Du gjenkjenner kanskje de mest åpenbare nettsvindelforsøkene. Men hvordan avsløre stadig mer avansert og målrettet phishing? Tenk deg at du får e-postfaktura som likner en du pleier å betale – eller en henvendelse fra en person du kjenner, med noenlunde logisk innhold? Spear-phishing er målrettede svindelforsøk mot enkeltpersoner eller virksomheter. Her har svindlerne gjort et forarbeid for å lure akkurat deg. De kan ha samlet opplysninger publisert i anbud, på sosiale medier, virksomhetens nettsider, eller kjøpt på det mørke nettet. Phishing kan se ut som ekte vare. Men stopper vi opp og tenker, finnes det tegn som kan avsløre svindelen. Vær også oppmerksom på at e-postkontoer kan være hacket. Da hjelper det ikke å sjekke e-postadressen. Nå må vi dessverre være grunnleggende skeptiske og se etter andre tegn på at noen forsøker å komme til de digitale verdiene våre. TEGN SOM AVSLØRER PHISHING: 1. Uventet henvendelse: Inneholder henvendelsen vedlegg, mappe eller lenke du blir bedt om å forholde deg til? Selv om avsenderen er en du stoler på – stopp og tenk: Ventet jeg denne henvendelsen fra denne avsenderen, og ventet jeg den akkurat nå? 2. Krever innlogging: Dersom du via henvendelsen blir bedt om å skrive inn innloggingsinformasjon – aldri gjør dette. 3. Inntrykk av hast eller problem: Prøver henvendelsen å stresse deg til å handle raskt for å hjelpe eller for å hindre et problem, for eksempel endre et kontonummer eller annen informasjon? Stress er et kjent phishing-virkemiddel. 4. Tekst som skurrer: Er ordlyd, målform og grammatikk slik du forventer fra avsenderen? Ved den minste tvil, verifiser alltid: Du taper sjelden på å ta en telefon og dobbeltsjekke med den angivelige avsenderen. Videresend aldri mistenkelige henvendelser. Bruk Rapporter phishing-funksjonen i Outlook. Marker e-posten, klikk Rapporter og velg Rapporter phishing.

Hacking av kontoer på sosiale medier skjer hele tiden. Hva hvis museets facebook-sider blir hacket? Konsekvensene kan bli alvorlige, både for omdømmet og lommeboka. Og veien til å få tilbake kontrollen, og en viktig kommunikasjonskanal, kan bli lang og komplisert. Det er ikke alltid lett å vite hvordan nettkriminelle har brutt seg inn. Men hvis vi strukturerer oss ryddig, har vi bedre oversikt og kontroll – og mindre risiko for innbrudd. Sosiale medier er viktig i kommunikasjon med publikum! Da må vi samtidig sørge for å ha god digital sikkerhet. Tre steg: Slik blir museet sikrere på SoMe 1. Administrasjon fra topp, med museet som eier Ryddighet og toppstyring er nøkkelen til å styrke informasjonssikkerhet på museets sosiale medier! Alle museets SoMe-kanaler, som facebook-sider og Instagram-kontoer, bør ligge under museets eierskap og kontroll. Dette gir museet mulighet til å eie og administrere tjenesten og styre tilganger sentralt. Business Suite er et støtteverktøy som gjør det mulig å stille krav knyttet til brukernes pålogging og epost-domene. 2. Hvem skal ha tilgang til hva? Hvem har tilgang til museets ulike facebook-sider og SoMe-kontoer, og hvilke tilganger har brukerne? Det bør vi alltid ha oversikt over. Et stort museum med mange avdelinger kan ha flere facebook-sider. Sørg for at brukerne har tilgang kun til det de trenger. Jo flere brukere, jo større angrepsflate. Visste du at du også kan sette tidsbegrensning på en brukertilgang, for eksempel for en midlertidig ansatt? 3. Rydd i brukere og tilganger! Noen ganger er det lurt å begynne fra scratch. Når nytt eierskap er etablert, med museet på topp, fjern alle eksisterende brukere. Inviter deretter ansatte som trenger tilgang, inn igjen. Gi kun nødvendige tilganger og rett tilgangsnivå. Med museet på topp, et begrenset antall brukere og en kontrollert tilgangsstyring, får museet en sikrere tilstedeværelse på sosiale medier. Husk at du alltid kan spørre oss i KulturIT om sikkerhet! Kontakt oss på: support@kulturit.org

Aldri før har vi lagret så mye av livene våre digitalt. Har du tenkt over hvor mange steder du har brukerkontoer? Hvis bare et passord står mellom nettkriminelle og de digitale verdiene våre, gjør vi både oss selv og hverandre sårbare. Den beste og enkleste måten vi kan hindre datainnbrudd på, er å beskytte brukerkontoene våre med to låser, ikke bare én. Dette bør du gjøre overalt der det er mulig, også privat. Slik dobbel beskyttelse kalles multifaktorautentisering (MFA). Den aller sikreste metoden er å bruke en autentiserings-app. Det finnes flere, men vi i KulturIT anbefaler Microsoft Authenticator. Hvorfor så viktig? Bruker du fortsatt bare passord når du logger deg inn i tjenester som Google, facebook, Instagram, LinkedIn, Dropbox og privat Outlook? Da er det unødvendig enkelt for nettkriminelle å hacke kontoene dine. Når døra først er åpen, er dine tilganger også deres tilganger. Inntrengerne kan overta sider du er administrator for og spre uønsket budskap og innhold i ditt navn – og utøve utpressing for å gi deg kontoen din tilbake. Hackere kan også utgi seg for å være deg overfor kontaktene dine, og de kan finne personlig informasjon om deg og andre, i lukkede grupper. Slik gjør du! Gå gjennom alle tjenester du bruker, og skru på multifaktorautentisering i tjenestene som tilbyr dette. Du finner som regel denne muligheten under Kontoinnstillinger, inne i den aktuelle tjenesten. Vær oppmerksom på at MFA går under flere navn, som totrinns-verifisering eller totrinns-pålogging. Å sette opp MFA i tjenestene du bruker krever en viss innsats. Men det fine er at du bare trenger å gjøre det én gang for hver tjeneste. Etterpå kan du gi deg selv en god klapp på skulderen! Nå er du og de digitale verdiene dine mye bedre beskyttet! Står du fast, skriv til support@kulturit.no eller ring +47 909 93 000. Vil du vite mer? Se veiledninger fra Norsk senter for informasjonssikring (NorSIS): Om hvordan du skrur du på MFA i ulike tjenester Om de ulike autentiserings-appene

Har du tilgang til systemer du ikke bruker? Da er du ikke alene! Altfor mange har unødvendige tilganger til systemer og løsninger, eller for mange brukerrettigheter. Visste du at dette kan være en sikkerhetstrussel? Heldigvis er det ganske enkelt å rydde opp. Da fjerner vi potensielle innganger for nettkriminelle, i systemene våre. Og hvis angrep skulle skje, får vi lettere kontroll og kan minske konsekvensene. Alle systemer som museet bruker, skal ha en systemansvarlig ved museet. Det er systemansvarlig som har hovedansvar for å holde styr på brukere og tilganger. Men – hver og én av oss kan hjelpe til! Har vi tilganger vi ikke trenger i systemer og tjenester, kan vi si ifra. Slik bidrar vi alle til den digitale sikkerheten. Slik kan museet rydde i brukertilganger: 1. Lag en liste over systemene museet bruker, og definér systemansvarlige. I eKultur kan det gjerne være én systemansvarlig for hver eKultur-løsning. 2. Få oversikt over alle brukere i hvert system 3. Rydd: Behold kun brukerne som trenger tilgang, og sørg for at disse har riktig tilgangsnivå. Administrer brukere i eKultur-løsningene Visste du at personer med administrator-tilgang i eKultur kan legge til, fjerne og styre brukertilganger til museets eKultur-løsninger, uten å spørre oss i KulturIT? Administratoren kan også styre hva slags tilgangsnivå/rolle en bruker skal ha. Les mer om hvordan, i en egen hjelpeartikkel her i Supportportalen.

Det er alltid lurt å holde oversikt over brukere i alle tjenester museet bruker. Brukere skal kun ha de nødvendige tilganger til løsninger, og riktig tilgangsnivå. I eKultur har du verktøyet eKultur Admin for å administrere brukerne i eKulturløsninger museet bruker. Har du administrator-rettigheter i eKultur, er det her du har oversikt, og kan legge til, fjerne og endre brukertilganger. Her finner du eKultur Admin: Gå inn i eKultur Admin via applikasjons-velgeren som ligger øverst til høyre på menylinjen i eKulturportalen: Slik gir du en ny brukertilgang til en ansatt: 1. Bruk menyvalget "Brukertilganger" hvis du vet hvilket museum og applikasjon du ønsker å gi den ansatte brukertilgang til: 2. Velg for hvilke eller hvilket museum som den ansattes tilgang skal være knyttet til. Det gjør du med nedtrekkmenyen i boksen "Velg museum". Listen inneholder alle museer du er administrator for i eKultur: 3. Klikk deretter i boksen "Velg applikasjon", og velg applikasjonen/løsningen du vil gi den ansatte tilgang til. Listen inneholder alle applikasjonene som er tilgjengelig for museet. 4. Da ser du en liste over alle brukere med tilgang til appen DigitaltMuseum for et museum. Ønsker du å endre tilgangsnivå/type for brukere, velg fra nedtrekkmenyen for den aktuelle brukeren. Ønsker du å fjerne tilgangen en bruker har, velger du None i nedtrekkmenyen. Ønsker du å gi en ny bruker tilgang? Klikk på Gi tilgang + 5. Når du klikker på Gi tilgang+ får du opp et skjema hvor du kan gi tilgang til en bruker. Merk: Brukeren må ha vært innlogget i eKultur minst én gang for å kunne gis tilgang til en løsning. Her får du også muligheten til å søke opp aktuelle brukere. I feltet "eKultur-bruker", skriv inn HELE e-postadressen til brukeren du vil gi tilgang. Denne vil da dukke opp som en brukerkonto under feltet, hvis brukerkontoen er registrert i eKultur. Trykk på kontoen for å velge. 6. Nå kan du velge hva slags rolle brukeren skal ha i applikasjonen. Klikk i feltet "Tilgangsnivå", og velg riktig rolle. NB! Gi kun nødvendige tilganger. Dette er et viktig prinsipp for god tilgangsstyring. 7. Trykk til slutt på "Gi tilgang" nederst i skjemaet Tips: Se alle tilganger en bruker har Som eKultur-administrator ved et museum har du oversikt alle personer med brukertilganger, ved museet du er administrator for. Trykk da på menyvalget Brukere: Her kan du søke etter navn eller e-postadresser for alle brukerkontoer som er registrert med tilgang til en applikasjon ved museene du er administrator for. Skriv inn begynnelsen av et navn eller e-postadresse i feltet "Søk etter bruker". Da får du forslag til kontoer i en liste. Trykk på ett av forslagene. I dette eksempelet velger vi brukeren "Primustest4 primus" Da ser du en oversikt over tilgangene brukeren har. Tilganger kan knyttes til overordnet museum - eller museumsavdeling, og oversikten reflekterer dette. Hvis brukeren bare har tilgang knyttet til ett museum, vil du se applikasjonene direkte. Klikker du på et museumsnavn i listen, ser du en oversikt over alle applikasjonene det aktuelle museet har tilgang til.