Är Slack säkert? Hur håller man sig säker när man samarbetar?

Över 8 miljoner människor utbyter varje dag meddelanden, filer och bilder i Slack. I synnerhet små- och medelstora företag har anammat Slack sedan lanseringen 2014, mestadels tack vare dess enkla implementering och användning.

Det är inte bara små företag som älskar Slack. När IBM valde Slack som sitt officiella verktyg för direktmeddelanden och samarbeten mellan deras över 350,000 anställda. så sågs det allmänt som en stor framgång för Slack i kampen mot Microsoft Teams.

Men hur säkert är Slack egentligen? Och vad kan man göra för att säkerställa att informationen du skickar är säker och förblir privat? Oavsett om du är arbetsgivare eller anställd kommer vi berätta allt du behöver veta om Slack och dess säkerhet.

Slack säkerhets- och sekretessfrågor

Onlinesekretessen och säkerheten för datan som skickas över plattformen är rimliga frågor att lyfta, oavsett om du använder Slack på datorn eller Slack-appen på en mobil enhet. Som tur är har Slack några gedigna säkerhetssystem och policys som håller din data säker.

Så hanterar Slack data

Slack slarvar inte när det handlar om datasäkerhet. Företaget använder säkerhet i företagsklass för att uppfylla globala krav och säkra Slack-informationen.

Företaget har belönats med en rad olika säkerhetsrelaterade certifikat, inklusive ISO/IEC 27001, 27017, 27018, och 27701, SOC 2, SOC 3, APEC för bearbetning och APEC för granskning. Slack efterlever HIPAA och FINRA, och har dessutom implementerat ett GDPR-efterlevnadsprogram.

Slack krypterar data som vilar och data som behandlas. Tjänsten erbjuder även andra säkerhetsfunktioner för att skydda känslig data, som tvåfaktorautentisering, tidsbegränsade sessioner och sessionhantering. Men den använder inte end-to-end-kryptering eftersom de vill ge admins möjlighet att komma åt kommunikation för verksamhetssyften.

Så hanterar Slack säkerhetshot

Vid sidan av de robusta säkerhetsåtgärderna ovan bekämpar företaget cyberskurkar med hjälp av deras Slack bug bounty-program. Det innebär att vem som helst kan rapportera sårbarheter som man hittar i Slack och få en belöning för det. Sedan kan Slack jobba med att plåstra om såren och stärka deras programvara. Bug bounty-programmet uppmuntrar till att upptäcka säkerhetsbrister i Slack innan de har utnyttjats.

Många av de mest sårbara punkterna har identifierats genom bounty-programmet och Slack har kunnat fixat dessa innan de utnyttjats. Sedan programmets lansering har Slack delat ut över 900,000 $ i belöning till användare som har identifierat potentiella sårbarheter på Slack-plattformen.

Så hanterar Slack myndighetskrav

Slacks integritetspolicy hävdar att de inte frivilligt lämnar ut information till myndigheter, men de kommer dock att efterleva krav som uppstår från en rättslig process. Det betyder att företaget lagrar information och kommer att lämna ut den om lagen kräver det.

Men vem eller vad inkluderas i en giltig rättslig process? Uttrycket hänvisar till alla inblandade i en rättstvist, vilket kan inkludera en konkurrent som stämmer dig eller ditt företag. De kan be rätten att tvinga Slack till att lämna över informationen som finns i dina Slack-kanaler. Det kan vara viktig information som du inte vill att dina konkurrenter ska få ta del av. Detta mardrömsscenario är mycket osannolikt, men inte helt omöjligt.

Generellt sett är inte tanken på att ditt företags interna kommunikation skulle kunna läsas av utomstående särskilt lockande, även om det i vissa fall är nödvändigt. Varje år släpper Slack en transparensrapport som summerar alla utlämningar relaterat till giltiga rättsliga förfrågningar. Fastän antalet utlämningar är lågt så har de delat konfidentiella uppgifter.

Är dina Slack-chattar säkra?

Som anställd kanske man är mindre bekymrad över hur sårbar företagets känsliga data är, och mer angelägen över hur privat din personliga information är i Slack.

Som med de flesta företagsverktygen bör man utgå ifrån att allt du gör sparas och granskas av din chef, deras chef eller HR-avdelningen. Slack är inte ett undantag från detta antagande.

Du kan dock enkelt kontrollera hur och vilken information din organisation sparar. Så här gör du:

1. Från Slacks datorapp, klicka på More > Account Settings. Du omdirigeras då till en Slack-webbsida.
2. Klicka på About This Workspace på vänstersida av skärmen (du kan komma att behöva öppna ”Menu” först).
3. Klicka på Retentions & Exports.
4. Under What data can my admins access? finns det en beskrivning av vilken information som går att komma åt.
5. Du kan följa länken Learn More för att se alla tillgängliga alternativ för datalagring och åtkomst.

Skillnaden mellan offentliga kanaler, privata kanaler och direktmeddelanden är särskilt viktig här. Admins kan ha tillåtelse att endast exportera data från öppna och offentliga kanaler, medan dina direktmeddelanden är låsta, privata kanaler kan inte delas med andra än deltagarna i dessa konversationer. Trots det bör du ha i åtanke att det alltid är enkelt att ta skärmbilder, även av privata meddelanden.

Som en tumregel är det bra att inte skicka något i text som du inte vill ska offentliggöras. Det är alltid bäst att spara irriterade kommentarer om din chef eller klagomål på en kund till din afterwork med kollegorna.

Så håller du dig säker i Slack

Även om säkerhetsåtgärderna finns på plats så är Slack trots allt en molnbaserad tjänst, och detta faktum gör att den är sårbar för skickliga cyberskurkar. Här är åtta sätt som du kan maximera din säkerhet och minska dina sekretessbekymmer hos Slack på.

1. Dela inte konfidentiell information

Lämna aldrig ut lösenord eller annan konfidentiell eller känslig information via Slack. Det inkluderar att inte skicka filer som innehåller privat-, företags- eller kundinformation.

Om du behöver ge en kollega lösenordsuppgifter, då bör du överväga att använda en lösenordshanterare. 1Password erbjuder en användbar teamlösning för att dela lösenord över hela företaget. Övrig konfidentiell och känslig information bör skickas via säkrare interna kanaler som är svåra att upptäckas av hackers och inte faller offer för ett domstolsbeslut.

2. Kräv tvåfaktorautentisering

Det är alltid bra att använda tvåfaktorautentisering (2FA) för inloggning. När du använder det kan du logga in på Slack med ditt lösenord och en verifieringskod som du tar emot via telefonen. Den här multifaktorautentiseringen gör det mycket svårt att få tillgång till Slack med enbart inloggningsuppgifter.

Du kan ställa in 2FA på ditt Slack-konto antingen via en autentiseringsapp eller ett SMS-meddelande genom följande steg:

1. Gå till din profil och klicka sedan på ”More” och gå till ”Account settings”.
2. Klicka på ”Expand” bredvid ”Two-Factor Authentication” och välj ”Set Up Two-Factor Authentication”.
3. Ange ditt lösenord och klicka på ”Confirm Password”.
4. Välj antingen ”Use an app” eller ”SMS Text Message” beroende på din önskade metod.
5. Följ instruktionerna för att ansluta till din app (genom en QR-kod) eller telefonnummer.
6. Ange koden du får via SMS eller appen och klicka sedan på ”Verify Code”. Nu kan du logga in med 2FA.

Ha i åtanke att det här endast är processen för hur man ställer in tvåstegsverifiering för ett användarkonto. Om du vill göra detta för hela företaget behöver du se till att alla dina anställda aktiverar det här alternativet.

För företag som redan använder ett Single Sign On-protokoll kan 2FA användas för att ge extra säkerhet.

3. Skapa ett system för att hantera onboarding och offboarding av anställda

För större arbetsgivare är en av de största utmaningarna att hålla koll på vilka anställda som har har åtkomst till Slack. För att undvika oönskad åtkomst av arbetare som inte längre är inom företaget och säkerställa att nya anställda har vältajmad datatillgång är det viktigt att ha en dokumenterad process för Slack-åtkomsten.

Se till att någon inom organisationen ansvarar för att dela och neka åtkomst till Slack omedelbart när det sker förändringar i arbetsstyrkan.

Genom att upprätthålla korrekt och uppdaterad åtkomst till Slack kan arbetsgivare undvika risken av att tidigare anställda har tillgång till Slack och använder det på opassande sätt.

4. Utbilda användare om bästa praxis för Slack

Företag som använder Slack för att samarbeta bör ägna tid för att säkerställa att alla anställda förstår företagets användningspolicys för Slack. Ett sätt att effektivisera denna process på är genom att använda sig av ditt företags e-postsäkerhetspolicys i Slack.

Men det krävs mer än att bara skriva ner policyn någonstans. Företag bör inkludera Slack-utbildningen i introduktionsprocessen för anställda. De bör även erbjuda periodiska repetitionskurser som ser till att informationen sitter färskt i minnet.

5. Använd kanaler för att hantera åtkomst för utomstånde användare

Om du samarbetar med kunder eller leverantörer i Slack, begränsa då åtkomst till företagsinformationen genom att skapa kanaler. Du kan använda Slack Connect för att bjuda in dem och kontrollera informationen de har åtkomst till.

Säkerställ att du vet precis vilka privata och offentliga kanaler som utomstånde har tillgång till. Radera sedan kanalen när projektet är slutfört så försvinner den externa åtkomsten.

6. Var försiktig med att integrera tredjepartsappar

Slack erbjuder en mängd appar som man kan integrera, inklusive Google Drive och Dropbox. Denna praktiska funktionalitet medför extra risker. För varje tredjepartsapp som ansluts till Slack ökar risken för potentiella sårbarheter – Slack är bara så säkert som säkerheten i den svagaste integrerade appen.

Även om de populäraste integrationerna generellt sett är säkra så är det klokt att hålla sådana anslutningar till ett minimum. Admins bör vara de enda som godkänner dessa integrationer, vilket eliminerar möjligheten för anställda att lägga till riskfyllda tredjepartsappar på egen hand.

7. Akta dig för nätfiskeattacker

Likt emails är inte Slack heller immuna mot nätfiskeattacker. 2017 skickade hackers ut fejkade Slackbot-meddelanden till en entusiastisk kryptovalutagrupp i Slack. De här meddelandena ledde dem till en bedräglig webbsida som bad om finansiella uppgifter. Direktmeddelanden i Slack är också en favoritmetod inom nätfiske för att nå oförsiktiga Slackanvändare.

De flesta känner igen nätfiskeattacker som landar i mailkorgen, men farliga direktmeddelanden som man mottar via nyare teknologier som Slack gör användarna mindre misstänksamma. Hackers utnyttjar den lägre misstänksamheten för att lura oanande användare att delge konfidentiell information, men bara genom att vara medveten om knepen som används inom nätfiske sänker man risken för detta.

8. Använd ett bra antivirusprogram

Varje gång du beger dig online finns det en risk att malware infekterar din enhet, så är också fallet med Slack. Det är alldeles för enkelt att av misstag klicka på en skum länk eller för en anställd att öppna en suspekt bilaga. När det händer finns det en stor risk att skadligt innehåll hamnar på en enskild dator eller på en organisationstäckande server.  Ett gediget antivirusskydd identifierar snabbt de här hoten och utrotar dem innan de skapar större problem.

Kolla in våra rekommendationer för det bästa antivirusprogrammet 2021 för att lära dig mer om hur antivirusprogram kan hjälpa dig att vara säkrare online och hitta en lösning som fungerar för dig.

Summerande tankar

Slack är ett enormt populärt verktyg för direktkommunikation och samarbete, men fördelarna med Slack för även med sig säkerhetsrisker.

Det är viktigt för företag och privatpersoner som använder Slack att vara uppmärksam på säkerhetshoten och vidta åtgärder som minimerar dem. Undvik att skicka konfidentiell information via Slack, använd tvåfaktorautentisering för ett extra säkerhetsskikt vid inloggningen och kontrollera vilka som har åtkomst till Slack.

Grundläggande säkerhetsåtgärder kombinerat med Slacks egna rigorösa säkerhetsprotokoll gör Slack till ett säkert och effektivt samarbets- och kommunikationsverktyg.