet til nasjonal strategikonferanse for IKT-sikkerhet 6. mars. Hele 300 deltakere fra betydelige virksomheter fikk med seg statsminister Erna Solberg sin åpning. Vi synes det var nødvendig å flagge småbedriftene sitt perspektiv, og deltok derfor med følgende forberedte innlegg.

Les hele innlegget

Er innebygd personvern vanskelig?

Heldigvis trenger man ikke være en stor virksomhet for å lykkes med innebygd personvern. Selv for små start-ups som oss, kan personvern være en daglig del av utviklingsarbeidet.

Les hele innlegget

Personas for innebygd personvern

Når man utvikler programvare er det avgjørende å forstå menneskene man lager programvaren for. Dette gjelder både designvalg av funksjonell og visuell karakter, like fullt som valg relatert til personvern. Da kan såkalte personas være til god hjelp.

Les hele innlegget

Kunstig intelligens vs. naturlig intelligens

Du vet kanskje hvor mye e-post som stoppes av virksomhetens spamfilter – men vet du hvor mye som passerer?

Les hele innlegget

Se filmen om MailRisk

I høst har vi jobbet med et veldig spennende filmprosjekt, som endelig klart til fremvisning. Se resultatet på 90 sekunder her!

Les hele innlegget