Artikel top billede

Løsepenge og DDoS satte præg på året der gik: I 2017 bør vi beskytte vores data og systemer med flere lag af sikkerhed

Klumme: Ransomware, overbelastningsangreb og svindelforsøg prægede 2016. I 2017 skal vi beskytte vores data og systemer med flere lag af sikkerhed, så et brud på sikkerheden får begrænset effekt. Jeg vil også slå et slag for den metodiske og strukturerede tilgang til opgaven

Her på tærsklen til 2017 tager jeg et kig tilbage på det år, der snart er gået.

På de sociale medier omtaler mange 2016 som et "annus horribilis" - et år, hvor der skete mere skidt end godt.

Set med sikkerhedsbrillerne på er det også en nærliggende beskrivelse. For det gik værre på rigtig mange fronter.

Mængden af nye varianter af skadelig software satte igen rekord, hvilket i sig selv ikke er alarmerende - det afgørende er, hvor mange computere det lykkes de grimme programmer at inficere.

Mere skræmmende er det, at ransomware er blevet en af de mest udbredte former for malware. Ransomware er skadelig software, der spærrer for adgangen til data og kræver løsepenge for at give dem fri igen.

Dermed er det ikke længere nok at køre et antivirusprogram for at fjerne en infektion. Vil man have sine data tilbage, skal man enten være heldig, at der findes sikkerhedssoftware, som kan knække krypteringen, eller også skal man indlæse fra backup.

Mest fremtrædende form for malware

Ifølge Europol er ransomware nu den mest fremtrædende form for malware.

Ransomware lader de it-kriminelle få penge fra deres ofre. Dermed passer truslen fint ind den tendens, vi har set de sidste mange år: De it-kriminelle er i høj grad motiveret af muligheden for at score penge.

Den nysgerrige hacker, der gjorde det for spændingens og den tekniske udfordrings skyld, er væk.

Det har medført en egentlig professionalisering af området. Har de kriminelle ikke selv den tekniske ekspertise, kan de købe sig til den.

Det sker i form af botnet til leje, konstruktionssæt til dannelse af ny ransomware - og egentlige konsulenttjenester, hvor man kan hyre en it-kriminel.

Vi må erkende, at it-kriminalitet er en alvorligt stigende trussel.

DDoS-angreb blev kraftigere

DDoS-angreb (Distributed Denial of Service) var også i vækst i 2016. Vi så de hidtil kraftigste angreb blive udført.

En interessant ny vinkel var, at nogle af angrebene kom fra det såkaldte Mirai-botnet, der ikke består af traditionelle computere.

I stedet udsendte tusindvis af netopkoblede kameraer de datapakker, der udgjorde angrebene.

Dermed er DDoS blevet koblet til den teknologi, der kaldes Internet of Things (IoT). Det er alt det ikke-computerudstyr, der udgør en stadig større del af maskinerne på internettet.

Når IoT-udstyr kan misbruges til botnet, hænger det sammen med de sikkerhedsproblemer, der ofte plager teknologien.

Mange apparater der kan sættes på netværk, er ikke designet til at tage højde for sikkerheden.

Ofte er de udstyret med en åben telnet-port. Hvis der også er en standardkonto ved navn admin med passwordet admin, er det en let sag at komme ind.

Der er også tit tale om billige apparater med lang levetid, hvis firmware ikke kan opdateres.

Mirai-botnettet viser, at producenterne af netværksopkoblet udstyr skal tage sikkerheden langt mere alvorligt, end de allerede har gjort.

Det medfører nye udfordringer. Hvordan kan man for eksempel indføre to-faktor-autentifikation på et apparat?

Den menneskelige faktor

Vi så også en stigning i en form for svindel, der har været kendt i mange år: Forfalskede e-mails.

Her drejede det sig specifikt om mails til folk i bogholderiet. Afsenderen foregiver at være en overordnet, der har brug for at få overført nogle penge i en fart til en udenlandsk konto.

Denne såkaldte CEO-fraud var i vækst i år. Vi oplevede den også rettet mod vores brugere i administrationen på universiteterne.

Her er der tale om social engineering: Den teknologiske del af svindlen er begrænset til en forfalsket afsenderadresse, langt det meste af indsatsen handler om at virke troværdig.

Jeg har været ganske imponeret over kvaliteten af nogle af de tekster, svindlerne har sendt.

Der er brug for en indsats på to fronter mod den slags.

For det første skal man sikre, at organisationen har procedurer, der dobbelttjekker overførsler af større beløb. Og at de faktisk bliver fulgt i praksis.

For det andet kan man indføre metoder til at filtrere e-mails fra, hvis afsenderadressen er forfalsket.

Her er en teknologi som DMARC (Domain-based Message Authentication, Reporting & Conformance) et glimrende våben - men det kræver grundige test, før man sætter det i drift.

Det kommende år

Jeg forventer mere af det samme i 2017.

Vi vil fortsat se masser af ransomware-angreb. Det samme gælder DDoS og CEO-fraud. Årsagen er, at der ikke findes en magisk løsning, vi kan købe, som sikrer vores systemer.

Derfor må vi holde fast i de best practices, vi har udviklet gennem årene. Vi skal beskytte vores data og systemer med flere lag af sikkerhed, så et brud på sikkerheden får begrænset effekt.

Jeg vil også slå et slag for den metodiske og strukturerede tilgang til opgaven. Et godt middel her er standarden ISO 27001.

Det er netop ikke en standard for it-sikkerhed, men en standard for systemer til at styre informationssikkerheden.

2017 bliver også året, hvor vi skal gøre os klar til at efterleve kravene i den nye persondataforordning fra EU. Den træder i kraft i maj 2018, så der er ingen tid at spilde.

Jeg ønsker læserne af Computerworld et godt og sikkert 2017.

Læs også:

CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Hackerne i kæmpe-offensiv: Antallet af ransomware-angreb eksploderer

It-sikkerhed er ren kold krig: "Udstyret og værktøjerne er russiske, kommer med russiske instruktioner og diskuteres i russisktalende fora"

Dine kolleger er gode til at låse bagdøren i firmaet - hvorfor har de så så svært ved at tænke sig om, når det gælder it-sikkerhed?

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.