Artikel top billede

Advarsel: Disse angrebs-typer er alvorlige

Klumme: EU's it-sikkerhedsagentur øger risikovurderingen for to typer it-angreb.

DDoS-angreb er i vækst. Der bliver flere af dem, og de er voldsommere end før.

Det fremgår af en aktuel rapport fra EU's agentur for it-sikkerhed. Rapporten ser på trusler mod it-sikkerheden i det første halvår af 2013.

Den slags rapporter kommer der en del af fra forskellige spillere på it-sikkerhedsområdet.

Når jeg trækker den frem her, er det fordi, den illustrerer en pointe fra de klummer, jeg på det seneste har skrevet om ISO 27001-standarden.

Denne standard for it-sikkerhed lægger vægt på, at arbejdet med sikkerhed er en cyklus: Man vender løbende tilbage til tidligere beslutninger og evaluerer dem i lyset af det, man i mellemtiden har oplevet.

Det gør denne lille rapport også. Den tager fat i de forudsigelser, som ENISA kom med sidste år og ser på, hvor godt de passer med trusselsbilledet i dag.

Ændrer risikovurdering

På næsten alle områder forventede ENISA i 2012 stigende trusler. Det har desværre holdt stik.

På fire områder ventede organisationen et stagnerende trusselsbillede.

Det gælder overbelastningsangreb (DDoS, Distributed Denial of Service), phishing, falsk antivirus og forgiftning af søgeresultater.

Men data fra første halvår får nu ENISA til at ændre risikovurderingen for to af dem: Både overbelastningsangreb og falsk antivirus er i vækst.

Den øgede risikovurdering for overbelastningsangreb skyldes to faktorer. For det første ser det ud til, at der er kommet flere angreb.

For det andet er angrebene voldsommere.

I år har vi således set et angreb, hvor webstedet for anti-spam-organisationen Spamhaus blev overvældet med over 300 gigabit i sekundet.

Sådan bliver du afpresset

Trusler afpresser ofre

Når det gælder falsk antivirus og lignende programmer, skyldes den højere risikovurdering også her, at der kommer flere af dem.

Væksten skyldes især programmer af afpresningstypen, hvor offeret bliver nødt til at betale for at få adgang til sin pc igen.

En del af væksten her skyldes også, at nye platforme er dukket op: Der er således fundet falsk antivirus til Android.

ENISA's observationer svarer godt til det trusselsbillede, vi ser i DKCERT. Også i Danmark har vi set overbelastningsangreb og forsøg på afpresning.

Det sidste så vi senest med en dansksproget udgave af truslen, der hævder, at politiet har spærret for offerets pc, fordi vedkommende har besøgt en side med børneporno.

Forbered jer på angreb

Jeg vil derfor råde it-ansvarlige til at tjekke deres forholdsregler.

Hvad vil et overbelastningsangreb betyde for jeres organisation? Og hvad har I gjort for at imødegå truslen?

Der er faktisk tekniske løsninger, der kan mindske risikoen for at blive lagt ned af et DoS-angreb.

Center for Cybersikkerhed under Forsvarsministeriet har skrevet en udmærket vejledning om mulighederne.

Avancerede og professionelle

Derudover er det værd at læse konklusionerne i ENISA's halvårsrapport.

Organisationen konkluderer, at de it-kriminelle bruger stadig mere avancerede metoder. Det medfører, at angriberne er sværere at spore og nedkæmpe.

For eksempel anvender de teknologier som anonymiseringsnetværket TOR til at skjule deres identitet.

Også overgangen til peer-to-peer-baserede botnet gør det vanskeligere at skride ind i forhold til et botnet med central styring.

Forbryderne har allerede taget fat på smartphones og andet mobilt udstyr som en slagmark. Det område vil vi se nye trusler inden for.

Så nemt er det i dag

Undergrundens værktøjer er blevet professionelle.

I dag behøver man ikke andet end et kreditkort for at gennemføre et overbelastningsangreb: Man køber adgang til et botnet og angiver den adresse, der skal bombarderes.

På samme måde kan man også købe sig adgang til at inficere pc'er med skadelige programmer, så man på den måde opbygger sit eget botnet.

Denne professionalisering af området betyder, at det er blevet nemmere at blive it-kriminel.

Analyser jeres risici

Hvis du er ansvarlig for it-sikkerhed, må du prioritere. Med så mange trusler at tage hensyn til skal du foretage en grundig risikoanalyse.

Ud fra risikoanalysen må I afgøre, hvilke trusler der er de alvorligste for jeres organisation.

Først da kan I afgøre, hvor I skal investere: I jeres interne processer, uddannelse, tekniske værktøjer eller konsulenthjælp.

Hvis du savner ledelsens opbakning, kan du tage et kig på mine to seneste klummer.

De handler om ISO 27001, der opfatter it-sikkerhed som ledelsens ansvar på linje med den øvrige risikovurdering.

Læs dem her:

Sæt dig ind i denne standard - det vil kunne betale sig

Derfor halter din informationssikkerhed




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
EU forbereder stor satsning: Disse banebrydende teknologier skal gøre Europa til verdens første CO2-neutrale kontinent
Rene teknologier er nøgleordet i EUs nye grønne klimapagt. Se her hvilke teknologier, der konkret skal redde os ud af CO2-overforbruget inden 2050.
Computerworld
Ny skærmteknologi kan være på vej til iPhone: I fremtiden vil din skærm altid være tændt
Apple har store forventninger til den næste iPhone, der muligvis vil blive udstyret med en helt ny skærmteknologi. Selskabets leverandører har derfor fået at vide, at de skal øge produktionskapaciteten med 20 procent.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Når AI sætter sig ved rattet: Sådan passer infrastrukturen på sig selv
Selvkørende IT-infrastruktur styrker skaleringsmuligheder og ressourceudnyttelse. Dette whitepaper giver overblik over proces og muligheder.