Artikel top billede

Thomas Kristmar fra FE fortæller om it-sikkerheden anno 2016.

Forsvarets Efterretningstjeneste: Sådan får du bedre it-sikkerhed på en enkel måde

Computerworld Summit 2016: Hvis du konstant er på jagt efter sårbarheder i dit netværk, så taber du til angriberne. Her er, hvad Forsvarets Efterretningstjeneste anbefaler i kampen for god it-sikkerhed.

Computerworld Summit 2016: Computerworld Summit-konferencen, der løb af stablen onsdag 13. april, stod også i it-sikkerhedens tegn.

Forsvarets Efterretningstjeneste var mødt frem i skikkelse af Thomas Kristmar, der er afdelingschef i Center for Cyber-sikkerhed under FE. En erfaren herre, som har beskæftiget sig med it-sikkerhed, siden det hed EDB-sikkerhed.

Han fortalte om de områder, som både virksomheder og private skal overveje i forbindelse med sikkerhed.

Det handlede om truslerne, hændelserne og løsningerne.

"Angreb fra fremmede magter er noget, der sker - hele tiden," åbnede han seancen med at sige.

Nationer med offensive cyberstrategier og aktive aktioner mod kongeriget er således et voksende problem for den danske sikkerhed.

FE vurderer ikke, at Danmark på kort eller mellemlangt sigte er i risikozonen, men i en eventuel konfliktsituation kan den vurdering hurtigt skifte, og landet vil med stor sandsynlighed blive et mål.

Fire trusselsniveauer - og hvad så?

Forsvarets Efterretningstjeneste ser på sikkerheden ud fra en national vinkel, altså om angrebene kan skade Danmark.

Derfor kategoriserer tjenesten truslerne i forskellige kategorier med en trusselsvurdering hæftet på, så vi har nogle punkter at handle og tage beslutninger ud fra.

Sandsynligheden for angreb af typen cyberspionage betegnes som: Meget høj.

"Faktisk finder det sted hele tiden," fortæller Thomas Kristmar.

"Eksempelvis Udenrigsministeriet er under konstant beskydning, og vi har konkrete eksempler på spionageforsøg, blandt andet fra 2015, hvor ministeriet fortalte åbent om malware på systemerne. Problemet blev dog fanget før det spredte sig."

Næste punkt på listen er cyberkriminalitet, der igen får stemplet: Meget høj.

"Det problem kan de fleste virksomheder og private nok nikke genkendende til. Det er blevet meget enkelt at få adgang til værktøjer, der kan anvendes til digital kriminalitet, og det kan mærkes."

Det tredje punkt handler om cyberaktivisme, også kaldet hacktivisme. Her er vurderingen: Middel.

"Det er eksempelvis DDoS-angreb mod virksomheder eller organisationer. Det er en vurdering, der kan ændre sig, end dog meget hurtigt, blot ved en udtalelse eller synspunkt, der ikke falder i aktivisternes smag."

Der er da også en stribe danske eksempler, blandt andet 3F, Folketinget og Kommunernes Landsforening.

Læs også: Anonymous angriber 3F og HK

Den fjerde trusselsvurdering hedder Terror, og her er vurderingen heldigvis sat til: Lav.

"Det handler om personer, der vil sprede skræk og rædsel i befolkningen, eller få egne holdninger til at overtrumfe de politiske holdninger i landet. Der ser vi ingen konkrete trusler på kort- og mellemlagt sigte."

Robusthed og risiko

Trusselsniveauerne skal også anvendes, når man skal bygge sine it-politikker og strategier i virksomheden.

"Hvis man har en strategi om, at man hele tiden skal jage den næste sårbarhed og lukke huller, så bør man nok ændre strategien. Den kamp vil man altid tabe," siger Thomas Kristmar.

Han peger på to konkrete indsatsområder.

"I dag handler det om erkendelse. Man må erkende, at kriminelle kan/vil trænge ind. Derfor skal man have en plan for at opdage indtrængen og en plan for hvordan, man takler situationen. Man skal overveje risici for virksomheden og se på robustheden i netværket."

Virksomheder er ligeledes nødsaget til at se på hvem, der samarbejdes med.

"En indtrængen kan også opstå gennem partnere, hosting-leverandører eller andet. Der er også eksempler på, at den digitale kriminalitet bruges som springbræt for fysiske aktiviteter eller omvendt," fortæller Thomas Kristmar.

Ligeledes skal man være kritisk med de enheder, der kobles til netværket.

"Her er et eksempel på en USB-elkoger, der kan styres via telefonen" siger han og peger op mod et PowerPoint-billede.

"Den er da sikkert sjov og måske endda praktisk, for man kan styre temperaturen via telefonen. Både 100 grader til te og 80 grader til kaffe for ikke at ødelægge de æteriske olier, men det ved i selvfølgelig alt om," lyder det humoristisk fra FE-manden.

"Problemet er, at den er koblet på nettet og samtidig usikker. Så vær kritisk og hold overblikket.

Man slutter heller ikke en USB-nøgle, som man har fundet på parkeringspladsen, til sin maskine, vel?"

Det handler således om at bruge energien på at opbygge en sikkerhedsplan, hvor man kan opdage indtrængen og vide, hvordan man skal reagere på dem.

Thomas Kristmar viser en liste, til inspiration:

- Erkend de trusler, der kan ramme dig.
- Foretag en risikovurdering.
- Drop administrative rettigheder til brugere.
- Brug whitelisting af programmer.
- Segmenter.
- Overvåg.

"Gør man det, så er man nået langt," lyder det fra Thomas Kristmar.

"Bruger du energien på at jage sårbarheder, så har du tabt."

Du kan finde hele vejledningen fra Center for Cybersikkerhed her (PDF).

Læs også:
Disruption-designer: Sådan ryster du virksomheden og overhaler konkurrenterne

Nu åbner dørene til Computerworld Summit 2016: Det kan du opleve