Denne artikkelen er ment som en introduksjon og oversikt, og vil følges opp av flere artikler som dykker dypere ned i temaene.
Økonomisk vinning og forretningsrisiko
Informasjon er verdifullt. Hva er kundelisten verdt, regnskapet eller markedsplanene for det neste året? Hvor lenge kan virksomheten greie seg uten tilgang til fagsystemene. Datakriminalitet har blitt en milliardindustri. Fellesnevneren er ofte at informasjonen som stjeles eller krypteres ikke nødvendigvis er verdt noe for angriperne, men den er verdt noe for deg. Foruten tapt omdømme, omsetning og produksjon, kan virksomheten bøtelegges dersom det oppdages brudd på lover og regler (som GDPR).
Covid-19
I 2020 traff covid-19 verden med full styrke og medførte en drastisk økning i antall phishing angrep verden over. Angripere utnyttet menneskers frykt og behov for informasjon ved å sende e-poster med inneholdt relatert til pandemien. Målet var å infisere maskiner og enheter med enten programvare for å benytte maskinen i et botnett og senere et DDoS-angrep, eller løsepengevirus.
Selskaper måtte sende ansatte til hjemmekontorløsninger og landskapet ble drastisk forandret. Informasjon som normalt aldri forlot virksomhetens nettverk, befinner seg nå i de tusen hjem. For mange vil den hurtige overgangen til hjemmekontor ha økt angrepsflaten aktørene kan utnytte.
Hvem er aktørene?
Ulike aktører med ondsinnede hensikter finnes på internett; alt fra hacktivister, terrorister, kriminelle og rett og slett soldater som handler på vegne av nasjoner eller etterretningsorganisasjoner. Forskjellen mellom de ulike aktørene er i hovedsak hvilke metoder de benytter, og hva motivasjonen bak handlingene er.
De vanligste metodene er phishing, spesielt spearphishing, tjenestenektangrep (DDoS), løsepengevirus og utnyttelse av sårbarheter som enda ikke er oppdaget eller publisert (såkalte Zero-day angrep).
Motivasjonen er oftest økonomisk vinning. Spesialiserte selskaper eller individer jobber med å finne åpninger eller sårbarheter hos selskaper. Disse kan selges videre til en annen aktør som utnytter den i et faktisk angrep med eksempelvis løsepengevirus. Disse krypterer dataene til målet for angrepet og krever penger for å gjøre dem tilgjengelige igjen. Dette kombineres ofte med å ta kopier av dataene, for å holde informasjon som gissel og for utpressing. Det kan også ligge politiske eller militære mål bak handlingene.
De færreste kan beskytte seg mot angripere som er støttet av nasjonale stater, da disse ofte benytter avanserte metoder og utnytter sårbarheter i systemer som ikke er allment kjent. Systemene og mekanismene som kan beskytte mot dette er ofte dyre og komplekse.
Hva med de andre ondsinnede aktørene? De som sender ut lure-eposter (phishing) og benytter løsepengevirus for å oppnå sine mål. Hva kan vi gjøre for å beskytte oss? Og ikke minst, hvordan “overlever” vi et slikt angrep?
Hvordan beskytter jeg meg?
For ikke lenge siden var din bedrifts nettverk som en borg, alle virksomhetens brukere, systemer og data var innenfor borgmuren (brannmuren) og virksomhetens sikkerhetsløsninger betraktet alle som var på innsiden som trygge og kjente, og alle som var på utsiden ble holdt utenfor. Men i dag er ikke lenger alle brukerne, systemene eller dataene innenfor borgmuren og derfor fungerer heller ikke lenger tradisjonelle sikkerhetsprinsipper like godt. For å holde dine brukere, systemer og data beskyttet i dagens infrastruktur med skytjenester, leide tjenester (as-a-service) og IOT enheter, må andre metoder benyttes. En av disse er Zero Trust modellen.
«Stol aldri på noe eller noen, Bekreft alltid»
I stedet for å anta at alt bak virksomhetens brannmur er trygt, antar Zero Trust modellen at enhver form for kommunikasjon kan være et sikkerhetsbrudd og verifiserer enhver forespørsel som om den skulle kommet fra et åpent nettverk. Hver tilgangsforespørsel er fullstendig godkjent, autorisert og kryptert før det gis tilgang.
Det å innføre Zero Trust modellen er ikke gjort over natten. Det krever metodisk arbeid over tid. Sikkerhet er ikke en venstrehåndsjobb som “noen” tar, men et lederansvar lik andre oppgaver av betydning for virksomhetens ve og vel. Det er vanskelig å balansere brukervennlighet med sikkerhet. De to konseptene går ikke alltid hånd i hånd, men moderne løsninger basert på for eksempel autentisering i Azure AD og ADC gjør ofte dette enklere. Generelt kan man si at Zero Trust flytter fokus fra borgmuren til å verifisere bruker (Identitet) og klientintegritet (enheten), før det settes opp tilgang.
Allikevel er det noen tiltak, som uten alt for mye arbeid, øker sikkerheten. Det er viktig å understreke at å innføre disse tiltakene ikke garanterer å unngå sikkerhetsbrudd, men skaper såpass bryderi for de som vil inn at de kanskje går videre til et mer fruktbart mål. Listen er ikke prioritert.
- Innfør multifaktor autentifisering for innlogging i alle systemer.
- Bruk lange passord, gjerne setninger, og hold orden på passordene i et passord-hvelv.
- Ha moderne endepunktbeskyttelse. Tradisjonelt antivirus som bruker signaturer for å finne virus er nytteløst. Moderne endepunktbeskyttelse bruker maskinlæring for å oppfange og stoppe prosesser som oppfører seg på en måte som den ikke forventer.
- Sørg for at programvare og maskinvare er oppdatert.
- Gi ikke tilgang til mer enn du må, og bruk personlige identifiserbare admin-konti.
- Sikkerhetskopier dine data og ha en versjon av sikkerhetskopien din offline.
- Utarbeid en rutine for å verifisere at dere kan gjenopprette data fra sikkerhetskopien. Sjekk at alt du mente skulle være med faktisk er med.
- Sørg for at alle får opplæring i hva en phishing-epost er og hva man skal gjøre hvis man mottar en slik epost.
- Dokumenter. Dokumenter. Ha en oversikt over hva du har av maskinvare, programvare og tjenester. Hvem har tilgang til hva. Hva er virksomhetskritiske data og hvor er det lagret.
- Logg alt, alltid.
- Kun det som må, skal snakke sammen. (Segmentering)
For å sikre kontinuitet er det viktig å ha en kriseløsning som du kan benytte for å jobbe videre på. En mulighet er å etablere en mindre utgave av ditt eget datasenter i skyen (Azure, AWS eller Google Cloud) som i det minste sikrer produktivitet mens ditt primære datasenter gjenopprettes. Å ha virtuelle maskiner liggende klare i Azure koster lite så lenge de ikke er skrudd på. Husk at disse maskinene også må holdes oppdaterte og synkroniserte. De store aktørene som lager sky-tjenester, har langt større ressurser og mer avanserte sikkerhetsregimer enn hva mange evner å produsere selv. Det kan derfor være et godt og relativt rimelig sikkerhetsgrep å også ha normal produksjon i en sky-tjeneste. En god cyberforsikring kan være med å redusere økonomisk risiko, men i likhet med annen forsikring fritar den ikke for eget ansvar.
Hvordan “overlever” jeg dersom jeg har blitt angrepet?
Først av alt, dette kan skje den beste. Hvis du får panikk og handler for raskt kan du gjøre kostbare feil. Du bør sette sammen en innsatsgruppe av mennesker som er dyktige i å identifisere og begrense skader som er forårsaket av sikkerhetstrusler. Kom frem til en plan for hvordan du vil håndtere krisen.
Du må spore hvor angrepet kom fra, slik at du kan gå videre i håndteringen av konsekvensene av angrepet. Det er nå tilgangen til logger virkelig blir et kritisk punkt for videre utfall av situasjonen, med gode logger fra alle systemer kan du raskere få kontroll på situasjonen og omfanget.
Begrens angrepet
Finn ut hvor angrepet har startet og begrens det i størst mulig grad. Hvis angrepet sprer seg til andre områder av organisasjonen din blir det vanskeligere å håndtere. Det er flere måter du effektivt kan begrense et angrep. Noen av disse er: bytt alle brukerpassord og deaktiver tilgang til nettverket, koble fra enheter som allerede er angrepet og isoler systemer som ikke enda er berørt.
Avgjør alvorlighetsgraden av angrepet
Noen angrep er mer skadelig enn andre. Å vite hvor alvorlig et angrep er vil avgjøre de neste stegene du må ta.
For å fastslå omfanget av angrepet, bør du først identifisere hvem som er blitt berørt. Var dine kunder involvert i angrepet? Hvordan kan dataene som ble stjålet påvirke eller brukes mot disse personene?
Gi beskjed til de berørte
Hvis sensitiv informasjon kan være på avveie som et resultat av angrepet, er det viktig å gi beskjed til de berørte. Flere selskaper og organisasjoner har vært åpne om at de har blitt angrepet og får ofte forståelse fra kunder, leverandører og andre om at produktiviteten dermed blir påvirket.
Hvis de berørtes personlige informasjon som bankinformasjon eller kredittkortnummer er stjålet, må du informere de med en gang. Dette for at de berørte skal kunne kontakte banken sin og sperre kort eller kontoer før de blir utnyttet av angriperne. Melde avvik til Datatilsynet.
Løsepengevirus
I situasjoner hvor du har blitt utsatt for et løsepengevirus-angrep er det i praksis to ting du kan gjøre for å få tilgang til dataene igjen – foruten å lage alt på nytt.
- Betale løsepengene og håpe at du får dataene tilbake igjen. Det er ingen garanti for dette. Det frarådes også på det sterkeste fra myndighetenes side.
- Gjenopprette dataene fra en sikkerhetskopi
Dette fordrer at du har etablert en solid sikkerhetskopi-løsning og at en kopi av dataene lagres på et annet sted enn i systemet/nettverket som har blitt angrepet. Sicra har erfart at angripere også aktivt søkte etter, og slettet sikkerhetskopier dersom disse var tilgjengelige i systemene de var inne i. Angrep med løsepengevirus bør politianmeldes og NCSC (NorCert) skal varsles.
Sørg for at det ikke skjer igjen
Å bli utsatt for et angrep er ille nok i seg selv, men hvis det skjer igjen er nok ikke kundene eller leverandørene like tilgivende. Finn ut hva som skjedde og begrens muligheten for at det kan skje igjen. Snakk med eksperter og få hjelp med enten tekniske løsninger eller opplæring i organisasjonen.
Denne artikkelen har blitt til gjennom erfaringsdeling blant flere av våre konsulenter, herunder Carl Bretteville, Kent Høgseth, Owe Immerlund-Kvisler, Håkon Jensen, Lars Petter Hosøy og Roar Brevik