Et datal\u00e6k opst\u00e5r, n\u00e5r oplysninger, der skulle have v\u00e6ret beskyttede, ender i h\u00e6nderne p\u00e5 personer uden ret til dem. Det kan dreje sig om e-mailadresser, adgangskoder, betalingsoplysninger, helbredsdata eller hele kunderegistre. Begrebet bruges bredt og d\u00e6kker b\u00e5de m\u00e5lrettede angreb, hvor nogen aktivt bryder ind i et system, og uheld, hvor data ved en fejl bliver gjort offentligt tilg\u00e6ngelige.<\/p>\n
Det er vigtigt at forst\u00e5, at et datal\u00e6k sj\u00e6ldent rammer den enkelte bruger direkte. Oftest sker det hos en virksomhed eller en tjeneste, der opbevarer mange menneskers data p\u00e5 \u00e9t sted. N\u00e5r et s\u00e5dant system bliver kompromitteret, kan oplysninger om tusindvis eller millioner af brugere slippe ud p\u00e5 \u00e9n gang. Det er netop denne koncentration af data, der g\u00f8r virksomheders systemer til attraktive m\u00e5l.<\/p>\n
Der findes ikke kun \u00e9n m\u00e5de, et l\u00e6k kan ske p\u00e5. Nogle af de mest almindelige \u00e5rsager g\u00e5r igen p\u00e5 tv\u00e6rs af sager.<\/p>\n
En af de hyppigste indgange er en konto, hvis kodeord enten var for svagt eller allerede var l\u00e6kket et andet sted. Hvis en medarbejder bruger det samme kodeord p\u00e5 arbejdet som p\u00e5 en privat tjeneste, der senere bliver brudt, kan angribere pr\u00f8ve den kombination og f\u00e5 adgang. Det samme g\u00e6lder, n\u00e5r kodeord aldrig bliver skiftet eller deles mellem flere personer.<\/p>\n
En overraskende stor del af de st\u00f8rste l\u00e6k skyldes ikke avancerede angreb, men simple fejl i ops\u00e6tningen. En database eller en lagerplads i skyen, der ved en fejl er sat til at v\u00e6re offentligt tilg\u00e6ngelig uden adgangskode, kan ligge \u00e5ben for enhver, der ved, hvor den findes. Her bliver intet egentligt brudt op, fordi d\u00f8ren stod ul\u00e5st fra starten.<\/p>\n
Programmer indeholder fejl, og nogle af dem kan udnyttes til at skaffe sig uautoriseret adgang. Hvis en tjeneste ikke holder sin software opdateret, kan kendte s\u00e5rbarheder forblive \u00e5bne l\u00e6nge efter, at en rettelse er udgivet. Angribere scanner aktivt nettet for systemer, der mangler disse opdateringer.<\/p>\n
Ikke alle l\u00e6k kommer udefra. En medarbejder kan ved et uheld sende en fil til den forkerte modtager, miste en b\u00e6rbar computer eller blive narret af et phishing-fors\u00f8g. I sj\u00e6ldnere tilf\u00e6lde st\u00e5r en person p\u00e5 indersiden bevidst bag l\u00e6kket. Det menneskelige led er ofte det sv\u00e6reste at sikre.<\/p>\n
Mange virksomheder bruger underleverand\u00f8rer og eksterne tjenester, der har adgang til deres data. Hvis en af disse leverand\u00f8rer bliver brudt, kan det ramme alle de virksomheder, der er knyttet til den. Et l\u00e6k hos \u00e9n part kan p\u00e5 den m\u00e5de brede sig til mange andre.<\/p>\n
Konsekvenserne af et l\u00e6k afh\u00e6nger meget af, hvilke oplysninger der kommer ud. Nogle datatyper er langt mere f\u00f8lsomme end andre.<\/p>\n
E-mailadresser og brugernavne er i sig selv ikke katastrofale, men de udg\u00f8r ofte den f\u00f8rste brik. Kombineret med en adgangskode bliver de til en n\u00f8gle. Adgangskoder, der er gemt forsvarligt, alts\u00e5 hashet og saltet, er sv\u00e6rere at misbruge end kodeord, der l\u00e5 i klartekst, men selv hashede kodeord kan over tid blive kn\u00e6kket, hvis de var svage.<\/p>\n
Betalingsoplysninger som kortnumre er \u00e5benlyst v\u00e6rdifulde, men mange tjenester gemmer dem ikke selv, fordi de overlader betalinger til specialiserede udbydere. Mere bekymrende er ofte personnumre, kopier af legitimation, f\u00f8dselsdatoer og adresser, fordi de kan bruges til identitetstyveri og er umulige at skifte ud, som man skifter et kodeord. Endelig er der s\u00e6rligt f\u00f8lsomme kategorier som helbredsoplysninger, der kan have store personlige konsekvenser, hvis de spredes.<\/p>\n
For den enkelte er den mest direkte risiko, at en l\u00e6kket konto bliver overtaget. Hvis kodeordet til din e-mail kommer ud, kan en angriber bruge det til at nulstille adgangskoder til alle de andre tjenester, der er knyttet til den e-mail. Derfor er e-mailkontoen ofte den vigtigste at beskytte.<\/p>\n
En anden konsekvens er s\u00e5kaldt credential stuffing. Her tager angribere lister med l\u00e6kkede kombinationer af e-mail og kodeord og pr\u00f8ver dem automatisk p\u00e5 et v\u00e6ld af andre tjenester. Det virker netop, fordi mange genbruger det samme kodeord flere steder. Et enkelt gammelt l\u00e6k kan p\u00e5 den m\u00e5de give adgang til konti, der i sig selv aldrig blev brudt.<\/p>\n
L\u00e6kkede oplysninger fodrer ogs\u00e5 m\u00e5lrettet svindel. N\u00e5r en svindler kender dit navn, din adresse og hvilke tjenester du bruger, bliver det langt lettere at sende en overbevisende falsk besked. Et datal\u00e6k og et efterf\u00f8lgende phishing-fors\u00f8g g\u00e5r ofte h\u00e5nd i h\u00e5nd.<\/p>\n
For virksomheder kommer der oven i de tekniske og \u00f8konomiske tab ofte et tab af tillid og et juridisk efterspil. I Europa stiller databeskyttelsesreglerne krav om, at alvorlige brud skal h\u00e5ndteres og i mange tilf\u00e6lde anmeldes inden for kort tid.<\/p>\n
Du kan ikke forhindre, at en virksomhed bliver brudt, men du kan i h\u00f8j grad begr\u00e6nse, hvad et l\u00e6k betyder for netop dig. Nogle f\u00e5 vaner g\u00f8r den st\u00f8rste forskel.<\/p>\n
Den vigtigste enkelte beskyttelse mod f\u00f8lgevirkningerne af et l\u00e6k er at undg\u00e5 genbrug. Hvis hver tjeneste har sit eget kodeord, er skaden begr\u00e6nset til netop den ene konto, hvis den l\u00e6kker. Et brud \u00e9t sted smitter s\u00e5 ikke af p\u00e5 alle dine andre konti. Da det er umuligt at huske et unikt, langt kodeord til hver tjeneste, er en kodeordsmanager det praktiske svar. Emnet behandles n\u00e6rmere i artiklen om kodeordssikkerhed<\/a>.<\/p>\n Med totrinsbekr\u00e6ftelse, ofte forkortet 2FA, kr\u00e6ves der ud over kodeordet et ekstra bevis, typisk en kode fra en app p\u00e5 din telefon. Selv hvis dit kodeord l\u00e6kker, kan en angriber s\u00e5 ikke logge ind uden ogs\u00e5 at have det andet trin. Det er en af de mest effektive beskyttelser, og den b\u00f8r is\u00e6r sl\u00e5s til p\u00e5 e-mail, netbank og andre centrale konti. En app, der genererer engangskoder, er generelt sikrere end koder sendt p\u00e5 sms.<\/p>\n Der findes tjenester, hvor du kan tjekke, om din e-mailadresse optr\u00e6der i kendte l\u00e6k. Mange browsere og kodeordsmanagere advarer ogs\u00e5 automatisk, hvis et af dine gemte kodeord dukker op i et l\u00e6k. F\u00e5r du en s\u00e5dan advarsel, b\u00f8r du skifte kodeordet p\u00e5 den ber\u00f8rte tjeneste med det samme, og overalt hvor du m\u00e5tte have genbrugt det.<\/p>\n Hvis en tjeneste oplyser, at den har v\u00e6ret udsat for et brud, s\u00e5 f\u00f8lg dens anvisninger og skift kodeordet uden at vente. V\u00e6r samtidig ekstra skeptisk over for beskeder i tiden efter, fordi l\u00e6kkede data ofte bliver brugt til m\u00e5lrettet svindel. En e-mail, der henviser til netop det brud, du lige har h\u00f8rt om, kan i sig selv v\u00e6re et fors\u00f8g p\u00e5 at udnytte situationen.<\/p>\n Jo f\u00e6rre steder dine f\u00f8lsomme data ligger, desto mindre er den samlede risiko. Overvej, om en tjeneste virkelig har brug for dit personnummer eller din f\u00f8dselsdato, f\u00f8r du udleverer det. Data, der aldrig blev indsamlet, kan heller ikke l\u00e6kke.<\/p>\n Datal\u00e6k er blevet et grundvilk\u00e5r p\u00e5 nettet, og f\u00f8r eller siden vil de fleste af os optr\u00e6de i et eller flere. Det afg\u00f8rende er ikke at undg\u00e5 dem helt, hvilket man som bruger ikke har magt over, men at s\u00f8rge for, at et l\u00e6k hos en enkelt tjeneste ikke kan v\u00e6lte resten af dit digitale liv. Unikke kodeord, totrinsbekr\u00e6ftelse og en sund skepsis over for opf\u00f8lgende svindel er den kombination, der reelt begr\u00e6nser skaden.<\/p>\nSl\u00e5 totrinsbekr\u00e6ftelse til<\/h3>\n
Hold \u00f8je med, om dine oplysninger er l\u00e6kket<\/h3>\n
Reager hurtigt p\u00e5 advarsler<\/h3>\n
Del kun de n\u00f8dvendige oplysninger<\/h3>\n
Det vigtigste at huske<\/h2>\n