Omdømme er værdifuldt for de fleste organisationer. Det er især vigtigt, når organisationen skal kommunikere med offentligheden. Derfor er det også vigtigt at beskytte organisationens omdømme. Og et af de steder, omdømmet kan lide skade, er på sociale medier.

Organisationer, der bruger sociale medier, bør derfor være opmærksomme på, at en social medie-konto, der bliver overtaget af hackere, udgør en risiko. Men risikoen kan også være en bruger, der kommer til at offentliggøre indhold, der kan være i modstrid med organisationens værdier.

Det fundamentale

Sikkerhed på sociale medier kan koges ned til råd inden for områder, der er helt fundamentale inden for informationssikkerhed: Adgang og indhold.

Hvem skal have adgang til organisationens sociale medie-konti? Hvem fjerner denne adgang, hvis personerne skifter rolle eller forlader arbejdspladsen? Hvem fører kontrol med, hvem der har adgang?

• Giv hver medarbejder deres egen konto.
• Brug stærke passwords.
• Del dem ikke med andre.
• Brug fler-faktor-autentificering, hvor muligt.
• Slå notifikation om login fra nye enheder til.
• Lav en proces for at revidere adgange.
• Lav et beredskab for at genvinde kontrollen over en konto.
• Hvad må der slås op? Hvilken tone er tilladt? Hvordan passer styringen af indhold til sociale medier med styringen af organisationens øvrige kommunikation?
• Lav retningslinjer for indhold.
• Uddan brugerne.
• Erkend, at medier er forskellige og læg strategi derefter.
• Lav et beredskab for håndtering af dårlig omtale.
  
  

Umiddelbar kommunikation

Sociale medier er en vigtig del af mange organisationers eksterne kommunikation, men de sociale medier giver nogle helt særlige sikkerhedsmæssige udfordringer. De sociale medier er kendetegnet ved, at kommunikationen er meget umiddelbar. Der er bogstaveligt kun et klik mellem medarbejderen og offentligheden, og når der først er klikket, så ligger en stor del af værdien i offentlighedens interaktion med organisationens budskab.

Når denne interaktion er positiv, så er det styrken ved de sociale medier. Man opnår en større eller i hvert fald mere personlig kontaktflade, end det er muligt med en pressemeddelelse. Men når interaktionen bliver negativ, så kan det udvikle sig til en sag, som kan skade organisationens omdømme.

Den særlige udfordring er, at platformene er uden for organisationens kontrol. De sociale medier er internetvendte cloud-tjenester. Det er platformen, som dikterer både mindste og højeste niveau af mulig sikkerhed, og det er også platformen, som håndterer alt, der handler om misbrug. Disse forudsætninger bør man tænke ind i sin strategi for anvendelse af sociale medier.

Risikobaseret tilgang

Som i alle andre spørgsmål om sikkerhed er det fornuftigt at vurdere risikoen. Hvad er sandsynligheden for, at noget negativt indtræffer, og hvad er konsekvenserne?

Selv hvis en organisation vælger ikke at være til stede på sociale medier, så er der stadig en risiko. Aktivister eller andre kan for eksempel oprette profiler, der giver sig ud for at repræsentere organisationen. Det kan misbruges til svindel eller skade organisationens omdømme. Ligesom det er en god idé at sikre sig rettighederne til internetdomæner for en virksomheds ”varemærker”, kan man på samme måde "plante flaget" på de mest udbredte sociale medieplatforme.

For de fleste danske organisationer kommer den største trussel fra cyberaktivisme i form af opportunistiske angreb, som kan mindskes ved at følge rådene for god sikkerhed i denne artikel.

En organisation kan være mere udsat, hvis den i forvejen er i offentlighedens søgelys eller er genstand for visse gruppers opmærksomhed. Det kan øge risikoen for, at aktivister misbruger de funktioner, der er bygget ind i det enkelte medie. Det kan blandt andet være misbrug af funktioner til at anmelde indlæg som upassende til udbyderen af det sociale medie, men det kan også være kommentarer, som er overvældende meget negative eller ude af kontekst.

Konsekvenserne er først og fremmest skade på organisationens omdømme. Men det at være på sociale medier giver på den anden side også en særlig mulighed for at skærpe organisationens omdømme, tegne en klar profil og få brugbar feedback fra offentligheden.

I mere alvorlige tilfælde kan der være juridiske konsekvenser. Det kan blandt andet ske i forbindelse med personalemæssige uoverensstemmelser eller læk af forretningsmæssigt følsomme informationer om eksempelvis organisationens interne forhold.

Hacking

En social medie-konto er et attraktivt mål for hackere, som ønsker enten at stille organisationen i et dårligt lys eller demonstrere utilstrækkelig sikkerhed omkring kontoen.

 Sociale medier tilgås via internettet, uanset om det er via en app eller en webside. Derfor er det vigtigt at bruge stærke passwords og tage højde for risikoen ved, at kontoen kan tilgås af en hacker fra en vilkårlig placering, blot der er internetadgang.

Split logins op

I stedet for at dele et login mellem medarbejderne, bør man anvende de tilgængelige værktøjer (eksempelvis Tweetdeck) til at give hver medarbejder sin egen konto, som får adgang til at lægge opslag på den officielle konto. Det betyder ganske vist, at der er flere konti, som kan angribes, men antallet af enheder med adgang til den officielle konto er det samme.

Der bør altid anvendes fler-faktor-autentifikation, hvor det er tilgængeligt.

Hvis platformen tilbyder det, bør man udskrive såkaldte "recovery codes", der er ekstra engangskoder, som kan give adgang til kontoen. Det er nyttigt, hvis det er lykkedes en hacker at skifte for eksempel telefonnummeret til SMS-koder. Recovery codes bør opbevares sikkert, gerne aflåst.

Der bør være en procedure for at fjerne en brugers adgang og nedlægge brugerens konto, når brugeren skifter funktion eller forlader organisationen. Denne procedure kan varetages af it-afdelingen, men kan med fordel også placeres hos den afdeling, som har ansvaret for indholdet på de sociale medier. Både medarbejdere og ledelse bør kende proceduren og være med til at sikre, at den overholdes.

Husk at fjerne adgange

Hvis man alligevel vælger at dele et login til en konto mellem flere medarbejdere, så skal man være opmærksom på, at det indebærer en væsentlig risiko. Man skal derfor skifte password, når medarbejdere forlader afdelingen. Dette nye password skal distribueres til de medarbejdere, som fortsat skal have adgang.

Det medfører i praksis ofte, at password bliver sendt via mail eller chat. Derfor er der en risiko for, at passwordet bliver sendt i klartekst over internettet eller usikre netværk. Et delt login gør det også vanskeligt at anvende fler-faktor-autentifikation.

Selvom man eksempelvis anvender Tweetdeck, så vil der stadig være en officiel konto med brugernavn og password, som skal beskyttes. Det er nødvendigt at tilgå denne konto for at give medarbejdere adgang fra deres personlige konti eller for at opdatere profilbilleder eller andre profiloplysninger. Man bør derfor håndtere den officielle konto på samme måde som en administratorkonto til ethvert andet it-system: Man logger kun ind, når det er nødvendigt, og login-oplysningerne bliver opbevaret sikkert.

Flere password-manager-applikationer tilbyder muligheden for at give medlemmer af et team adgang til en delt konto, uden at give hvert medlem selve passwordet. Det kan være en løsning, men man bør være opmærksom på, hvilke rettigheder team-medlemmerne har, når de kan logge ind, og den risiko det kan medføre.

Kompromittering

Skulle mediekontoen blive kompromitteret, bør kontrollen hurtigst muligt genetableres. Her er det utilstrækkeligt at forlade sig på mediets supportfunktion. Det er derfor nødvendigt at forberede sig på, at det sker.

 Der bør derfor være mere end én tilknyttet e-mailadresse, telefonnummer eller anden kanal, som kan anvendes til at nulstille passwordet. Når man har skiftet password, giver Facebook eksempelvis mulighed for at logge kontoen ud fra andre enheder inde fra profilens sikkerhedsindstillinger.

Ligesom for andre typer sikkerhedshændelser er det vigtigt at være forberedt. Læg en plan, der dækker over de trin, der skal til for at genetablere kontrollen. Planen bør også omfatte intern og ekstern kommunikation om hændelsen. Husk at det er en kompromittering, der ofte vil være fuldt synlig for offentligheden.

Overvej i hvilket omfang det er nødvendigt at sikre beviser for kompromitteringen, vejet op mod behovet for at standse kompromitteringen. Beviser kan være vigtige, hvis der skal følges op med retsligt efterspil, men hvis der fortsat sker skade, bør man prioritere at standse ulykken.

Misbrug af anmeldelser

En måde at chikanere en bruger eller organisation på sociale medier er at anmelde brugerens opslag eller konto. Man kan derfor havne i en situation, hvor opslag fjernes, eller kontoen spærres af medieplatformens supportmedarbejdere på baggrund af henvendelserne.

Her skal man være opmærksom på, at det ikke er alle sociale medie-tjenester, som har ressourcer til hurtigt at gennemgå en appel vedrørende en karantæne på tjenesten.

Overvej at have flere konti, så det er muligt at informere kunderne om, at en konto er suspenderet eller af anden grund utilgængelig.

Falske efterligninger

Ligesom et domænenavn kan efterlignes (eksempel.dk og eskempel.dk), så kan en social medie-konto også efterlignes. Det kan blandt andet være falske profiler

Det er desværre stort set umuligt at imødegå oprettelse af falske profiler på sociale medier, og de kan være vanskelige at få lukket. Det er heller ikke 100 procent muligt at validere, at en profil på et social medie tilhører den person eller organisation, den udgiver sig for. Men der er nogle tiltag, som kan øge brugernes mulighed for ar verificere autenticiteten af en profil.

Flere sociale medier tilbyder for eksempel en funktion, hvor en profil kan markeres som verificeret. Brugerne vil typisk se det som et tjekmærke ved siden af profilnavnet. Sådan et mærke er ingen garanti, men kan gøre det vanskeligere at oprette visse typer falske profiler. Twitter spærrer eksempelvis for muligheden for at ændre profilnavn og –billede, hvis profilen er verificeret. Det betyder, at en profil ikke kan oprettes og verificeres under ét navn og derefter skiftes til at efterligne en anden profil med nyt navn og billede uden ny verifikation fra Twitter.

Se eventuelt, hvordan man kan få et såkaldt ”blue checkmark” på sin Twitter-konto her: https://help.twitter.com/en/managing-your-account/about-twitter-verified-accounts

Man kan eventuelt etablere en fast monitorering, der søger efter profiler med navne, der kan forveksles med virksomheden eller myndighedens officielle konto. Ved mistanke om falske profiler kan man anmelde disse til det sociale medie, hvor de er set.

 

Kommentarer og delinger

Deling og interaktion med indhold er en helt central funktion i sociale medier. Kommentarer og delinger (for eksempel retweets) indebærer imidlertid en risiko for, at organisationens budskaber anvendes i en uønsket sammenhæng eller overdøves af negative eller upassende kommentarer.

Mulighederne for at moderere brugernes interaktion med indholdet varierer fra medie til medie. På Facebook er det muligt at slette individuelle kommentarer og opslag, mens det på Twitter forudsætter, at man blokerer brugeren. Moderation kan være vanskeligt og ressourcekrævende. Det er vigtigt at fastlægge retningslinjer eller rammer for de medarbejdere, der skal håndtere opgaven.

Udvikler negative kommentarer eller deling sig til chikane, bør man være opmærksom på, at det ikke altid er muligt at få assistance fra det sociale medies support. Det vil være op til den enkelte supporter at vurdere, om der er tale om chikane.

Det er derfor vigtigt at sætte sig ind i reglerne for det pågældende medie samt mulighederne for selv at begrænse og moderere indhold og individuelle brugeres muligheder for interaktion.

Forladte medier

Det er ikke alle sociale medier, der passer til alle organisationer. Og sociale medier kan miste popularitet, eller målgruppen kan ændre sig. Der er derfor en risiko for, at man som organisation skal forlade en social medieplatform.

Det kan også ske utilsigtet som følge af personaleændringer eller strategiske omprioriteringer. Derfor er det vigtigt, at organisationen er bevidst om, hvilke konti der er oprettet. Da brug af sociale medier sjældent kræver særlige licenser eller anden understøttelse fra it-afdelingen, er det ikke sikkert, at organisationens konti registreres på samme måde som kommercielle cloud-værktøjer. Der bør derfor være en organisatorisk enhed, som har ansvaret for at holde styr på, hvilke konti organisationen har på sociale medier.

Når en konto skal lukkes, er der to risici, man skal være opmærksom på. Hvis kontoen gøres inaktiv, men stadig eksisterer, kan den potentielt overtages og misbruges. Hvis kontoen slettes, kan en anden aktør potentielt oprette en ny konto med samme navn og misbruge organisationens identitet.

Hvis en konto gøres inaktiv, bør der derfor fortsat være knyttet en mailadresse til kontoen, som kan modtage notifikation om for eksempel forsøg på at nulstille password. Det kan også være en god idé at skifte password til et meget langt, tilfældigt genereret password, inden kontoen lukkes.

Insidertrusler

En social medie-konto kan give en utilfreds medarbejder en meget synlig kommunikationskanal. Det kan udmønte sig i upassende opslag, sletning eller ændring af profil eller tidligere opslag, eller i kompromittering af login-oplysningerne.

Det sidste kan ske enten ved, at den utilfredse medarbejder skifter password, så resten af organisationen ikke længere har adgang, eller ved at login-oplysningerne bliver delt med personer uden for organisationen på åbne eller lukkede forummer.

I det første tilfælde er det vigtigt, at organisationen har en procedure for at genvinde kontrollen med en social medie-konto. Der er som regel tilknyttet en e-mailadresse, som det er vigtigt at have adgang til. Her skal man være opmærksom på, at det er uhensigtsmæssigt at anvende en medarbejders mailadresse, da den pågældende medarbejder kan have forladt organisationen eller blot være utilgængelig, så der ikke er adgang til recovery-mails fra den sociale medieudbyder.

Bliver oplysningerne delt med uvedkommende, så er det vigtigt, at man er i stand til at opdage det. Her hjælper blandt andet fler-faktor-autentifikation. Man skal være opmærksom på, om man modtager en autentifikationskode til en konto, uden man har bedt om det. Det kan være et tegn på, at en uautoriseret bruger forsøger at logge på.

Visse sociale medier, heriblandt Facebook, giver også mulighed for at se, fra hvilke enheder der er logget ind på kontoen. Det bør være en fast rutine at sikre sig, at der ikke optræder enheder, som ikke burde være på listen. Man kan sammenligne den aktuelle status med en liste, der er hentet tidligere. Enhederne optræder som regel med et styresystem og en dato. Godkendte enheder har adgang, indtil der bliver logget ud på enheden, eller det access token (en softwarenøgle), der er udstedt til enheden, udløber. Det vil derfor være muligt at se, at nye enheder er kommet til, medmindre organisationen jævnligt skifter mellem de enheder, der bruges.

Utilsigtede hændelser

Utilsigtede hændelser er det mest udbredte problem ved sociale medier. Det dækker over de situationer, hvor bemyndigede brugere anvender det sociale medie på en måde, der går imod organisationens interesser, men uden at det sker i ond vilje.

Derfor er det vigtigt at have retningslinjer på plads for, hvordan organisationen kommunikerer på sociale medier. Det omfatter både det praktiske i forbindelse med logins og det rent kommunikationsmæssige med, hvad der kan siges og hvornår og hvordan.

Forkert konto

Hvis en bemyndiget bruger med adgang til organisationens sociale medie-konto også bruger det samme sociale medie privat, så er der en risiko for, at brugeren kan komme til at slå indhold op på organisationens konto, som skulle have været slået op privat.

For at mindske risikoen kan man sørge for at holde private konti adskilt ved at benytte forskellige enheder. Eksempelvis bør bemyndigede ikke være logget ind på det samme sociale medie med deres private konto på den samme pc eller telefon.

Det kan give udfordringer, hvis man har brug for at benytte sociale medier mobilt. Det kan eksempelvis være en kommunikationsmedarbejder, som skal lægge billeder op fra et arrangement, organisationen afholder, mens det finder sted. Her kan det være en idé at benytte to telefoner, så arbejdskonti kan holdes adskilt fra de private.

Og så skal man være forberedt på at slette, undskylde og eventuelt forklare, når det sker.

Upassende kommunikation

Generelt bør man ikke være bange for at lege med på det sociale medies præmisser. Disse medier udvikler sig løbende, og forskellige målgrupper kan have forskellige normer for kommunikation. Man kan altså stå i en situation, hvor kommunikationsteamet har udsendt et opslag, som de fandt passende ud fra deres erfaring og antagelse om mediet, men som målgruppen forstår ud fra en anden sammenhæng.

Sådan en miskommunikation kan især opstå på grund af alders- eller kulturforskelle, eksempelvis hvis modtagerne har en anden forståelsesmæssig baggrund end kommunikationsteamet. Den kan også opstå, hvis referencerammerne er forskellige.

Samtidig skal man være opmærksom på, at sociale medier også er massemedier, hvor man kan nå ud til personer, der ligger uden for de målgrupper, organisationen henvender sig til. Det kan være positivt, men det kan også øge risikoen for misforståelser.

Læk af følsom information

Et billede på Instagram kan sige mere end tusind ord, i hvert fald hvis man ikke er påpasselig. Mediet lægger op til, at man deler fotos fra hverdagen eller særlige anledninger, men ligesom private brugere skal tænke over, om de bør lægge fotos af børn på internettet, så skal organisationer også være opmærksomme.

Fordi en god social mediestrategi indebærer at give et indblik bag facaden, så kan man utilsigtet komme til at lække oplysninger, som burde være holdt inden for murene. Det kan eksempelvis være fotos, hvor der optræder kunder, partnere, medarbejdere eller sikkerhedsrelevante informationer, som ikke skulle have været offentliggjort.

Generelt bør man som organisation afklare, hvilke informationer der kan være følsomme. Det bør man også gøre, inden man opretter profiler på sociale medier. Oplysninger, som kan identificere medarbejdere og deres fysiske arbejdssted, kan udgøre en risiko for visse organisationer. Selv brug af en medarbejders fornavn i svar fra organisationen til brugere på sociale medier kan potentielt misbruges i målrettede phishing-forsøg.

Fotos kan også indeholde metadata, herunder GPS-koordinater, som kan komme med i opslaget på det sociale medie. Metadata kan ligge i billedfilen som EXIF-data. Det kan fjernes i de fleste billedbehandlingsprogrammer. Man kan også fjerne metadata i Windows ved at højreklikke på en billedfil, vælge egenskaber og derefter fjerne oplysningerne under fanebladet detaljer.

Visse sociale medier fjerner også automatisk EXIF-data. Man skal dog være opmærksom på, at selvom mediet fjerner metadata fra billederne, når de bliver vist, er det op til mediet, om de internt beholder informationen.

Tilsvarende kan oplysninger om brugerens fysiske placering i opslag på Twitter eller Facebook, eller den enhed, man anvender til opslaget, være information, man ikke ønsker at dele.

Derfor bør organisationen vurdere, hvilke typer information der er sensitive for organisationen, og tage stilling til, om disse typer information risikerer at blive delt direkte eller som metadata på de sociale medieplatforme, organisationen er til stede på. Ud fra risikovurderingen bør man overveje, om det er nødvendigt at indføre særlige restriktioner eller procedurer, som kan sikre mod utilsigtet deling. Det samme gælder naturligvis metadata og skjulte rettelser i dokumenter, der lægges op eller linkes til på sociale medier.