Sikker Fidus
Inden for de seneste par år har vi i stigende omfang set, at især Rusland og Kina ikke alene understøtter egne IT-kriminelle grupperinger finansielt, men decideret selv opretter angrebsteam, som opererer rettet mod vestlige interesser. Og man kan vel forholdsvis trygt konstatere, at risikoen for de mennesker, som udfører dette arbejde i Rusland og Kina næppe er særlig stor. Vi er altså oppe mod mennesker med meget omfattende ressourcer til rådighed og nærmest fuld beskyttelse mod at blive retsligt forfulgt.
Men nej! IT-kriminalitet kan ramme alle, for i virkeligheden er ubevidste handlinger og manglende viden den største trussel mod virksomheders og organisationers sikkerhed.
”Improsec er en international virksomhed, da vi har kunder på tværs af landegrænser. Vi hjælper vores kunder både før, under og efter et cyberangreb. Vi arbejder uvildigt, og det indebærer, at vi kan yde den helt rigtige og ærlige rådgivning til vore kunder, og ikke blot rådgivning baseret på, hvad vi har stående på hylderne. Vi sælger hverken hard- eller software, udelukkende rådgivning”, indleder CCO & security advisor Claus Vesthammer, Improsec, hvorefter han tilføjer ”vi vil være bedst til det vi gør – er vi ikke det, gør vi det ikke”.
Det sker for alle
Generelt er danske virksomheder, offentlige såvel som private, alt for dårligt forberedt på at blive ramt af IT-kriminalitet. Og når de rammes mangler de fleste en plan for, hvordan de løser udfordringerne og kommer videre. ”Det her sker hver evigt eneste dag. Måske læser vi kun om det i medierne, når det er større virksomheder, som rammes, for de er børsnoteret og skal informere markedet om sådanne hændelser, der kan påvirke deres aktiekurs. Men det sker ikke desto mindre hver eneste dag for private såvel som offentlige virksomheder, for store og små. At være under angreb, eller at have været under angreb er ikke noget vi har lyst til at tale om. Og det er et problem fordi disse angreb ikke omtales i medierne og derfor går under radaren i resten af erhvervslivet. Derfor skal vi bearbejde myten om at det kun er erhvervslivets giganter som dette sker for”, fastslår Director of Incident Response Torsten Juul-Jensen, Improsec.
Manglende sikkerhed en del af problemet
I mange virksomheder har man næsten samme forhold til at foretage investeringer i sikkerhed som i forsikringer – det rammer alligevel kun naboen, ikke mig. Ikke desto mindre har erhvervslivet almindeligvis deres forsikringer på plads – så hvorfor ikke sikkerheden?
Men hvorfor sker det stadigvæk? ”Jeg tror der er forskellige årsager i private og offentlige virksomheder. Man får ikke styr på de grundlæggende problemstillinger, der ville kunne forhindre et IT-relateret angreb – og det ser vi igen og igen. Det der oftest er opmærksomhed omkring i en virksomhed, er det, som direktionen, topledelsen og bestyrelsen synes er interessant. Medmindre bestyrelsen aktivt går ind med spørgsmål og krav til direktionen fejes sikkerheden mange steder ind under gulvtæppet hos fx IT-afdelingen. Og det er et problem fordi sikkerhed er det eneste vertikale aspekt i enhver virksomhed, som er horisontal”, konstaterer Claus Vesthammer.
En virkelig god forretning
Meget symptomatisk for den menneskelige hukommelse er at glemme – og det gælder også når de store og medieomtalte IT-sikkerhedsmæssige brud opstår rundt om i erhvervslivet. Maksimalt seks måneder efter hændelsen er den glemt igen i offentligheden. Om end naturligvis ikke i den ramte organisation, som måske endnu ikke er kommet sig rigtigt – og nogen kommer sig aldrig oven på en sådan hændelse, men må lukke virksomheden.
”Sikkerhed er et element vi konstant skal være opmærksomme på; den starter fra organisationens top, og vi skal generelt blive bedre til at tale om cyberrisici. Over en bred kam tror jeg, at danske virksomheder, store som små, med særinteresser i visse sektorer som fx inden for militær eller den maritime sektor, helt sikkert ikke alene møder statssponsorerede aktører – men deciderede statsaktører. For den almindelige danske virksomhed vil der typisk være tale om organiserede kriminelle; det handler om penge og rigtigt mange penge. I den del af branchen arbejder man med en ROI på over 1.400%. Det er virkelig Big Business” pointerer Torsten Juul-Jensen.
Asynkron kamp
I kampen mod cyberkriminalitet er det nødvendigt at forsøge at tænke som en hacker. Selv den tilsyneladende mest ubetydelige lille uhensigtsmæssighed kan blive til en hackeradgang på størrelse med en ladeport. ”Man skal forberede sig på, at det er en asynkron kamp mellem forsvar og angreb. Som forsvarer har du tusindvis af punkter du skal dække 100 %. Som angriber har du kun brug for ét lille hul i forsvaret. Så det er en svær kamp, og man skal ikke underkende den kedelige kendsgerning, at man ikke kan holde alle hackere ude hele tiden. Man kan styre, hvad der sker når man bliver angrebet. Hvor slemt det bliver, hvad sandsynligheden er for at det sker og hvad konsekvenserne bliver, af det der sker. Det bedste man kan gøre, er at forbedre sin modstandskraft i fredstid, inden man får en ondsindet hacker på besøg” påpeger Claus Vesthammer.
Sikkerhed er en disciplin, som kan stoppe produktionen, kan blive dyr for finansafdelingen, kan være årsag til massive datatab, kan være årsag til tab af IP-rettigheder, kan være årsag til tyveri af virksomhedskritiske og dybt fortrolige informationer og kan være årsag til at virksomheden mister sine konkurrencefordele – og i værste fald eksistensgrundlag.
Torsten Juul-Jensen
Det svære valg
Når man som virksomhed skal vurdere risikoen for at blive ramt af et cyberangreb er det uhyre vigtigt at man ’ser indad’ og leder efter sårbarheder. I det hele taget handler det om de gamle dyder såsom cyberhygiejne – sørg fx altid for at installere de seneste softwareopdateringer; mange cyberangreb indledes fordi angriberen har fundet et hul i eksempelvis en Exchange server eller tilsvarende standardsoftware.
”Vurder eksponeringen mod Internettet. Hvordan ser virksomheden ud udefra? Men overvej naturligvis også den interne sikkerhed. En stor og dyr firewall og opdateret antivirus holder ikke alene en moderne angriber ude. Muligvis tager det lidt længere tid at trænge igennem, men grundlæggende er det andre parametre, ikke mindst af menneskelig karakter, man skal vurdere. Ofte skyldes problemerne manglende personale til at holde opdateringerne på plads – altså et investeringsgrundlag, som man skal se nærmere på. Og har man valget mellem at udvikle nye produkter eller at sikre virksomheden mod cyberangreb kan valget være svært. Her skal man finde den rette balance i forhold til sin egen trusselsvurdering” forklarer Torsten Juul-Jensen.
Ordentlig forberedelse er halvt fuldført
I takt med at hackere får rådighed over flere ressourcer og kraftigere våben skal både IT-brugere og -rådgivere opruste. Eksempelvis har Improsec alene det seneste år ansat 25 nye toptrænede specialister, hvoraf en god del sidder i det såkaldte Incident Response team, som ikke alene rykker ud når skaden er sket i en virksomhed, men konstant holder sig orienteret om det globale trusselsbillede for at være på forkant.
”I PwC’s årlige ’Cybercrime Survey’ fra 2021 fremgår det at 56% af respondenterne mindst én gang inden for det seneste år har været udsat for en sikkerhedshændelse. Vi er nødt til at forberede os på cyberangreb – og forberedelse er væsentligt ’sjovere’ og langt mere effektivt når det foregår i fredstid, end når krigen raser. Angreb starter tit fredag eftermiddag, når de fleste er på vej på weekend. Derfor er det en rigtig god ide at have sin beredskabsplan på plads inden angrebet rammer” anfører Claus Vesthammer afslutningsvis.