Artikel top billede

(Foto: Dan Jensen)

Hackerne kommer - og du kan (næsten) intet gøre

ComputerViews: Hvad skal du gøre, når hackerne kommer? For det gør de. Du kan ikke holde dem fra døren.

Er der én ting, som det seneste år har vist os, så er det, at hackerne er blevet så dygtige, at de kan bryde ind i hvad som helst - og at de gør det.

Deres hjælpemidler og metoder er blevet langt mere avancerede og fragmenterede.

Samtidig er antallet af forskellige angrebsformer er steget markant - ikke mindst på grund af BYOD (altså medarbejdernes anvendelse af deres egne enheder til arbejde), eksplosionen i mobil-brugen, den kraftigt stigende anvendelse af cloud computing samt virksomhedernes ofte voldsomt fragmenterede it-infrastruktur med mange forskellige applikationer på kryds ot tværs, der pludselig har givet mange nye kanaler ind til virksomhedernes netværk og systemer.

Paradigme-skift

Det er et paradigmeskift for CIO'erne og it-afdelingen, der efter mange år med fokus på firewalls og ekstern beskyttelse nu skal til at kigge langt mere internt end eksternt, når det handler om it-sikkerhed.

Vigtigheden er åbenlys, for aldrig tidligere har virksomhedernes drift, indtjening, konkurrence-evne og succes været så afhængig af velkørende it-systemer og -infrastruktur som i dag.

It er kort og godt blevet vitalt for virksomhederne på en måde, som vi aldrig tidligere har set.

En af de helt store hacker-sager i 2014 var retssagen mod den svensker hacker Gottfrid Svartholm Warg, der i oktober blev idømt tre et halvt års fængsel for at have hacket sig vej ind i CSC's mainframe og dermed adgang til en lang række vigtige registre som kørekort-, CPR- og kriminal-registrene.

Warg har anket dommen til landsretten, så sagen er ikke slut.

Interessant er det imidlertid, at der gik mange måneder fra selve hacket fandt sted, til det blev opdaget, for en hacker buldrer ikke rundt og smadrer porcelæn og laver larm, medmindre der er tale om en hacktivist, hvor netop larmen er formålet.

Ellers arbejder hackeren diskret og stilfærdigt, snuser rundt og kopierer de ting, som han er ude efter.

Det er således langtfra usædvanligt, at der går lang tid fra et hack finder sted, til det bliver opdaget.

Ifølge sikkerhedsfirmaet Symantec går der i gennemsnit otte måneder, hvor hackeren altså i ro og fred kan rode rundt i systemerne.

Ofte er det endda kun tilfældigheder, der gør, at hacket bliver opdaget, og på det tidspunkt er hackeren over alle bjerge.

De professionelle - og de dygtige amatører

Med de forskellige kæmpehack, som har fundet sted i årets løb, tegner der sig et billede af på den ene side et mere og mere professionaliseret hacker-miljø og på den anden side et voksende miljø med de såkaldte "script kiddies" - teenagere, der hacker og tumler rundt overalt på nettet, bare fordi de kan.

Det er en farlig cocktail for virksomhederne:

De professionelle hackere - ofte betalte grupper af "leje-soldater" med base i Rusland eller Kina - er ude efter konkrete mål, der enten kan skade offeret eller berige offerets konkurrent (som betaler gildet), mens script kiddi'erne ofte er ude efter anerkendelse i miljøet, hvilket kræver opmærksomhed om deres resultat.

For ikke mindst de professionelle hackere - inklusive de politisk engagerede "hacktivister" - gælder det, at der i de senere år er sket en markant udvikling i deres forretningsmæssige grundlag.

Der er kort og godt kommet kunder i butikken, som kan se en fidus i at udnytte oplysninger som blue prints, kundedata og lignende eller i at skade den ramte virksomhed.

Disse betalende kunder har gjort det muligt for hackerne at tjene penge, hvilket har sat dem i stand til at blive dygtigere, udvikle deres metoder og bygge videre på deres oparbejdede erfaringer og rutiner, ligesom de har været i stand til at automatisere en stor del af deres arbejde - ganske som enhver anden professionel organisation.

Der går for eksempel ikke mange minutter, fra man sætter en Linux-server op, til man kan se, at de første - ganske vist ofte simple - robotter banker på for at komme ind og snuse.

Kraftig stigning

Ifølge Ponemon Institutes nyeste såkaldte State of the Endpoint-undersøgelse oplever virksomheder i gennemsnit 50 såkaldte "incidents" eller angreb om måneden.

45 procent af virksomhederne melder om "kraftig stigning" i antallet i løbet af det seneste år.

Hertil kommer, at angrebene er mere målrettede og mere avancerede end tidligere.

Ifølge Interpol forårsager cybercrime skader for billiarder af kroner om året alene i Europa, og mindst hver fjerde virksomhed har oplevet ekstra omkostninger, tab og lignende på grund af cyber-angreb (og det kan være, at de øvrige blot endnu ikke har opdaget, at der snuser hackere rundt i deres systemer).

Mange sikkerhedseksperter forudsiger en regulær eksplosion på området, når "internet of things" for alvor tager fart.

Begrebet dækker over en udvikling, hvor alverdens maskiner og enheder kobles sammen via internettet: Køkkenudstyr, ure, biler, vaskemaskiner, vandhaner, varmepumper, tøj, radiatorer, vandhaner, vindmøller, gadebelysning og alverdens andre ting.

Omfanget (og potentialet) er ganske enormt.

Det er risikoen for, at der hurtigt kommer til at cirkulere millioner af ikke-beskyttede og ikke-opgraderede enheder på internettet, også.

For med den ventede knopskydning af internettet til milliarder af meget forskellige slut-enheder følger også, at mange af de bittesmå it-systemer vil blive udviklet som en slags "køb-og-smid-væk" - ganske som det er tilfældet med den køkkenmaskine eller den vandhane, som net-opkoblingen sidder i.

Det er næppe sandsynligt, at en fremtidig leverandør af en (internet-opkoblet) ovn eller støvsuger vil sørge for, at der udsendes sikkerhedsopdateringer hver tredje uge gennem alle de producerede eksemplarers levetid på 10 år eller mere.

I alle virksomheder findes der desuden gamle systemer, der har overlevet rækken af moderniseringer af it-infrastrukturen og fra deres halvglemte plads dybt nede i kælderen fortsat løser ganske enkle opgaver, som det ikke kan betale sig at ændre på.

Eller også findes der halv-ukendte små-systemer rundt omkring, som er kommet ind via fortidens fusioner og opkøb, eller som bare ikke er blevet slukket.

Det er det, som Årets CIO 2013, Grundfos' Jens Hartmann kalder for virksomhedens "teknologi-gæld".

De fleste virksomheder sørger for at hegne disse gamle legacy-drager inde bag patchede gateways, hvilket også i stor stil er sket - og vil ske - med de mange Windows XP-maskiner, der fortsat kører i virksomheder rundt omkring.

Hvis altså it-chefen har styr på det hele - inklusive alle opdateringscyklusser for selv de mindste og ældste systemer.

Mange af de store industrielle systemer og protokoller er det, som sikkerhedseksperter kalder for "insecure by design".

Det betyder, at en hacker med overordnet viden om en systemtype er i stand til at hacke mange systemer, fordi de ligner hinanden og er bygget enkelt og forudsigeligt og gennemskueligt.

Det har været tilfældet med de systemer, der styrer den danske energiforsyning

Enorm storm mod portene

Stormen mod portene er med andre ord enorm. Og bagved lurer de "rigtige" hackere med al deres ekspertise.

Resultat: Hackernes muligheder for at trænge ind er blevet så gode, at det i praksis betyder, at de kan trænge ind, hvor de vil, hvis de vil. Ingen virksomhed kan sige sig fri - uanset industri, produkt og forretningsmodel.

For nogle år siden fokuserede en væsentlig del af virksomhedernes it-sikkerhedsindsatser på at holde malware, angreb og hackere ude foran portene, så de ikke kom ind i virksomhedens systemer.

Det skete med mere og mere avancerede firewalls og en løbende række af sikkerhedsopdateringer med patches, beskyttelse og lignende.

Dem har vi stadigvæk brug for.

Men vi har i dag også brug for noget mere - nemlig at kunne opdage truslerne i realtid og kunne reagere hurtigst muligt for at undgå langstrakt skade og tab af omdømme.

En vigtig konsekvens af udviklingen er, at vi ikke længere kan betragte it-sikkerhed alene som et teknisk anliggende.

Vi er også nødt til at kigge på organisation, strategi, medarbejdere, værdier og de øvrige elementer, der udgør den samlede virksomhed.

Det største sikkerhedsproblem for virksomhederne er - som altid - ikke mangel på smarte teknologiske sikkerhedsløsninger, men derimod de ansatte.

Skødesløshed blandt de ansatte, lemfældighed med oplysninger eller mangel på sikkerheds-procedurer i virksomheden kan være farlige for enhver organisation - også selv om teknologierne er på plads.

Ved virksomhedens it-organisation nok om it-sikkerhed?

Er der styr på kompetencer, risici og løsninger?

Eller er det noget, der nok bare "kører af sig selv"?

Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets Koncern IT, der for nylig modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabsprocedurerne.

Kan ikke beskytte sig mod alt

For virksomhederne og CIO'erne gælder det i dag, at det ikke giver mening at forsøge at beskytte sig mod de trusler, hackere og problemer, der ikke er inde på eget netværk - alene fordi der er så mange. Og at de skifter hele tiden.

Er malwaren ikke på dit netværk, skal du ikke bekymre dig om det. Men er det på dit netværk, skal du rykke straks: Finde ud af, om det er alvorligt, og hvad du gør ved det.

Internt i virksomheden er gode logging-systemer med gode log-analyseværktøjer helt essentielle - især hvis de er koblet op på et såkaldt intrusion prevention system (IPS)

Faren ved et logging-system er, at de it-ansvarlige har en følelse af at drukne i data, som bliver ved med at vælte ud af logging-systemet, der jo registrerer alle incidents.

Dem er der mange af, fordi bølgen af automatiserede, tumpede robotter hele tiden banker på i håbet om, at der skulle være et lille hul, en lille dør, et sted at smutte igennem.

Det kan gøre det fristende at lukke dem ned eller i hvert fald at lukke øjnene for dem, selv om afvigelser og uregelmæssigheder i mønstrene relativt hurtigt kan afsløre, hvis der er alvorlige ting på færde.

Så man skal indføre rutiner, der gør, at man holder øje med, at der bliver holdt øje med logging-systemerne.

Havde CSC haft sådan et system oppe at køre, kunne det måske have afsløret Gottrid Svartholm langt tidligere, og et system af denne art kunne måske have afsløret for Nets, at der foregik mystiske ting og sager i forbindelse med kreditkort/Se og Hør-skandalen i foråret på et så tidligt tidspunkt, at det aldrig ville have udviklet sig til en skandale.

For CIO'en er der i øvrigt også meget stor værdi i log-systemerne, efter et system er blevet hacket, for i dem ligger dokumentationen og fortællingen om hackerens færd, der på mange måder er langt vigtigere for virksomheden end opdagelsen af, at noget er blevet hacket: Hvad er blevet stjålet?

Hvilken vej kom hackeren ind?

Hvorfra?

Hvornår? Og hvordan?

Og (vigtigt!): Hvem har ansvaret?

Informationer overalt

I den moderne it-brug vandrer informationerne på tværs af systemer, platforme, enheder og personer.

Derfor giver det mening for mange CIO'er at sætte fokus på at beskytte virksomhedens informationer frem for de systemer, der indeholder informationerne.

Mange virksomheder er i dag allerede i gang med begreber som "security as a service" og "information security services", der sigter mod netop dette.

En del af øvelsen er her også at prioritere i virksomhedens ofte stærkt stigende datamængder og digitaliserede postgange i kritiske og knap så kritiske.

Ofte giver det ingen mening at sætte himmel og jord i bevægelse for hvert eneste hacker-besøg, mens det kan være afgørende, at hele beredskabsplanen (for sådan en har du jo) straks bliver aktiveret, hvis bestemte "incidents" finder sted.

Hvordan du prioriterer, afhænger alt sammen af din strategi, dine værdier, dine produkter og din forretningsplan.

Under alle omstændigheder vil det gælde, at det skal have prioritet, hvis du mister eksempelvis vigtige kundedata som kreditkortdata, sundhedsoplysninger eller lignende.

Sådan lyder det for tiden fra EU, der sandsynligvis til næste år barsler med et stort data-beskyttelsesdirektiv, som vil få betydning for alle virksomhedernes it-sikkerhedsmæssige håndtering.

Det debatteres fortsat, hvad præcist direktivet vil komme til at indeholde.

Alt tyder dog på, at EU med direktivet vil indføre en regel om, at europæiske virksomheder selv skal informere alle ramte personer inden for 72 timer, efter at det er blevet opdaget, at deres data er blevet kompromitteret.

Det siger sig selv, at det vil kunne give virksomheder alvorlige ridser i lakken.

Hvor skal pengene komme fra?

Mens opgaven med at sikre data og systemer således bliver mere og mere avanceret, bliver der ikke i samme omfang afsat midler i virksomheden til oprustning på området.

Ifølge sikkerhedsfirmaet Symantec hører det til undtagelserne, at der bliver skruet op for it-sikkerhedsbudgettet, selv om omfanget af it-sikkerhedsmæssige problemer vokser.

Det er der i sig selv ikke noget usædvanligt i.

Alle organisationer skal løbende og på alle områder sørge for at kunne mere med mindre midler (do more with less).

Mere påtrængende er det for CIO'en at anskueliggøre over for selskabets øverste ledelse - bestyrelse, CEO, CFO - at det er afgørende for virksomheden at tage it-sikkerheden alvorligt.

Alene fordi konsekvenserne kan være langvarige og alvorlige, hvis ikke det sker.

Selskabets øverste ledelse skal forstå, at it-sikkerhed i dag ikke alene handler om at indkøbe dyre sikkerhedssystemer, men også om at udarbejde beredskabsplaner, drøfte strategier og få etableret sund overvågning og sund fornuft i medarbejderstaben.

Informationssikkerhed bør betragtes som et centralt element i virksomhedens aktiviteter, og er det ikke allerede sket, bør alle arbejdsgange, alle systemer og alle organisationens elementer gennemgås og indplaceres i it-beredskabsplanen.

Så kan man måske vige uden om de mest alvorlige konsekvenser, når hackerne kommer på besøg.

For det gør de før eller siden.