Når de digitale bandittene kommer
Markus Andersen er sikkerhetsekspert i Webstep.
SYNSPUNKT. 24. august varslet Stortinget at de folkevalgte var blitt utsatt for et stort dataangrep. Denne uken skapte UD store overskrifter da de anklaget Russland for å stå bak datainnbruddet i Norges viktigste demokratiske institusjon.
Saken føyer seg inn i rekken av cyberangrep og sikkerhetshendelser den siste tiden. Senest 8. oktober oppdaget politiet ukjent aktivitet i sine nettverk, der et antall e-postkontoer er berørt. Dette skjer altså ikke lenge etter at både Stortinget, Norfund, flere små og mellomstore organisasjoner i helsesektoren og syv kommuner har blitt utsatt for e-postsvindel, phishing og skadevaren Emotet.
Bare i Norfund, som er statens investeringsfond for næringsvirksomhet i utviklingsland – og som forvaltes av utenriksdepartementet, ble over 100 millioner svindlet til Mexico. Svindlerne kom på innsiden av e-postsystemet til Norfund, før de forfalsket og manipulerte en informasjonsutveksling mellom Norfund og en låntaker.
Samtidig advarer Cybersecurity and Infrastructure Security Agency (CISA) mot en økning i antall Emotet botnet-angrep. Emotet er designet for å spre skadelig programvare hovedsakelig rettet mot statlige og lokale myndigheter. Cybersikkerhetsbyråer i Canada, Frankrike, Japan, New Zealand, Italia og Nederland har alle rapportert skarpe økninger i Emotet-relatert aktivitet.
Og nå har altså denne skadevaren kanskje også påvirket politiets systemer.
Et evig våpenkappløp
Med stadig flere, og mer avanserte, cyberangrep mot næringslivet, blir et økende antall næringslivsledere naturlig nok opptatt av digital sikkerhet. De fleste styrker sikkerheten ved å kjøpe en spesiell løsning eller et produkt de har fått anbefalt. Utallig er de gangene jeg har blitt spurt av næringslivsledere om hvilket sikkerhetsprodukt de bør kjøpe for å sikre sine webløsninger eller maskiner - slik at de ikke lenger trenger å tenke på sikkerhet. Tanken er riktig, sikkerheten må styrkes, men fremgangsmåten blir feil.
Rådfør deg med en hvilken som helst seriøs ekspert på digital sikkerhet, og du vil alltid få det samme svaret: Du kan aldri slutte å tenke på digital sikkerhet. Kriminelle i cyberspace jobber kontinuerlig for å finne nye måter å bryte seg inn. Du må jobbe kontinuerlig for å sikre at dine forretningskritiske data og informasjon er forsvarlig «innelåst». Dette er et våpenkappløp som aldri tar slutt.
Du må jobbe kontinuerlig for å sikre at dine forretningskritiske data og informasjon er forsvarlig «innelåst».
Antivirus uten effekt
Tillat meg et eksempel: En kunde fortalte meg en gang hvor stolt og fornøyd han var med selskapets nye antivirus-programvare. Denne programvaren hadde de fått anbefalt og de hadde betalt litt ekstra for denne løsningen, nettopp fordi de ønsket å være beskyttet mot virus. Dette var i en periode der jeg var innleid som sikkerhetsrådgiver for å kartlegge kundens trusselbilde og risikonivå. Det var nødvendig å forklare at antivirus ofte er designet for å stoppe generiske virus, og til å bistå med å oppdage uforutsette hendelser. For å bevise dette genererte jeg to virus, som var designet for å kunne koble til og ta over windows-maskiner. Det første viruset var helt generisk og kjent skadevare, som øyeblikkelig ble oppdaget og stoppet av antiviruset. Deretter endret jeg på kun en linje med kode før jeg kompilerte viruset og sendte på nytt. Resultatet ble at verken kunden eller antivirus-programvaren oppdaget det nye programmet.
Eksempelet viser hvordan sikkerhetsløsninger ikke nødvendigvis oppdager all skadevare eller angripere. Mitt mål er å få mine kunder til å forstå at sikkerhetsprodukter ikke løser alle sikkerhetsproblemer. Derfor er det viktig å gjøre riktige vurderinger for å finne de mest kostnadseffektive løsningene.
Høy bevissthet avgjørende
Som sikkerhetskonsulent har jeg opplevd mange virksomheter med altfor stor tiltro til sine IT-leverandørers håndtering av IT-sikkerhet. Nasjonal sikkerhetsmyndighet uttalte nylig i rapporten "Helhetlig digitalt risikobilde 2020" at det er lav bevissthet om informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester (herunder skytjenester). Den bevisstheten må økes både i offentlig og privat sektor.
Vi må få et bevisst forhold til hva som er akseptert risiko og hva som ikke er det. Vi må vite hvilke trusler som er mest sannsynlig og hvilke som gjør størst skade. Og, viktigst av alt, vi må ha klart for oss hvordan vi minimerer risiko og gjenoppretter skade raskt. Alt dette må vi gjøre før de digitale bandittene kommer. Når hackerne først trekker sine våpen kan det være for sent. Med mindre du er Lucky Luke og trekker raskere enn din egen skygge.