Du skal ikke bruge din arbejdsmail til at logge ind på sociale medier eller andre private onlinetjenester.
Sådan lyder en helt basal tommelfingerregel, hvis du skal holde dig ude af hackernes søgelys.
Alligevel har mere end hver tredje af 98 it-chefer i kommunerne fået lækket adgangskoder, efter de har brugt deres kommunale mailadresse til at logge på private onlinetjenester.
Det viser DR's gennemgang af to hjemmesider, som gemmer på adgangskoder og brugernavne fra store datalækager.
- Som it-chef bør man vide bedre og holde tingene adskilt, siger teknisk chef i virksomheden Dubex Jacob Herbst, der rådgiver om cybersikkerhed og er en del af det nationale cybersikkerhedsråd.
Ifølge Jacob Buchholz Bech, der er lovlydig hacker på Forsvarets Efterretningstjeneste cyberlandshold, kan it-kriminelle bruge de lækkede oplysninger til at udpege mål for hackerangreb.
- Hvis for eksempel Netflix bliver angrebet, og en masse oplysninger bliver lækket, så kan hackerne nemt identificere, hvilken virksomhed du arbejder for, hvis du har brugt din arbejdskonto til noget privat. Og du kan muligvis være et værdifuldt mål, siger han.
Formand for it-chefer indgår i flere læk
Henrik Brix er en af de it-chefer, der indgår i datalæk med sin kommunale mailadresse.
Han er formand for Foreningen af kommunale it- og digitaliseringsansvarlige og it-chef i Favrskov Kommune.
- Min kommunale mailadresse indgår i adskillige datalæk – jeg tror en otte til ni stykker over nogle år, siger Henrik Brix.
Han understreger, at han ikke har brugt de adgangskoder, der er lækket fra de private onlinetjenester, til også at logge ind på sin arbejdsplads.
Samtidig vurderer han, at kommunerne generelt er godt rustet til at holde hackerne ude med tvungne adgangskodeskift, flertrinsgodkendelse og andre forsvarsmekanismer.
Alligevel er han for længst holdt op med at bruge sin kommunale mailadresse til at logge ind på private onlinetjenester som for eksempel LinkedIn.
- Det eksponerer min e-mail yderligere, hvis jeg bruger den på forskellige tjenester, siger Henrik Brix.
Ender på hacker-lister
Når det er uhensigtsmæssigt at indgå i et datalæk med sine brugeroplysninger, så skyldes det ifølge eksperterne, at man dermed ender på lister, som hackere bruger til at målrette for eksempel phishing-angreb.
Ved phishing-angreb er hackernes mål at snyde ofrene til at udlevere fortrolige oplysninger eller at infiltrere ofrenes computere med såkaldt malware, som kan ødelægge computerne, stjæle data og skabe kaos.
- For hackerne er det et fantastisk dump af aktive e-mails, de kan sende en masse spam eller phishing til. Så når først man har sin mailadresse på de her lister, bliver man virkelig et mål, siger den lovlydige hacker Jacob Buchholz Bech.
Også 341 byrådsmedlemmer indgår i datalæk, viser DR's gennemgang.
Kommuner har forskellige retningslinjer
Teknisk chef Jacob Herbst fra Dubex mener, at kommunerne klart bør anbefale deres ansatte at holde deres digitale arbejds- og privatliv adskilt.
I dag er det ikke alle kommuner, der har det som retningslinje.
- Der er en masse potentielle problemer ved at lade folk blande tingene sammen, og det bør man som kommune forholde sig til og reagere på, siger Jacob Herbst, der som medlem af det nationale cybersikkerhedsråd er med til at rådgive regeringen på området.
Formand for it-cheferne Henrik Brix er enig. Han mener, at det bør fremgå af kommunernes retningslinjer, at kommunale mailadresser ikke skal bruges til private onlinetjenester.
- Jo flere steder din mailadresse optræder, desto større risiko er der for, at den bliver solgt på en eller anden børs i en eller anden større database. Og så er der nogen, der ved, at der et menneske bag, og som måske vil prøve at lave noget svindel, siger Henrik Brix.
Ud over at holde sit digitale arbejds- og privatliv adskilt, er en tommelfingerregel til god it-sikkerhed at have stærke adgangskoder, som skiftes løbende.
Her kan du få hjælp til at lave en ny kode: