Microsoft 365: 10 sikkerhetshull vi finner hos nye kunder

Når vi overtar IT-driften for en ny kunde, kjører vi alltid en sikkerhetsgjennomgang av Microsoft 365. Resultatet er nedslående likt hver gang: de samme hullene går igjen hos 8 av 10 bedrifter – uavhengig av bransje og størrelse. Her er listen, så du kan sjekke din egen bedrift.

De 10 hullene vi finner oftest

  1. Ingen multifaktor-autentisering (MFA) for alle. Den enkleste og viktigste beskyttelsen som finnes. Uten MFA er et lekket passord det samme som en åpen dør.
  2. Gamle brukerkontoer som aldri ble slettet. Ansatte som sluttet for to år siden har fortsatt aktiv e-post og tilgang til filer.
  3. Administratorrettigheter på avveie. Fem personer har global admin – tre av dem vet ikke om det selv. Anbefalingen er to, med egne admin-kontoer.
  4. Ingen backup av Microsoft 365. Mange tror Microsoft tar backup for dem. Papirkurven er ikke backup – sletter noen et SharePoint-område, er det borte etter 93 dager.
  5. Videresending av e-post ut av huset. En klassisk angrepsmetode: angriper setter opp stille videresending til ekstern adresse og leser all e-post i måneder.
  6. Alle kan dele alt eksternt. SharePoint og OneDrive står på «alle med lenken kan se» – inkludert dokumenter med personopplysninger.
  7. Ingen beskyttelse mot direktørsvindel. Manglende DMARC/SPF/DKIM gjør at hvem som helst kan sende e-post som ser ut som den kommer fra sjefen.
  8. Utdaterte påloggingsprotokoller åpne. «Legacy authentication» (IMAP/POP) omgår MFA fullstendig og burde vært avslått for lengst.
  9. Ingen ser på varslene. Microsoft flagger mistenkelige pålogginger («umulig reise», nye land) – men ingen har ansvar for å følge med.
  10. Gjestetilganger uten utløpsdato. Eksterne konsulenter og samarbeidspartnere fra avsluttede prosjekter har fortsatt tilgang til Teams og dokumenter.

Hvorfor skjer dette?

Ikke fordi noen har gjort en dårlig jobb, men fordi Microsoft 365 er blitt et stort og komplekst system som «bare virker» – helt til det ikke gjør det. Standardinnstillingene prioriterer brukervennlighet, ikke sikkerhet. Og uten at noen eier sikkerhetsansvaret, skjer ingenting.

Sjekk din egen bedrift på 15 minutter

Vi tilbyr en gratis sikkerhetssjekk av Microsoft 365: en gjennomgang av nettopp disse ti punktene, med en konkret rapport over hva som bør fikses. Ingen forpliktelser – men du vet hvor dere står.

Bestill gratis sikkerhetssjekk her – eller les mer om hvordan Micronet drifter Microsoft 365 for norske bedrifter.