Cyberkriminalitet: Kan du gjenkjenne en hacker?

Av Shaun Reardon 11. apr. 2017

cyberkrim-876099-edited.jpg

Hvordan kan du raskt knekke en sterk kryptering? Et brute force-angrep, golden dictionaries og utnyttelse av svakheter i algoritmen, foreslår du kanskje? Jeg foreslår å spørre eieren av den krypterte filen etter nøkkelen.

I denne sammenhengen er kryptering det samme som forretningshemmeligheter eller konfidensiell informasjon. Poenget er at enkeltpersoner og menneskets natur er de svakeste leddene i sikkerhetskjeden. Et faktum hackere og svindlere ofte utnytter. De fleste mennesker er ukomfortable med konflikter og enten for tillitsfulle eller for villige til å la tvil komme folk til gode. Særlig når det ikke finnes en god grunn til mistanke.

'People hacking' eller 'social engineering' er trolig de vanligste måtene å skaffe informasjon på. Noen ganger er målet en enkeltperson, men det er ikke uvanlig at flere personer blir manipulert til å oppgi biter av informasjon. Biter som hver for seg ikke gir mening, men blir svært verdifulle når de sammenstilles.

Les mer: Har du risikovurdert bruken av sosiale medier i virksomheten din?

Hvordan ser en hacker ut?

Forutinntatte ideer og stereotypier av hvordan en hacker eller svindler ser ut, og hvordan de vil opptre, er også en utfordring for sikkerheten. Denne historien eksemplifiserer dette: Nylig snakket jeg til en stor organisasjon om informasjonssikkerhet, industrispionasje og hvitvasking av penger. Tilhørerne var en blanding av erfarne fagfolk, nyansatte og administrativt personell. Før møtet orienterte en av lederne meg om hvordan de jobbet, og han spurte om jeg trodde de var sårbare.

En klassisk måte å installere malware og stjele informasjon på er å få tillatelse til å koble en portabel enhet til en datamaskin i virksomheten du vil skade, så jeg bestemte meg for å gjennomføre en enkel test. Jeg kontaktet en av de ansatte i resepsjonen, forklarte hvem jeg var og at jeg glemte å skrive ut en del av presentasjonen min. Kunne jeg få skrive ut noe fra en bærbar USB-disk? Selvsagt kunne jeg det. Jeg er middelaldrende, bruker briller, har lite hår, går i dress og slips og har blankpolerte sko.

For å unngå å henge ut noen under presentasjonen, stilte jeg et åpent spørsmål basert på situasjonen jeg akkurat beskrev, og alle svarte at de ville ha hjulpet meg. Ville de gjort det samme hvis jeg var 20 år og kledd i fritidsklær? Svaret var et ettertrykkelig nei. De kunne rett og slett ikke forestille seg at noen som meg skulle komme inn på arbeidsplassen deres og gjøre dette.

Andre typiske årsaker til at ‘dårlige mennesker’ får anledning til å gjøre ‘dårlige ting' er:

  • Sikkerhet er noen andres problem (fraskrivelse)
  • Hvis de virkelig ønsker å komme inn / få informasjon, får de det til uansett (resignasjon)
  • Har vi egentlig noe som er interessant for noen som helst? (uvitenhet)
  • Vi er et lite selskap, og vi holder en lav profil (skylapper)
  • Ingen våger å stille spørsmål (jasså??)

Hvem vokter verdifull info?

Når du vurderer tiltak, er det lett å tenke at det kun er de mest betrodde medarbeiderne som har tilgang til de mest sensitive opplysningene. Men hva med regnskapsføreren, som ser alle fakturaer som sendes ut; kontormedarbeideren, som er ansvarlig for lagring av alle dokumenter; IT-medarbeideren, som har administrativ tilgang til alle systemene og, til slutt, resepsjonisten, som gjerne vet mest av alle?

Enhver bedrift bør kartlegge potensielle trusler mot sikkerheten. Du trenger å identifisere hvilke eiendeler du har og deres verdi. Du må identifisere hvem som kan ønske å tilegne seg informasjon, danne deg en mening om deres evne til å skaffe seg den og hva konsekvensene blir dersom de lykkes. Til slutt trenger du å vurdere hvordan du skal motvirke dette.

Det er nok ikke mulig å endre en persons syn på livet med bare noen få treninger samt formaninger på e-post. Dessuten er personlige egenskaper antageligvis en viktig årsak til at du har ansatt vedkommende; serviceinnstilt, omgjengelig eller samarbeidsvillig, for eksempel.

Smidige prosesser

Så, hva gjør du? Sikkerhet er alltid en kostnad, en salderbar post. Jeg mener at å skolere medarbeiderne bare er en del av løsningen. Du må bygge rutiner for å rapportere hendelser, uansett hvor ubetydelige de kan virke, og sikre at medarbeiderne kan gjøre dette uten å risikere negative tilbakemeldinger. Og når folk rapporterer hendelser, må noen vurdere dem. Ikke bare enkeltvis, men mot alle rapporterte hendelser.

Denne prosessen trenger ikke være krevende eller kostbar, men er avhengig av at en person på konsernnivå eier og støtter den.

Forsøk også å etablere prosesser som ikke hindrer det daglige arbeidet i virksomheten, eller fører til merarbeid for de ansatte, men likevel sikrer at sikkerheten ivaretas. Et godt eksempel at medarbeidere som viser motstand mot ID-kort aksepterer bruken når kortet også må brukes til å handle i kantinen.

Tillit og sårbarhet

En annen faktor er nasjonalitet og sosial kultur. I 2015 publiserte EU en rapport som beskrev hvor tillitsfull befolkningen i de ulike landene var. Skalaen gikk fra 0; ikke til å stole på i det hele tatt, til 10; folk flest er til å stole på. Rapporten viste noen interessante forskjeller. Det europeiske gjennomsnittet var 5,8 - i Norge var tallet 7,3.

Budskapet her er klart: Du kan ikke kun vurdere trusselen fra utenforstående - du må også finne ut hvor sårbare dine ansatte vil være overfor en inntrengers oppmerksomhet. Et angrep / inntrenging er avhengig av tre faktorer for å lykkes:

  1. Noe av verdi (for dem)
  2. Evne til å få tak i den verdien
  3. Fravær av en skikket vokter

I denne artikkelen er det medarbeiderne dine som er denne vokteren.


Slik skriver du beredskapsplan ebok_CTA

 

 

Temaer: Datasikkerhet, Cyberkriminalitet


Shaun Reardon's photo

Av: Shaun Reardon

Shaun Reardon was a detective at Scotland Yard in London for over 26 years and has extensive international experience having worked in over 30 countries. He specialised in hi-tech and cyber investigations working within Counter Terrorism, Economic and Complex Crime, Kidnap and Specialist Investigation, London Olympics Cyber Operations and intelligence to mention a few. Shaun is currently an International Project Manager - Key Account Manager at One Voice.

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

New Call-to-action