Informasjonssikkerhet: Det digitale trusselbildet i bedriftsmarkedet

Av Anders Kringstad 4. apr. 2017

Informasjonssikkerhet: Det digitale trusselbildet i bedriftsmarkedetDer vi tidligere så reklame, og kanskje et og annet uheldig banner-selskap som var delaktig i spredning av en enkel reklametrojaner, er det i dag mange som kjenner på en iboende frykt. En stilltiende, snikende følelse av at man er et mål, et digitalt mål som det er helt greit å jakte på. 

Som bedriftens sikkerhetsleder eller IKT-sjef er du etter hvert blitt vant til å håndtere ansatte som får PC-ene sine infisert med kryptovirus, reklamevirus og andre digitale irritasjoner.

Hvilken betydning har disse -og flere andre forholdsvis nye angrepsvektorer for bedriften din?

Cyberkriminalitet eller digitale trusler

Kanskje skal dere delta i en anbudskonkurranse uten å vite at konkurrenten deres har tette bånd til tvilsomme miljøer og personer? Dette har skjedd med norske selskaper, og det skjer nok langt oftere enn det blir avdekket. Resultatene av slik «stille hacking», der objektet ikke er klar over at det har blitt angrepet, er gjerne alvorlige. Det kan være tap av omdømme, tap av konkurransekraft, tap av kontrakter, og, i ytterste konsekvens for private selskaper, konkurs.

Informasjonsjegerne

Ditt selskaps immaterielle verdier er andre aktørers handelsvare. Hvem er det som kan tenke seg å jakte på informasjonen din?

  • Fremmede makters tjenester, forsvar eller innleide private grupper
  • Private grupper innleid av private
  • Private «samlere»
  • Politisk motiverte privatpersoner og grupper
  • Ansatte hos konkurrenter
  • Frustrerte ansatte

Et kjent eksempel på informasjonsjakt hvor formålet enda ikke er offentlig kjent er hackerangrepet på Telenor. Selskapets toppledelse ble forledet til å dele sensitive opplysninger fra interne eposter ved at en ekstern aktør overtok eposttråden mellom deltakerne.

Noen begrepsavklaringer:

  • Et individ eller en gruppe som er involvert i ulovlig digital kriminalitet (cyberkriminalitet) kalles ofte trusselaktør i det offentlige ordskiftet.
    Trusselaktørene kan være fra ulike land, være et statlig foretak, en privat bedrift, enkeltpersoner eller løst sammensatte grupper med like interesser.  
  • En sammensetning av aktiviteter utført av en trusselaktør med et felles eller flere relaterte mål kalles en kampanje.
    En kampanje er gjerne tidsavgrenset og avsluttes når kampanjens formål har tilstrekkelig måloppnåelse eller blir stanset av utenforstående gjennom mottiltak. Denne typen aktivitet kan for eksempel være informasjonstyveri fra et selskap eller en annen spesifikk bransje, slik som finanssektoren.

Kryptovirus som inntekt eller røykteppe

Et HACKERANGREP ropes det ofte om i media når en eller flere store kampanjer er i gang med å infisere tusenvis av datamaskiner med kryptovirus for å låse brukerne ute fra egne data. Men å bli offer for et kryptovirus er ikke å bli hacket. Du blir lurt. Lurt til å laste ned programkode til din egen maskin, lurt til å kjøre koden og i noen tilfeller lurt til å betale for å (kanskje) få tilgang til dine egne data igjen. Det kan for eksempel være en profesjonelt utseende faktura (godt laget og tilsynelatende fra Telenor Mobil) og et regneark med fakturadetaljer for en tjeneste du ikke har kjøpt.

> Les også: Risikovurdering datasikkerhet: Vet du egentlig hva som kan ramme deg?

Før Jul 2016 var det mange som fikk medling fra Posten om pakker som ikke var mulig å levere og derfor måtte hentes. Selv med dårlige oversatte meldinger fra tysk til norsk, gikk mange fem på. Denne typen angrep utnytter vår kulturelle arv og vår manglende evne til å oppfatte, og beskytte oss mot, bedrageri. Vi stoler på hverandre. Vi ser en kjent logo og stoler på selskapet bak. Norske interesser har vært mål for mer enn 40% av alle kryptovirusangrep utført i siste kvartal 2016 og første kvartal 2017.

I bedriftsmarkedet brukes kryptovirus stadig oftere som distraksjon. Et rent røykteppe for å skyggelegge det egentlige angrepet. De samme personene som kontrollerer dekrypteringsnøkkelen til dataene dine, kan enkelt kopiere disse og dekryptere datasettet når de måtte ønske, så lenge maskinene er koblet på nett. Det finnes eksempler der selskaper er angrepet med kryptovirus med det formål å sverte bedriftens renommé tilstrekkelig til at selskapet mister kontrakter og taper verdi på børsen.

Se Ciscos video av et kryptovirusangrep her.

En moderne utgave av dette forekommer når et selskaps interne datasett på avveie dumpes på internett. Er du den kriminelle, den som bestiller angrepet, vet du det vil skje. Ved å kjøpe en short-opsjon på selskapets aksjer kan du enkelt få gevinst ved å selge dine opsjoner tilbake til finansforetakene når aksjen går i bakken. 

Nytter det med antivirusprogrammer?

Utover kryptovirus er det få typer kommersiell kriminell aktivitet som retter seg mot massemarkedet for øyeblikket. Den 8. juli 2016 gikk US CERT (nasjonal CERT for USA) ut og oppfordret leverandørene av antivirusprogramvare til å rydde opp i koden, siden programvaren ofte bidro til å gjøre maskinene sårbare framfor å beskytte dem.

> Les også: Informasjonssikkerheten er under press når vi outsourcer kritiske samfunnsfunksjoner

En enkel antivirus for å stoppe skadevare på klienter har likevel en effekt når den brukes i kombinasjon med ytterligere tiltak i nettverket. Skadevare og kryptovirus (malware, trojanere) bør stanses før infeksjonen finner sted. Dette gjøres ved hjelp av nettverksforsvar. Truslene må stoppes i lagene før de når klientene.

Flere aktører leverer Next Generation brannmurer, som benytter pakkeinspeksjon og undersøker alle filer på vei inn fra internett mot brukernes datamaskiner. Denne typen brannmur, i kombinasjon med inspeksjon og filtrering av navnetjenertrafikk, er våre beste mottiltak for øyeblikket. 

 

Hva kan vi så gjøre?

Enhver virksomhet øker beskyttelsen mot digitale trusler ved å gjenomføre disse punktene:

  • Vurder hvilken type kryptering som benyttes på dataene
    Data vi sender over internett bør være beskyttet med TLS-forbindelser
  • Overvåk eget nettverk
    Benytt gjerne verktøy som gir deg visuell oversikt over hvor datastrømmene går: NetFlow sammen med gratisverktøy som NFsen, eller kommersielle verktøy som Splunk, gir god oversikt over trafikkbildet.
  • Lag varslinger ved unormal trafikk
    Dette gjelder også ut av eget nettverk. De fleste er gode på å sikre inngående trafikk, mens den utgående stort sett får fritt spillerom. Det er er vesentlig å forstå at dette er en risiko.
  • Gjør vurderinger sammen med egen ledelse, og skap forståelse i egen organisasjon for sikringstiltakene
    Nasjonal Sikkerhetsmyndighet sier det i sin rapport, Helhetlig Risikobilde 2016; «..anbefalingen er at virksomheter bør innføre IKT-grunnsikring for å redusere et bredt spekter av sårbarheter. En slik grunnsikring bør baseres på en helhetlig og langsiktig forvaltning av IKT- systemer og for å oppnå sikre systemer må selve IKT- plattformen være robust. Det må være gode rutiner for å håndtere uønskede hendelser og gjenopprette funksjoner.» 


Å beholde kritiske data i egen organisasjon, samt ta en vurdering på hvor disse er plassert, vil være avgjørende framover. Debatten om rekkevidden av et digitalt grenseforsvar er utenfor dette innleggets rammer, men vi vet at noe må skje.

Vi har alle ansvar for å tenke selv. Mer enn noen gang er det viktig å utvise forsiktighet og spørre en gang for mye før man velger å klikke på en link eller svare på en uskyldig epost. 

 

New Call-to-action

 

 

Temaer: Beredskap, Datasikkerhet, Cyberkriminalitet


Anders Kringstad's photo

Av: Anders Kringstad

Anders er løsningsarkitekt i ITsjefen AS og har vært med på å bygge opp bedriften fra tre ansatte og et bord med datamaskiner til en bedrift med mer enn 1000m2 datarom og et fibernett med 5000+ nettverkspunkter. Anders har arbeidet innen design, leveranse og drift av serverparker samt puslet med prosjekter knyttet til informasjonssikkerhet siden 90-tallet i regi av organisasjonen Underworld.

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

Slik skaper du et beredskapsrom