Jeres forening håndterer persondata, økonomi og vigtige dokumenter. Selv små foreninger kan være mål for svindlere og hackere. Denne guide giver jer de grundlæggende værktøjer til at beskytte foreningen – uden at det behøver at være kompliceret.
Hvorfor IT-sikkerhed?
Risici for foreninger
Hvad kan gå galt:
- Hacket email (svindel sendes i jeres navn)
- Tab af data (medlemsregister, regnskab)
- Svindel mod kassereren
- Kompromitterede sociale medier
- Uautoriseret adgang til systemer
Konsekvenser
Den gode nyhed
De fleste angreb kan undgås med:
- Stærke adgangskoder
- To-faktor autentificering
- Sund fornuft
- Backup
Adgangskoder
Hvad er en stærk adgangskode?
Gode adgangskoder:
- Mindst 12 tegn
- Blanding af store og små bogstaver
- Tal og specialtegn
- Unikke for hver tjeneste
- "password123"
- Foreningsnavnet
- "1234567890"
- Samme adgangskode overalt
Adgangskodemanager
Hvad er det: En app der husker alle jeres adgangskoder sikkert.
Populære løsninger:
- Bitwarden (gratis/billig)
- 1Password
- LastPass
- Dashlyn
- Én adgangskode at huske
- Genererer stærke adgangskoder
- Virker på alle enheder
- Kan deles i teams
Deling af adgangskoder i bestyrelsen
Undgå:
- At sende adgangskoder på email
- At skrive dem på Post-its
- At én person har alle adgangskoder
- Brug en delt adgangskodemanager
- Dokumentér hvem der har adgang til hvad
- Skift adgangskoder ved bestyrelsesvalg
To-faktor autentificering (2FA)
Hvad er 2FA?
Ekstra sikkerhedslag: Ud over adgangskode skal du bekræfte med:
- En kode fra app (mest sikker)
- SMS-kode
- Email-bekræftelse
Hvor skal I bruge det?
Prioritér:
Sådan aktiverer I 2FA
Generelle trin:
Anbefalede apps:
- Microsoft Authenticator
- Google Authenticator
- Authy
Email-sikkerhed
Hvorfor email er kritisk
Email er nøglen til alt:
- Nulstilling af adgangskoder
- Kontakt med bank og myndigheder
- Foreningens ansigt udadtil
Beskyt foreningens email
Grundlæggende:
Genkend phishing
Phishing-mails forsøger at narre jer:
- "Din konto er suspenderet"
- "Bekræft dine oplysninger"
- "Hastende: Handling påkrævet"
- Afsenderadressen (ikke kun navnet)
- Links (hold musen over uden at klikke)
- Stavefejl og mærkeligt sprog
- Pres på at handle hurtigt
- Klik IKKE på links
- Ring til afsenderen på kendt nummer
- Spørg en anden i bestyrelsen
CEO-svindel / Direktørsvindel
Sådan fungerer det: En svindler udgiver sig for at være formanden og beder kassereren om at overføre penge hurtigt.
Eksempel:
```
Fra: Formand Lars
Hej [Kasserer],
Kan du hurtigt overføre 15.000 kr til denne konto? Det er til en leverandør der skal have pengene i dag. Jeg forklarer senere.
Mvh Lars ```
Beskyt jer:
- Verificér altid ved opkald
- Hav faste procedurer for betalinger
- To personer godkender større beløb
- Vær skeptisk ved hasteanmodninger
Sociale medier
Sikring af foreningens profiler
Grundlæggende:
- Stærke, unikke adgangskoder
- To-faktor på alle konti
- Flere administratorer
- Fjern adgang for folk der stopper
Facebook-side sikkerhed
Tips:
Hvis I bliver hacket
Handlingsplan:
Data og backup
Hvad skal I beskytte?
Vigtige data:
- Medlemsregister
- Regnskab og bilag
- Kontrakter og aftaler
- Mødereferater
- Billeder og dokumenter
Backup-strategi
3-2-1 reglen:
- 3 kopier af vigtige data
- 2 forskellige medier (cloud + lokal)
- 1 kopi offsite (f.eks. cloud)
Praktisk backup
Automatisk cloud-backup:
- Google Drive
- Microsoft OneDrive
- Dropbox
- Ekstern harddisk
- USB-stik (til det vigtigste)
- At backup rent faktisk virker
- At I kan gendanne data
- At backup er opdateret
Hjemmeside-sikkerhed
WordPress-sikkerhed
Hvis I bruger WordPress:
Tip: Mehosting tilbyder administreret WordPress-hosting med automatiske opdateringer og backup.
SSL-certifikat
Hvad er det: Krypteret forbindelse (https://)
Hvorfor vigtigt:
- Beskytter data
- Tillid fra besøgende
- Bedre Google-placering
GDPR og persondata
Foreningers forpligtelser
I behandler persondata:
- Navne og kontaktinfo
- Betalingsoplysninger
- Måske sundhedsinfo (allergier etc.)
- Kun indsamle nødvendig data
- Opbevare sikkert
- Slette når ikke længere nødvendigt
- Informere om jeres behandling
Sikker opbevaring af persondata
Gør:
- Brug krypterede cloud-tjenester
- Begræns adgang til dem der har behov
- Slet data for udmeldte medlemmer
- Brug sikre systemer (medlemssystem)
- Excel-ark på åbne netværksdrev
- At sende lister på email
- At gemme data lokalt på private computere
Sikkerhed ved bestyrelsesvalg
Overdragelse af IT
Tjekliste ved bestyrelsesvalg:
Dokumentation
Hav en liste over:
- Alle systemer foreningen bruger
- Hvem der har adgang
- Hvordan man får adgang
- Kontaktinfo til leverandører
Praktiske procedurer
Sikkerhedspolitik
Lav enkle regler:
Årligt sikkerhedstjek
Gennemgå årligt:
- Hvem har adgang til hvad?
- Er alle adgangskoder stærke?
- Er 2FA aktiveret overalt?
- Virker backup?
- Er systemer opdaterede?
Når noget går galt
Tegn på sikkerhedsbrud
Vær opmærksom på:
- Emails I ikke har sendt
- Opslag I ikke har lavet
- Medlemmer der får mærkelige beskeder
- Kan ikke logge ind
- Ukendte transaktioner
Hvad gør I?
Handlingsplan:
Træning af bestyrelsen
Awareness
Alle bør vide:
- Hvordan man genkender phishing
- Vigtigheden af stærke adgangskoder
- Hvad man gør ved mistanke
- Hvem man kontakter
Simpel træning
Afhold 30 minutters gennemgang:
- Vis eksempler på phishing
- Gennemgå adgangskodepolitik
- Demonstrer 2FA
- Diskutér scenarier
Ressourcer
Gratis hjælp
Danske ressourcer:
- Sikkerdigital.dk (myndigheder)
- CFCS.dk (Center for Cybersikkerhed)
Print en tjekliste
Hav sikkerhedstjeklisten ved hånden ved bestyrelsesmøder. Find billige printerpatroner hos Tonerland.
Tjekliste: IT-sikkerhed for foreninger
Grundlæggende (start her)
Næste niveau
Avanceret
Konklusion
IT-sikkerhed for foreninger:
- Er vigtigere end mange tror
- Behøver ikke være kompliceret
- Handler mest om gode vaner
- Beskytter både foreningen og medlemmerne
Husk: De fleste angreb rammer dem med svage forsvar. Selv basale sikkerhedstiltag gør jer til et langt sværere mål.
Læs også: GDPR for foreninger og Online møder og samarbejde