Datatilsynet modtager i øjeblikket flere anmeldelser af brud på persondatasikkerheden, der skyldes, at medarbejdere har åbnet en inficeret OneNote-fil, som de har modtaget i en phishing-mail. Ved åbning skaber filen en bagdør til medarbejderens enhed, som ondsindede aktører f.eks. kan bruge til at stjæle data og installere malware og hackerværktøjer.
Som medarbejder skal man selvfølgelig huske, at man aldrig skal tilgå links eller åbne filer, der kommer fra modtagere, man ikke kender eller stoler på. Desværre forholder det sig sådan, at rigtig mange phishing-mails og vedhæftninger er meget overbevisende, fordi ondsindede aktører ofte bruger oplysninger om arbejdspladsen i e-mailen og vedhæftningen, så indholdet ser ud til at komme fra en, som modtageren stoler på, f.eks. en faktura fra en leverandør eller en besked fra en kollega.
Derfor er det vigtigt, at arbejdspladser organisatorisk og teknisk tager skridt til at beskytte sig, så ansvaret ikke kun påhviler medarbejderne selv. Det kan f.eks. gøres ved, at arbejdspladsen skaber awareness om phishing – herunder om links og vedhæftede filer – og ved at implementere tekniske sikkerhedsforanstaltninger såsom mailfiltre, DNS blokering og begrænsning af medarbejderes mulighed for at eksekvere filer og scripts.
Hvis uheldet alligevel er ude, og malware er blevet installeret, kan antimalware-systemer hjælpe til at opdage og fjerne malwaren. Derudover kan generelle sikkerhedsforanstaltninger som logning, backup og beredskabsplaner medvirke til at mindske konsekvensen for arbejdspladsen.
Du kan læse mere om awareness i Datatilsynets foranstaltningskatalog her og om sikker transmission her.