Danske læger forsøgt franarret kodeord af falske teknikere
Danske læger er blevet udsat for et usædvanligt groft forsøg på at afgive brugernavne og kodeord til kritiske it-systemer, der håndterer patientdata og medicinordinering.
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Social Engineering
Ideen bag social engineering er at manipulere et intetanende offer til at give adgang til informationsalderens guld og diamanter, viden og data.
Social engineering er baseret på interaktion med ofret, der overtales eller stresses til at afgive informationer ved, at afsenderen fremstår så autoritær og troværdig som mulig.
Forskellige teknikker Social engineering bliver typisk brugt som brohovedet ved phishing-forsøg, hvor de it-kriminelle sender mails med eksempelvis Skat eller Visa-kort som afsender i håbet om, at ofret vil udlevere sine fortrolige skatteoplysninger eller kreditkortinformationer med henblik på, at den sociale ingeniør kan score en økonomisk gevinst.
Det kunne også foregå via baiting, der går ud på at spille på ofrets nysgerrighed. Det kunne ske ved at efterlade en USB-stick med malware på et offentligt toilet, så ofret vil gå hjem eller på arbejde og stikke den inficerede USB-stick i sin computer og dermed åbne en bagdør for den it-kriminelle.
Den it-kriminelle kan også finde på at ringe til firmaets HR-afdeling og fortælle, at han gerne vil sende en ansøgning til en opslået stilling, men har oplevet problemer med, at hans PDF-filer ikke kan læses, forklarer Ulf Munkedal, direktør i sikkerhedsselskabet Fort Consult.
Så spørger den it-kriminelle om, hvilken version af Adobe Acrobat Reader firmaet benytter sig af. De flinke HR-folk giver ham oplysningerne, så han i ro og mag kan undersøge, hvilke sårbarheder som netop det versionsnummer Acrobat Reader indeholder, fortæller han.
Gode råd Rådet lyder generelt fra sikkerhedsbranchen, at virksomheder væbner sig bedst mod de moderne, sociale lurendrejere ved interne audits med brug af social engineering, at maile viden om relevante trusler rundt til medarbejderne og opfordre dem til at bruge den sunde fornuft.
Derudover er it-systemer til kontrol af netværks-logon fra eksotiske steder og bruger-verificering ved mail-afsendelse af værdifulde dokumenter brugbare værktøjer til at forhindre videnstyverierne.
En række danske lægeklinikker har været udsat for en række usædvanligt grove forsøg på at få udleveret brugernavne og kodeord til et computersystem, som findes i omkring en fjerdedel af landets kliniker.
Det fortæller Jørgen Granborg, der er direktør for it-firmaet A-data, der har bygget adskillige it-systemer til sundhedssektoren, blandt andet WinPLC, som en lang række læger benytter.
Systemet håndterer blandt andet journaler og medicinordinering.
Ifølge Jørgen Granborg har bagmændene ringet til en række lægepraksisser under dække af at være teknikere fra A-data.
Her har de forsøgt at lokke medarbejderne til at udlevere brugeroplysninger og kodeord med henblik på at kunne foretage systemvedligeholdelse.
Systematisk forsøg
"Det var ret systematisk. Man har tilsyneladende kunnet sammenkæde vores programnavn med de ramte læger," siger Jørgen Granborg.
Og det undrer direktøren, eftersom firmaet ikke har eksponeret en kundeliste på eksempelvis internettet.
Han sammenligner det med de mange telefonopkald, som private har oplevet af få fra fupmagere, som udgiver sig for at være fra Microsoft med skumle tilbud om at reparere computeren via fjernsupport.
De falske A-Data teknikere talte dansk under samtalerne med de danske lægeklinikker, fortæller han.
"De har haft ringet til praksis og spurgt, om de ikke kunne få lov at fjernstyre deres computere for at opdatere noget ude hos dem," siger Jørgen Granborg.
Ingen udleverede oplysninger
Han fortæller, at firmaet har nogle meget faste procedurer og retningslinjer for systemvedligeholdelse.
Det mener han har været medvirkende til, at ingen af lægerne er røget i fælden og har udleveret kodeord eller brugernavne.
"Ingen fik adgang. Men vi var selvfølgelig lidt rystede over det, og derfor advarede vi på hjemmesiden, på vores telefonanlæg og som beskeder i vores systemer," siger direktøren.
Social Engineering
Ideen bag social engineering er at manipulere et intetanende offer til at give adgang til informationsalderens guld og diamanter, viden og data.
Social engineering er baseret på interaktion med ofret, der overtales eller stresses til at afgive informationer ved, at afsenderen fremstår så autoritær og troværdig som mulig.
Forskellige teknikker Social engineering bliver typisk brugt som brohovedet ved phishing-forsøg, hvor de it-kriminelle sender mails med eksempelvis Skat eller Visa-kort som afsender i håbet om, at ofret vil udlevere sine fortrolige skatteoplysninger eller kreditkortinformationer med henblik på, at den sociale ingeniør kan score en økonomisk gevinst.
Det kunne også foregå via baiting, der går ud på at spille på ofrets nysgerrighed. Det kunne ske ved at efterlade en USB-stick med malware på et offentligt toilet, så ofret vil gå hjem eller på arbejde og stikke den inficerede USB-stick i sin computer og dermed åbne en bagdør for den it-kriminelle.
Den it-kriminelle kan også finde på at ringe til firmaets HR-afdeling og fortælle, at han gerne vil sende en ansøgning til en opslået stilling, men har oplevet problemer med, at hans PDF-filer ikke kan læses, forklarer Ulf Munkedal, direktør i sikkerhedsselskabet Fort Consult.
Så spørger den it-kriminelle om, hvilken version af Adobe Acrobat Reader firmaet benytter sig af. De flinke HR-folk giver ham oplysningerne, så han i ro og mag kan undersøge, hvilke sårbarheder som netop det versionsnummer Acrobat Reader indeholder, fortæller han.
Gode råd Rådet lyder generelt fra sikkerhedsbranchen, at virksomheder væbner sig bedst mod de moderne, sociale lurendrejere ved interne audits med brug af social engineering, at maile viden om relevante trusler rundt til medarbejderne og opfordre dem til at bruge den sunde fornuft.
Derudover er it-systemer til kontrol af netværks-logon fra eksotiske steder og bruger-verificering ved mail-afsendelse af værdifulde dokumenter brugbare værktøjer til at forhindre videnstyverierne.
Derfor var vi nødt til at advare
Jørgen Granborg fortæller, at it-sikkerheden på grund af lægesystemernes adgang til personfølsomme data bliver taget meget alvorligt og skal leve op til mange krav.
Eksempelvis er lægerne koblet op via krypterede forbindelser.
"Men alligevel skabte det nok usikkerhed i vores hus til, at vi følte, at vi var nødt til at advare. Det er første gang i de 25 år, jeg har beskæftiget mig med denne her verden, at jeg har følt, at der har været en reel trussel mod sikkerheden," siger Jørgen Granborg.
Metoden som de falske teknikere benyttede, kan nærmest sammenlignes med social engineering. Det kan du læse mere om her.
Jørgen Granborg fortæller, at han ikke har kendskab til om hans konkurrenter har oplevet lignende angreb på it-sikkerheden mod deres kunder.
Men A-data har indberettet hændelserne til den såkaldte kvalitetsgruppe, som er en bestyrelse, der består af en række praktiserende læger, der tager sig af fejl i forhold til eksempelvis patientbehandling.
"Hvis de finder det alvorligt nok bliver det forelagt et it-udvalg i PLO (Praktiserende Lægers Organisation)," siger han.
Økonomisk berigelse
Jørgen Granborg vurderer, at bagmændenes motiv for at forsøge at tilgå lægernes systemer har været økonomisk berigelse.
Derfor regner han med, at de falske teknikere har forventet, at der netop i lægeklinikker kan skabes afgange til netbank eller andet med mulighed for at lave dankort-svindel.
"Jeg kan ikke forestille mig, at det har været for at kigge i journaler eller patientoplysninger. For så ville jeg blive godt og grundigt rystet," siger Jørgen Granborg.
