Advarsel til danske CIO'er: Her er de vigtigste sikkerheds-issues i 2015

Her er de tre store sikkerhedsområder, du skal holde øje med i 2015.

Annonce:
Annonce:

Thomas Lund Sørensen. Foto: Center for Cybersikkerhed.

Kort fortalt: Tre trusler i 2015

Politiske angreb: Truslen kommer fra politiske grupper og enkeltpersoner. Kan eksempelvis eksekveres i form af DDoS-angreb mod websider og tjenester. Angrebene er forbundet med meget høj offentlig synlighed, da det handler om at udtrykke en politisk holdning.

APT-angreb: Rettes mod udvalgte (ledelses)personer i virksomheder. Kan i første omgang være phishing eller spearphishing, der kan give adgang til brugerkonti og derved til rettigheder i netværket. Når der er skabt adgang til netværket installeres værktøjer og malware, der kan udnytte data. Angrebene er forbundet med lav offentlig synlighed.

Angreb rettet mod kritisk infrastruktur, SCADA og internet-i-alt: Kan være støttet af nationalstater eller velfunderede grupper og eksempelvis anvendes som pression i politiske forhandlinger eller militær- og krisesituationer. Kan også udmønte sig i industriel spionage. Angrebene skal helst være helt usynlige for offentligheden.

Der er specielt tre områder, du skal holde øje med i virksomheden i det nye år.

Det er politisk motiverede angreb, APT-angreb og angreb mod infrastruktur samt internet-i-alt.

"Det er de tre tendenser, vi har fokus på i 2015," siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, der er placeret i Forsvarets Efterretningstjeneste.

Politiske angreb er de nye demonstrationer
Den politiske aktivisme på nettet defineres som digitale protester, der går skridtet videre end det, der er lovligt.

"Det hænger sammen med, at vi lever vores liv mere og mere digitalt. Derfor er det helt naturligt, at vi tager vores politiske holdninger med over på nettet, og derfor forventer vi en stærk stigning af denne type angreb," fortæller Thomas Lund-Sørensen.

Han trækker en parallel til den analoge verden, hvor der ved i øvrigt fredelige demonstrationer også kan opstå situationer, hvor enkelte deltagere kaster med sten.

"Det er typisk i form af DDoS-angreb, at der udtrykkes politisk utilfredshed."

Hvordan takler it-chefen denne udfordring?

"Man skal tænke over, hvor man kan komme i skudlinjen i en politisk konflikt. Man skal overveje risikoen og konsekvenserne samt, hvor sårbar man er," siger han.

Skal man holde lav profil og snakke politiker-sprog?

"Nej, det er ikke, det jeg mener. Men hvis ens forretningsmodel er afhængig af, at websiden fungerer, så skal man overveje, om man har brug for at beskytte den. For andre organisationer er det en del af konceptet, at man har markante holdninger. Så må man agere ud fra den situation."

Selv om det kan være irriterende og i nogle tilfælde også give økonomiske lussinger, så anser han det ikke for direkte ødelæggende for forretningen.

"DDoS-angreb er angreb, der ikke ødelægger noget på længere sigt, men som hindre tilgængeligheden til et system . én mulig sikkerhedsforanstaltning er derfor at have backup-sider, der i nødsituationer kan holde de vigtige dele at websiden i luften."

Der har allerede været flere politisk motiverede angreb i vores egen lille andedam. Hacktivister som Anonymous, som er en internetbaseret bevægelse, der defineres sig som forkæmper for ytringsfrihed og mod censur og misbrug af internettet, har angiveligt stået bag DDoS-angreb i Danmark.

Der er også sager i den lettere ende, hvor skoleelever har sat DDoS-angreb i værk på grund af skoletræthed.

Men man kommer altså kun et stykke af vejen med oplysning. Det kræver også ledelsesfokus og den nødvendige teknologi.
APT er det nye sikkerheds-sort
Advanced Persistent Threat, eller APT-angreb, adskiller sig meget fra de traditionelle metoder, som almindelige hackere benytter sig af.

Der er tale om mere planlagte og intelligente angreb baseret på en række oplysninger, som angriberen har indsamlet om en virksomhed eller om konkrete personer i en virksomhed.

Det kan eksempelvis være ved overvågning eller via sociale medier.

"Ud fra den simple betragtning at det er meget effektive, billige og ret risikofrie angreb, så kommer vi til at se en stigning af denne type angreb. Det kommer til at være et vilkår for rigtig mange virksomheder," vurderer Thomas Lund-Sørensen.

Advanced Persistent Threat er primært en hovedpine for virksomheder og myndigheder, men ikke det store problem for private borgere, vurderer Center for Cybersikkerhed.

Traditionelt skyder it-kriminelle med spredehagl for at ramme så mange potentielle ofre som mulig. APT-angrebet har det modsatte udgangspunkt.

Disse angreb går efter bestemte mål og personer eksempelvis via spearphishing. Det kan være i form af mails til udvalgte personer i virksomheden med indhold, der relaterer sig til arbejdet vedkommende udfører.

Når angriberen har fået adgang til netværket gennem egen-tildeling af rettigheder og udrulning af malware så handler det om at holde så lav profil som mulig for ikke at blive opdaget.

Det er helt modsat de politisk motiverede angreb, hvor det handler om at råbe så højt som mulig for at få spredt synspunkter.

Det skal du gøre i hjemmet:

På privatbrugersiden giver Center for Cyber-sikkerhed følgende råd.

Almindelige brugere bør ikke fokusere så meget på truslerne men i stedet bruge krudtet på at holde hjemmets it-enheder rene og i god sund tilstand, eller med andre ord, opdateret med de nyeste opdateringer.

"Man skal ikke gå og være bekymret. Man skal udnytte alle de digitale fordele, som udviklingen giver. Der hvor man kan gøre noget, er ved at holde hjemmets it - det gælder alle enheder fra fjernsynet til computeren - velopdateret," siger Thomas Lund Sørensen, chef for Center for Cybersikkerhed.

"Politisk motiverede angreb handler om at blive set og hørt. Hvis den hjemmeside, der er blevet angrebet, ikke er nede, så er man ikke kommet af med sit budskab. APT-angreb har til formål at være uopdagede i så lang tid som muligt."

Når der er adgang til netværket, udnyttes rettigheder i systemerne typisk til at sprede malware, trænge dybere ind i systemerne og hente oplysninger og data.

Ved at placere bagdøre og installere forskellige hacker-værktøjer kan angriberen skabe sine egne adgangsdøre til it-systemerne i en virksomhed.

"Det kan godt være, at metodikkerne og teknologien udvikler sig, men problemstillingen om, at uvedkommende gerne vil have adgang til netværket for at hente værdifulde informationer, er et vilkår, som vi må acceptere i et godt stykke tid fremover," lyder det fra Center for Cybersikkerhed.

De oplysninger, der kan have interesse for angribere, kan bestå af intellektuelle rettigheder, kundeoplysninger, strategier eller mere samfundskritiske informationer fra myndigheder.

Hvordan skal it-chefen ruste sig mod denne type angreb i 2015?

"Man skal gøre op med sig selv, om ens virksomhedsdata er interessante for andre og hvor stor en risiko, der er for, at andre vil have uautoriseret adgang til ens netværk. Man skal stille sig selv spørgsmålet: Har jeg nogle data, der er så attraktive, at der er andre, som vil sætte ressourcer af til at stjæle dem?"

Når virksomheden har sat fokus på, hvad der er af kronjuveler, så har man et begreb om, hvad man skal beskytte.

"Det handler selvfølgelig også om awareness blandt alle medarbejdere og ledere om eksempelvis phishing-mails. Men man kommer altså kun et stykke af vejen med oplysning. Det kræver også ledelsesfokus og den nødvendige teknologi. Forståelse i ledelsen af, hvordan forretningen fungerer, og hvor de kritiske data skabes, er nok det vigtigste punkt, når det handler om at imødegå APT," siger han.

Om Center for Cybersikkerhed:

Center for Cybersikkerhed er placeret under Forsvarets Efterretningstjeneste, der er en del af Forsvarsministeriet.

Opgaverne i Center for Cybersikkerhed er koncentreret om at styrke det danske samfunds beskyttelse af kritisk ikt-infrastruktur.

Centret skal løse tre hovedopgaver er at styrke Danmarks modstandsdygtighed mod trusler rettet mod samfundsvigtig informations- og kommunikationsteknologi (ikt). Sikre forudsætningerne for en robust ikt-infrastruktur i Danmark og at varsle om og imødegå cyberangreb med henblik på at styrke beskyttelsen af danske interesser.

Kilde: Center for Cybersikkerhed.

Annonce:

Vi må stille os selv spørgsmålet om de industrielle kontrolsystemer og anlæg, vi omgiver os med, er beskyttet godt nok.
Kortlægning, kritisk infrastruktur og internet-i-alt
En risiko man har talt om gennem mange år, men først har oplevet for alvor i den senere tid, handler om kortlægning og direkte angreb mod kritiske dele af samfundets infrastruktur.

"Der er især vore væsentligste digitale netværk til eksempelvis telekommunikation og energi, der er sårbare for et samfund," siger Thomas Lund-Sørensen.

Det første store angreb mod kritisk infrastruktur, der har set offentlighedens lys, blev sat i søen af den amerikanske regering mod Siemens-installationer i Irans atom-anlæg Natanz.

I 2010 blev et af de mest sofistikerede stykker malware, der nogensinde er blevet skrevet, opdaget af sikkerhedsforskerne.

Det hedder Stuxnet og er uhyre kompleks, og det tog sikkerhedsfirmaerne måneder at analysere koden, der skulle vise sig at have en direkte forbindelse til Det Hvide Hus i Washington.

Koden, der sendte internetspionage op på et hidtil ukendt niveau, viste, at malware kunne infiltrere kritiske infrastrukturer i nationalstater.

Selv om koden først blev opdaget i 2010 har sikkerhedsfirmaet Symantec Security oplyst, at de har analyseret en kode, som firmaet mener, kan have haft tilknytning til operationer, der har foregået helt tilbage i 2005.

En af de ting, der blev 'legitime' i forbindelse med Stuxnet, var muligheden for, at en stormagt kunne anvende internettet som offensivt våben. Men lignende kode er også blevet anvendt af ikke-statsangribere.

Senest har flere danske medier rapporterer om en russisk cyberkrig, der kan mørkelægge Danmark på grund af angreb rettet mod energisektoren.

Det skulle i givet fald ske ved hjælp af en malware-kode, der hedder Havex. Danmark har næppe været ramt af problemet, men Havex har ramt andre lande herunder Polen, Ukraine og endda Norge.

Regin er et andet eksempel på en trojansk malware, som sikkerhedsfirmaet Symantec mener stammer fra en vestlig regering. Et stykke malware, som har spioneret hos særligt de russiske og saudiarabiske internetudbydere, tele-selskaber og hotel-, og flyselskaber.

Og denne type trusler skal både samfundet og it-afdelingerne til at være opmærksomme på, fortæller Center for Cyber-sikkerhed.

"Vi må stille os selv spørgsmålet om de industrielle kontrolsystemer og anlæg, vi omgiver os med, er beskyttet godt nok. Samtidig skal vi forholde os til, at vi står på grænsen til internet-i-alt, hvor alle mulige enheder bliver forbundet til internettet, og derfor er potentielle hackermål. Vi skaber nogle sårbarhedsflader, som vi ikke tidligere har set."

Han peger på, at det er det tredje store fokusområde i 2015.

"Heldigvis er det ikke nyt for infrastrukturvirksomhederne, eksempelvis i energisektoren, der allerede har fokus på det. Men det vil brede sig til rigtig mange sektorer, for vi er mange, der kan få glæde af at koble ting på nettet."

Denne form for kriminalitet er i øjeblikket rettet mod samfund og stat, men hans pointe er at, med internet-i-alt, kan det ramme et hav af virksomheder fra rengøring til detailhandel, der kobler enheder på internettet.

Hvad er formålet med denne type angreb?

"Hvis eksempelvis en fremmed magt skulle står bag angrebene, kan det handle om politisk pression. Ligeledes vil det kunne det udnyttes i en egentlig militær- eller konfliktsituation. Vi kommer til at se langt færre af disse angreb end eksempelvis APT- og politiske angreb, men de er langt mere samfundskritiske og alvorlige."

Hvordan håndterer man den trussel?

"Angriberne kan være både statsmagter eller velorganiserede grupper. Det er ikke en trussel, der er aktuel lige nu, men hvis vi skal forsøge at se ud i fremtiden, så bliver det et vigtigt område. For at imødegå disse angreb, skal vi tænke sikkerhed ind i vores kritiske systemer."

"De skal designes og planlægges med udgangspunkt i, at de kan blive udsat for ondsindet indtrængning. Visse netværk skal måske slet ikke kobles op til internettet, men afvikles i et mere sikkert lukket kredsløb. " siger Thomas Lund-Sørensen.

Læs også:
Hackere afpresser Sony med afsløring af tophemmelig viden

Spion-malware fra vestlig stat uhyggelig effektiv: Sådan fungerer Regin-malwaren

Dansk cyber-sherif indrømmer: Ja, vi planter malware




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Test af 10-kernet entusiastprocessor: i7-6950X er et monster uden lige
Det her er den vildeste processor til entusiastiske forbrugere, men har du egentlig brug for så meget brutal kraft?
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Undgå risici i Public Cloud
I denne rapport: Råd, analyse og indblik, som hjælper med at maksimere gevinsterne og minimere risici ved åbne cloud-løsninger.