En erkendelse spreder sig – omend langsomt – blandt ledere i private og offentlige virksomheder: Cybersikkerhed bør ikke længere blot være et appendiks til forretningsstrategien – det bør snarere være selve indledningen til strategien.
Det er et paradigmeskifte i synet på cybersikkerhed, men spørgsmålet om liv eller død for forretningen på grund af et hackerangreb er stadig i manges øjne så uvirkeligt et risikoscenarie, at det ikke vinder gehør i alle grene af erhvervslivet fra den ene dag til den anden. Men en global pandemi, der har udstillet vores afhængighed af digitalisering, og jævnlige medie-eksponerede hacker-angreb, der har tydeliggjort vores sårbarhed i den forbindelse, hjælper da forståelsen på vej.
2 på en 10-skala
”Indtil corona-pandemien troede alle, at de havde en digitaliseringsstrategi, men de vågnede op til den erkendelse, at de kun havde kradset lidt i overfladen. Digitalisering er vejen frem, men det er problematisk, når virksomheder gør sig sårbare og kan blive lagt ned så nemt, som vi ser stadig flere eksempler på. I enhver forretningsstrategi skal sikkerhed været tænkt ind fra starten, og der er generelt behov for langt større opmærksomhed på cybersikkerhed på bestyrelses- og ledelsesniveau. Heldigvis sker der noget nu i mange virksomheder og organisationer, men vi halter stadig langt efter USA. På en 10-skala, hvor 10 er maksimal indsats mod cyberkriminalitet, er vi i Danmark stadig kun på 2.”
Ordene kommer fra Jesper Zerlang, CEO i det danske cybersikkerhedsfirma LogPoint, der med sin sikkerhedsplatform baseret på teknologierne SIEM (Security Information and Event Management), UEBA (User and Entity Behavioral Analytics) og SOAR (Security Orchestration, Automation and Response) bidrager til organisationers cybersikkerhed i pt. 11 lande. På det konkrete ledelsesplan kan udviklingen ifølge Jesper Zerlang illustreres med, at selve ansvaret for en virksomheds cybersikkerhed i disse år begynder at bevæge sig fra CIO’en til CFO’en.
”Risikoen er, at det kan blive en sovepude, når ansvaret for cybersikkerhed ligger hos it-afdelingen. Det er en udfordring, mange virksomheder har. Derfor efterspørger man nu i stigende grad forretningsorienterede og datadrevne CISO’er og ikke kun CISO’er med styr på compliance. Der er stadig stor mangel på CISO’er med forretningsforståelse, men de bliver nødvendige,” siger Jesper Zerlang.
En Hawaii-bølge for hackere
Han ser flere indikatorer på, at det trods alt går i den rigtige retning med virksomheders opmærksomhed på cybersikkerhed. Ikke mindst har compliance i forhold til GDPR været en øjenåbner, der tilføjer cybersikkerheden en kompleksitet, der flytter emnet op på ledelsesplan, fordi det kan have dramatiske konsekvenser ikke at have styr på sine data og overtræde persondatabeskyttelsen. Men det er stadig et problem, at mange virksomheder går for snævert og sporadisk til spørgsmålet om cybersikkerhed, advarer han.
”Det er at købe aflad for dine udeladelser, når du nøjes med at investere i et minimalt niveau af sikkerhed. Din virksomhed er stadig lige så attraktiv for en hacker, som en Hawaii-bølge er for en surfer. Hackere kan komme ind, lige hvor de har lyst. Vi savner ikke dokumentation på, hvor galt det kan gå. ISS, Maersk og Oticon har musklerne til at gøre alt, hvad der skal til for at sikre sig, men alligevel har de været lagt ned grundlæggende på grund af manglende ledelsesforståelse for alvoren og realismen ved et hackerangreb. Hvis hackere kan presse selv de største virksomheder ud i en krise på liv eller død, så er de livsfarlige for alle. Ikke alle har som Maersk midler til at hyre massevis af konsulenter, der kan bringe virksomheden videre.”
Unormal aktivitet kl. 23
LogPoint er en forebyggende cybersikkerhedsløsning, som indsamler og analyserer alle logfiler – virksomhedens digitale DNA – i realtid for at afdække uregelmæssige mønstre i datatrafikken og alarmere om bevidst eller ubevidst uhensigtsmæssig brugeradfærd, der skader virksomheden.
”Fordi vi har data og analyserer data, kan vi for eksempel opfange det mønster, der er omkring et ransomware-angreb og alarmere rette vedkommende om det i en tidlig fase. Det er mønstre, som det blotte øje ikke ser på en skærm, mens som LogPoint fanger med sine algoritmer. Vi påpeger en unormal aktivitet et præcist sted i systemet kl. 23, og så er det op til virksomheden at undersøge og afgøre, om det udgør en sikkerhedsrisiko. I en mellemstor dansk virksomhed er der potentielt 10.000 alarmer, du skal kunne tage hånd om dagligt, fordi systemet genererer så meget information, men med LogPoint finder algoritmerne ud af, hvilke 25 potentielle alarmer, der er mest skadelige, og så starter du dit cybersikkerhedsarbejde dér,” siger Jesper Zerlang.
Logs er digitale fingeraftryk
Når skaden er sket, har det stadig stor juridisk betydning, at logs er sikret. ”Hvis ikke du har opsamlet dine logs, kan du ikke rekonstruere, hvad der er foregået. Det svarer til, at politiet kommer ud til et gerningssted, hvor der ikke er nogen fingeraftryk. Korrekt opsamlede logs er juridisk bindende digitale fingeraftryk og giver virksomheden evidens for, at data er registreret korrekt. Hackere manipulerer rask væk med logs, men det kan de ikke, hvis du har LogPoint.”
Med sin analyse af logfilerne kan LogPoint spotte selv små nuancer i brugeradfærd, der afviger fra, hvordan den pågældende bruger opfører sig normalt, og alarmere virksomheden, som ellers ikke ville finde en brugeradfærd mistænksom. Selv når et angreb har fået lov at udvikle sig, kan LogPoint begrænse skaden markant.
”Hvis en virksomhed har LogPoint installeret, kan de nøjes med at lukke de kompromitterede afdelinger i eksempelvis Filippinerne, Tokyo og New York og fikse problemet, hvor det reelt er, i stedet for at lukke hele den globale virksomhed ned i to uger, fordi man ikke aner, hvor man er blevet angrebet. LogPoint kan med nålepræcision sige, hvor du har et problem. Hvis du ved, at en af dine 10.000 medarbejdere har klikket på et phishing-link, tager det LogPoint få minutter eller timer at finde frem til, hvem der ellers har klikket på det. Du vinder flere dage og kan afværge stor skade ved at målrette indsatsen geografisk og lokalt i systemet så tidligt som muligt.”
LogPoint minimerer også risikoen ved at starte op igen efter et angreb. ”Hvis ikke du præcis ved, hvor du er blevet ramt, inden du lukker ned på grund af et ransomware-angreb, udsætter du dig for en stor risiko for at blive ramt igen, når du reetablerer systemet fra backups.”
Mange compliance-frameworks
Ifølge Jesper Zerlang hjælper det på virksomheders forståelse af logfilers betydning, når de indser, hvordan udnyttelse af logfiler kan tilføre værdi på andre strategiske områder end cybersikkerhed. Det gælder især områder som compliance, it-drift og Business Intelligence.
”Det er ikke et menneske, der skal opdage, at du er non-compliant. Det er vores algoritmer, og det giver pludselig alle dine logs proaktiv værdi. GDPR er jo bare en af de compliance-frameworks, der er rundt omkring i verden. Det er også ISO 27001 om informationssikkerhed og mange andre.”
I Sverige har LogPoint lavet et stort samarbejde med regionerne om beskyttelse af patientjournaler, så det ikke længere kræver it-specialister at finde specifikke journaloplysninger, men kan gøres af en sygeplejerske gennem et brugervenligt interface, der sikrer overholdelse af al relevant lovgivning.
Lamslåede over angreb
Står det til Jesper Zerlang, vil cybersikkerhed i en snarlig fremtid fylde så meget på ledelsesplan, at topledelsen som noget naturligt vil orientere sig om den aktuelle status på cybersikkerhed løbende gennem dagen via relevante dashboards. Men dér er vi ikke endnu.
”Jeg tror stadig, at der er langt flere bestyrelsesmedlemmer, der ved, hvad der skal ske i tilfælde af ildebrand, end hvad der skal gøres i tilfælde af et ransomware-angreb. Når jeg i netværk og andre professionelle sammenhænge møder direktører og fortæller dem, hvad jeg beskæftiger mig med, spørger de mig først om noget med deres private pc derhjemme. De er slet ikke bevidste om, hvad deres virksomhed kan blive ramt af. Når jeg er færdig med at tale om kritisk infrastruktur og gennemgå aktuelle eksempler på ødelæggende ransomware-angreb, står de lamslåede tilbage.”
Sikkerhed som en service
Automatisering og brugervenlige interfaces gør løbende cybersikkerhed nemmere at arbejde med for virksomheder. Samtidig er automatisering og udnyttelse af AI i løsningerne en nødvendighed, fordi der er så stor mangel på cybersikkerhedsfolk.
”Lige nu vurderes der at være 3,5 millioner åbne stillinger inden for cybersikkerhed globalt. Det kan vi kun komme til livs med softwarerobotter, der som LogPoint konstant kan analysere og håndtere data gennem relevante automatiseringer. Bare en enkelt cyberfaglig kompetent medarbejder kan være svær at få. Derfor er trenden blandt virksomheder at købe en løsning som vores som en service, fra en af vores mange partnere i hele Europa. Disse driver slutkunders it, inklusive deres sikkerhed,” siger Jesper Zerlang.