Foto

Dreamstime.

Datasikkerhet: Slik beskytter du organisasjonen din

Publisert: 27. juni 2016 kl 10.08
Oppdatert: 24. november 2021 kl 13.46

Ransomware tilhører programvare-kategorien malware, som har til hensikt å skade mottakeren. Programvaren blir lurt inn i organisasjonen og sperrer tilgang til datafiler ved å kryptere dem. Først når du betaler ransom (løsepenger, red.anm.) får du åpnet filene igjen.

Såfremt skurkene er ærlige, da.

Ingen tom trussel

– Bedrifter og andre organisasjoner er blitt vant til å høre advarsler om datatrusler uten å oppleve å bli rammet. Derfor er det fristende å trekke på skuldrene av ransomware-trusselen. Det bør man ikke gjøre, sier Fredrik Svantes, leder av Basefarm SIRT (Security Incident Response Team).

– Til gjengjeld virker botemidlene mot ransomware preventivt også mot mange andre trusler, legger han til.

Basefarm er driftsleverandør av komplekse it–løsninger for virksomhetskritisk programvare. Selskapet har store, tunge virksomheter på referanselisten inkludert offentlig forvaltning, transportselskaper og finansvirksomheter. Alle er avhengige av uavbrutt drift av it-systemene sine. Som ansvarlig for dette følger Basefarm it-trusselbildet tett.

– Vi har sett angrepsforsøk. Spesielt sårbare er litt større selskaper med god økonomi, bekrefter Svantes.

Saken fortsetter under annonsen

Taper tid og inntekter

Historiene om angrep ruller inn over oss. Dette er to av dem: Et sykehus i California ble infiltrert. For å få tilgang til sine egne pasientjournaler, betalte det 20.000 dollar. I januar i fjor tok ransomware hånd om over 20 millioner filer hos det svenske Skolverket.

Skolverkets historie er den mest typiske av alle. I henhold til dn.se (Dagens Nyheter) åpnet en medarbeider en fil som havnet i e-postkassen. Dermed ble vedkommendes pc, og hele organisasjonens dokumentserver, infisert. På serveren lå de fleste dokumentene som medarbeiderne hadde, inkludert beslutninger, rapporter og annet underlagsmateriell.

Det tok nesten en uke å tilbakestille serveren fra en backup fra dagen før.

– En uke uten tilgang er lenge og vil innebære forsinkelser og tap. Selv om rådet man får er ikke å betale løsepenger, lar mange seg friste for å få tilbake tilgang til filene sine. Ikke å få filene på plass kan jo være total katastrofe. Tendensen er at løsepengekravenes størrelse stiger ettersom betalingsvilligheten er der, sier Svantes.


«Skurkene tjener penger på dette og har derfor ingen problemer med å betale for annonsene»

Infiserte annonser

Saken fortsetter under annonsen

Infeksjonen kan også komme fra infiserte nettsteder. Mange som hører dette tenker intuitivt at noen da har besøkt nettsteder som de ikke burde.

Imidlertid blir ransomware distribuert gjennom annonsenettverk i annonser som finnes hos de aller fleste, helt vanlige sider, inkludert nettaviser og blogger. Vil du distribuere et virus, kan du med andre ord kjøpe annonseplass og for eksempel laste opp en fil med flash-animasjon. Brukere uten oppdatert flash-programvare/klient på maskinene sin er da utsatt for infeksjonsfare.

– Skurkene tjener penger på dette og har derfor ingen problemer med å betale for annonsene.


«Spesielt sårbare er litt større selskaper med god økonomi»

Tar TV-en og andre ”Internet-things”

Problemet med ransomware og annen malware vil vokse som følge av utbredelse av Internet of Things (IoT). Disse tingene er knyttet opp til nettet på en eller annen måte.

Mange av dem er rimelige, sammenlignet med for eksempel en server eller pc. De kan være sikret ved anskaffelse, men produsentene og du kan være lite interesserte i å ta kostnadene ved å holde dem sikkerhetsmessig ajour. De første tv-apparatene er allerede blitt overtatt av lavpris-ransomware. For noen hundrelapper kan du få enheten opp igjen. Enda mer alvorlig er at livskritisk, medisinsk utstyr kan være åpen for denne type angrep.

Saken fortsetter under annonsen

Beskytter du deg mot ransomware, virker metodene også mot annen malware og andre typer angrep, hevder Svantes.

Slik beskytter du virksomheten mot ransomware

Sørg for riktig kunnskap og kultur i organisasjonen:
  • I og med at antivirussystemer og brannmurer regelmessig blir oppdatert og blokkerer vanlige masseangrep, går skurkene nye, snedige veier
  • Et fenomen som brer om seg er at angrepene blir rettet mot enkeltpersoner. Ved noen søk på Facebook, LinkedIn eller andre sosiale kanaler får de informasjon om personer og deres nettverk. Så sender de e-poster til ofrene som føler seg trygge ut i fra det personlige preget på informasjonen
  • Konsekvensen av dette er at virksomheter må etablere en kultur som har kunnskap om denne type fremgangsmåter og dermed ha ekstra oppmerksomhet i forhold til hva som kan skje. Sunn skepsis til e-post og minnepinner må være en del av en slik kultur. For det første bør man ikke åpne alle e-poster. For det andre bør man ikke åpne alle vedlegg. For det tredje; ikke svare på alt. Og ikke stikk ukjente minnepinner inn i pc-er
Ha rutiner for å håndtere angrep. Sørg for at alle kjenner til dem:
  • Noen tar sjansen på å åpne en e-post fordi de ikke vil være til bryderi eller eksponere sin dumhet. Åpenbart ingen god idé. Folk må vite hvem de kan spørre om råd og at de vil bli tatt vennlig og profesjonelt i mot
  • Også dersom noe inntreffer må varslingsrutinene være krystallklare, ansvarsfordelingen udiskutabel og tiltakene umiddelbare. Organisasjonen må ha overvåkingsutstyr og kontroll med utstyr, inkludert å sørge for abonnementer på sikkerhetsoppdateringer.
  • En del av beredskapen er å øve. Øvelser kan skje på forskjellige nivåer; fra innad i it-avdelingen til hele organisasjonen
Ha backup og sjekk at den virker:
  • Dette rådet har du hørt før: ta backup. Men har du en backup som er rimelig ny, og restore-prosesser som virker, vil du klare deg relativt bra selv om du blir utsatt for ransomware
  • Du kan ikke ta backup av databasebaserte systemer (CRM, ERP, økonomisystemer etc.) som er i drift. Slike systemer må derfor settes opp til å ta backup av sine egne data og så tar du backup av disse backupene. Ingen backuper er trygge før at du har testet at det går an å bruke dem (restore). Backup til skyen kan være bra, men husk at det kan ta lang tid å overføre store mengder data
  • Sperr backupserveren for alle typer brukere unntatt selve backupprogramvaren. Da forhindrer du infeksjonen i å ødelegge backupen
Segmenter nettverk og rettigheter:
  • Dette innebærer å sørge for at forskjellige medarbeidere kun har lese og skrivetilgang til akkurat de områdene på en server som de trenger. Dersom de blir utsatt for ransomware vil dette da kun ramme disse områdene
  • Dessuten bør ikke brukeren ha rettighet til å installere programvare eller kjøre programvare som administrator. Dermed vil en eventuell infeksjon begrense seg til det brukeren har rettigheter til, og ikke enkelt kunne ta over hele pc-en
Sørg for oppdatert programvare:
  • Dette gjelder både klienter og servere. Flash og Java er to utsatte systemer hvor mange av infeksjonene skjer i dag. Utdatert programvare kan ha sikkerhetshull som skurkene trenger igjennom
Begrens hvilke programmer brukerne kan kjøre:
  • De fleste kjører antivirus i dag, men antivirus kan bare stoppe kjent skadevare. Hver dag kommer nye varianter som antivirus ikke kjenner igjen, fordi angriperne forandrer skadevaren og tester den mot vanlig antivirus rett før de sender den ut
  • Hvitelisting er motsatt taktikk: I stedet for, eller i tillegg til, å vedlikeholde en liste over programmer man ikke vil kjøre, vedlikeholder man en liste over programvare man faktisk vil ha. Ransomware står ikke på den lista, og vil derfor ikke bli kjørt
  • Hvitelisting har vært vanskelig å få til i praksis, men blir nå stadig enklere å ta i bruk. Det er den mest effektive teknikken mot ransomware
Ha en oppdatert brannvegg (firewall):
  • Brannveggen forhindrer brukere utenfra å komme inn på lokalnettverket. Klassiske brannmurer sperrer av innganger. Men, noen porter slik som port 80 (vanlig www/http) må som regel være åpen, og angrep via denne vil dermed ikke stanses av en klassisk brannvegg. Mer avanserte brannmurer overvåker derfor innhold som passerer gjennom portene. Uansett er det mindre risiko ved PC-bruk bak en brannvegg enn foran
Bruk intrusion detection systems (IDS):
  • IDS-systemer overvåker trafikken på nettverket. Dersom systemet ser at en datamaskin begynner å sende store mengder data eller kontakter servere som den ikke pleier å bruke, er dette en tidlig indikasjon på infisering. Indikasjonen kan brukes til å sperre maskinen og beskytte andre
Kilde: Fredrik Svantes / Basefarm