Seks ting du kan lære af den seneste tids vilde hacker-sager

Aldrig tidligere har vi set så mange alvorlige kæmpehacks som i år. Kan vi lære noget af de mange angreb? Her har du seks bud på lærdomme, som vi kan uddrage af de mange store angreb.

ComputerViews: Vi oplever i disse år nogle af de vildeste og største it-sikkerhedssager, som verden nogensinde har set.

Herhjemme har vi CSC-hacker-sagen, i udlandet har vi set læk af millioner af bruger-konti på én gang, som hos for eksempel eBay, hvor 145 millioner konti blev ramt af et megahack i foråret, mens russiske hackere angiveligt fornylig har stjålet mere end en milliard passwords fra store sites verden over. Hertil kommer, at hemmelig overvågning og privacy-udfordringerne i en tid, hvor alting smelter sammen.

Tidligere har vi set kæmpehacket af amerikanske Target, hvor enorme 110 millioner kunde-konti blev kompromiteret. Eller hvad med hacket af banken JP Morgan i oktober, hvor 83 millioner konti blev ramt.

Sagernes impact bliver så stor, fordi hele verden bliver mere og mere online og flere og flere mennesker bliver koblet digitalt sammen, ligesom de afleverer personlige oplysninger i stor stil til verdens store it-virksomheder.

It-sikkerhed har med andre ord aldrig tidligere fyldt så meget på den globale, digitale dagsorden.

Lad os se på nogle af de ting, som vi kan lære af sitationen.

Vi skal alle forstå alvoren
Det største sikkerhedsproblem for virksomhederne er faktisk ikke teknologi og mangel på teknologiske sikkerhedsløsninger, men derimod de ansatte.

Skødesløshed blandt de ansatte, lemfældighed med oplysninger eller mangel på sikkerheds-procedurer i virksomheden kan være farlige for enhver organisation - også selv om teknologierne er på plads.

Desuden: Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets koncern-it, der fornylig modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.

Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Du skal kende din kode
Mange virksomheder har gennem de senere år været ganske flittige til at købe sikkerheds-løsninger, som er blevet implementeret i virksomheden og flettet sammen med virksomhedens øvrige løsninger.

Det ligger meget godt i tråd med tendensen om, at it-chefen og CIO'en primært skal fokusere på at sammensætte virksomhedens it-setup på den mest optimale måde fremfor at lade sine folk skrive den selv.

Faren er, at CIO'en mister overblikket over detaljen og koden i de enkelte komponenter.

Ved du for eksempel, hvor præcist i dit setup du har den sårbare version af SSL?

Læs også: Ny alarm: OpenSSL bløder igen

Med andre ord: CIO'en skal kende deres kode og kende de anvendte applikationer til bunds, hvor de andvendes og til hvad, ligesom du skal have en ide om prioriteringen af deres vigtighed i dit setup.

Tro ikke på penetrations-test
Penetrations-test har i mange år været meget udbredte, når man kører sikkerheds-test.

Her tjekker man systemets vandtæthed ved at forsøge at trænge ind i det udefra, og som regel er alle glade og bryster sig af et højt sikkerhedsniveau, hvis det ikke lykkes at trænge ind udefra.

Men man har ikke nødvendigvis høj sikkerhed, selv om man består en penetrationstest med top-karakterer.

I hvert fald kan vi godt gå ud fra, at samtlige de organisationer, der bliver hacket og får stjålet passwords, data og fortrolige oplysninger i stride strømme, har bestået selv ganske avancerede penetrations-test. Og altså dermed burde være sikre og vandtætte.

Grunden skal vi måske finde i, at selv de bedste og mest avancerede penetrations-test og 'white hackere' ikke kan hamle op med hackerne, der hele tiden flytter sig og udvikler nye metoder, som de løbende kan ændre og improvisere ud fra.

Et godt eksempel er fishing-metoderne, hvor hackerne forsøger at narre og snyde passwords og lignende fra godtroende brugere, ligesom 'de gode hackere' - white hackers - måske er mindre villige til at udføre regulære lovbrud - også selv om det drejer sig om test af en virksomheds sikkerheds-mure og lignende - ved eksempelvis at hijacke sites, udgive sig for at være andre, end de er og lignende.

Fysisk sikkerhed skal også være på plads
Er der åbne døre på din arbejdsplads, så alle og enhver kan komme forbi din arbejdsstation og lure på din skærm, din USB-stick, dine forbindelser og dine notater, når du eksempelvis er til frokost eller til møde?

It-sikkerhed er andet og mere end blot at sikre sig digitalt. Det handler også om basal fysisk sikkerhed, som faktisk har en betydning, fordi så mange medarbejdere pludselig hver især udgør en 'adgangsport' til virksomhedens dybere systemer og altså dermed en indgangsvej til ofte vitale dele af virksomheden.

Du skal forberede dig
Med den massive bølge af hacker-angreb er sandsynligheden for, at du bliver hacket, i sagens natur også steget.

Det har på flere måder ændret tilgangen til it-sikkerhed fra at være baseret på en forventning om, at der nok ikke sker noget, til at være baseret på, at der helt sikkert vil ske noget.

It-cheferne er med andre ord begyndt at tænke helt konkret over, hvad de helt nøjagtigt ville gøre, hvis de med sikkerhed vidste, at hackere ville trænge ind i virksomhedens systemer.

Læs også: Sådan forbereder du dig på cyberangreb

Du skal udarbejde en beredskabsplan
Det fører os hen til beredskabsplanen - altså den plan, der skal træde i kraft, hvis hackerne først bryder ind, og der går koks i systemerne.

Hvad nøjagtigt skal der ske i hvilken rækkefølge, når et hack opdages?

Læs også: Danske it-beslutningstagere tager et check på sikkerheden.

Læs også:

Danske virksomheder kan være hacket uden at vide af det

Alle dine browsere er blevet hacket sønder og sammen

Seks gode råd: Få styr på brugerne i dit netværk

Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

Helt afgørende: Sådan får du sikkerheden skrevet ind i kontrakten





IT-JOB
Se flere it-job hos
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI og machine learning i praksis: Fokus på teknologi og best practice

Vi kender til kunstig intelligens og machine learning, men hvordan udnytter vi dem i praksis? Hør om de aktuelle erfaringer med AI og machine learning, og bliv endnu klogere på fremtidens mulige tendenser, når det kommer til AI og machine learning.

02. marts 2021 | Læs mere


It-sikkerhedskontroller og -processer (How to)

Flere organisationer end nogensinde før bliver udsat for cyberangreb af hackere, der hele tiden finder nye veje og metoder, som de kan udnytte til at trænge ind i virksomhedernes systemer. På dette event kigger vi nærmere på, hvordan man opsætter de nødvendige it-sikkerhedskontroller og gør god brug af eksempelvis incident response, log management, penetrationstesting, awareness-træning, sikkerhedsopsætning og meget andet.

03. marts 2021 | Læs mere


Roundtable: Start opgøret med kompleksitet og det manglende overblik: Få styr på mulighederne og planen

Overblik og kompleksitet er derfor i fokus på dette digitale roundtable, hvor vi deler erfaringer fra digitale ledere i danske virksomheder. Her kan du blandt andet kan høre om, hvordan du bedst muligt sikrer dig overblik og reducerer kompleksiteten af dine it-systemer.

09. marts 2021 | Læs mere






Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Benefits of Automating P2P Processes
Purchasing and accounting departments are under constant pressure to boost efficiency. An ever-increasing number of processes to be managed; vacancies that cannot be filled; rising compliance demands: these are just some of the reasons why already heavy workloads keep growing. However, digitalizing and automating operational business processes can help reduce these workloads considerably. And when repetitive manual tasks such as data entry are eliminated, employees are freed up to focus on more challenging tasks. This white paper will outline just which tasks can be automated in purchasing and accounts payable departments, from issuing purchase requisitions to filing invoices in line with auditing standards. We will describe how daily operations in Purchasing and Accounting are changing, as well as the benefits that automation offers.