Artikel top billede

(Foto: Dan Jensen)

Seks ting du kan lære af den seneste tids vilde hacker-sager

Aldrig tidligere har vi set så mange alvorlige kæmpehacks som i år. Kan vi lære noget af de mange angreb? Her har du seks bud på lærdomme, som vi kan uddrage af de mange store angreb.

ComputerViews: Vi oplever i disse år nogle af de vildeste og største it-sikkerhedssager, som verden nogensinde har set.

Herhjemme har vi CSC-hacker-sagen, i udlandet har vi set læk af millioner af bruger-konti på én gang, som hos for eksempel eBay, hvor 145 millioner konti blev ramt af et megahack i foråret, mens russiske hackere angiveligt fornylig har stjålet mere end en milliard passwords fra store sites verden over. Hertil kommer, at hemmelig overvågning og privacy-udfordringerne i en tid, hvor alting smelter sammen.

Tidligere har vi set kæmpehacket af amerikanske Target, hvor enorme 110 millioner kunde-konti blev kompromiteret. Eller hvad med hacket af banken JP Morgan i oktober, hvor 83 millioner konti blev ramt.

Sagernes impact bliver så stor, fordi hele verden bliver mere og mere online og flere og flere mennesker bliver koblet digitalt sammen, ligesom de afleverer personlige oplysninger i stor stil til verdens store it-virksomheder.

It-sikkerhed har med andre ord aldrig tidligere fyldt så meget på den globale, digitale dagsorden.

Lad os se på nogle af de ting, som vi kan lære af sitationen.

Vi skal alle forstå alvoren

Det største sikkerhedsproblem for virksomhederne er faktisk ikke teknologi og mangel på teknologiske sikkerhedsløsninger, men derimod de ansatte.

Skødesløshed blandt de ansatte, lemfældighed med oplysninger eller mangel på sikkerheds-procedurer i virksomheden kan være farlige for enhver organisation - også selv om teknologierne er på plads.

Desuden: Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets koncern-it, der fornylig modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.

Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Du skal kende din kode

Mange virksomheder har gennem de senere år været ganske flittige til at købe sikkerheds-løsninger, som er blevet implementeret i virksomheden og flettet sammen med virksomhedens øvrige løsninger.

Det ligger meget godt i tråd med tendensen om, at it-chefen og CIO'en primært skal fokusere på at sammensætte virksomhedens it-setup på den mest optimale måde fremfor at lade sine folk skrive den selv.

Faren er, at CIO'en mister overblikket over detaljen og koden i de enkelte komponenter.

Ved du for eksempel, hvor præcist i dit setup du har den sårbare version af SSL?

Læs også: Ny alarm: OpenSSL bløder igen

Med andre ord: CIO'en skal kende deres kode og kende de anvendte applikationer til bunds, hvor de andvendes og til hvad, ligesom du skal have en ide om prioriteringen af deres vigtighed i dit setup.

Tro ikke på penetrations-test

Penetrations-test har i mange år været meget udbredte, når man kører sikkerheds-test.

Her tjekker man systemets vandtæthed ved at forsøge at trænge ind i det udefra, og som regel er alle glade og bryster sig af et højt sikkerhedsniveau, hvis det ikke lykkes at trænge ind udefra.

Men man har ikke nødvendigvis høj sikkerhed, selv om man består en penetrationstest med top-karakterer.

I hvert fald kan vi godt gå ud fra, at samtlige de organisationer, der bliver hacket og får stjålet passwords, data og fortrolige oplysninger i stride strømme, har bestået selv ganske avancerede penetrations-test. Og altså dermed burde være sikre og vandtætte.

Grunden skal vi måske finde i, at selv de bedste og mest avancerede penetrations-test og 'white hackere' ikke kan hamle op med hackerne, der hele tiden flytter sig og udvikler nye metoder, som de løbende kan ændre og improvisere ud fra.

Et godt eksempel er fishing-metoderne, hvor hackerne forsøger at narre og snyde passwords og lignende fra godtroende brugere, ligesom 'de gode hackere' - white hackers - måske er mindre villige til at udføre regulære lovbrud - også selv om det drejer sig om test af en virksomheds sikkerheds-mure og lignende - ved eksempelvis at hijacke sites, udgive sig for at være andre, end de er og lignende.

Fysisk sikkerhed skal også være på plads

Er der åbne døre på din arbejdsplads, så alle og enhver kan komme forbi din arbejdsstation og lure på din skærm, din USB-stick, dine forbindelser og dine notater, når du eksempelvis er til frokost eller til møde?

It-sikkerhed er andet og mere end blot at sikre sig digitalt. Det handler også om basal fysisk sikkerhed, som faktisk har en betydning, fordi så mange medarbejdere pludselig hver især udgør en 'adgangsport' til virksomhedens dybere systemer og altså dermed en indgangsvej til ofte vitale dele af virksomheden.

Du skal forberede dig

Med den massive bølge af hacker-angreb er sandsynligheden for, at du bliver hacket, i sagens natur også steget.

Det har på flere måder ændret tilgangen til it-sikkerhed fra at være baseret på en forventning om, at der nok ikke sker noget, til at være baseret på, at der helt sikkert vil ske noget.

It-cheferne er med andre ord begyndt at tænke helt konkret over, hvad de helt nøjagtigt ville gøre, hvis de med sikkerhed vidste, at hackere ville trænge ind i virksomhedens systemer.

Læs også: Sådan forbereder du dig på cyberangreb

Du skal udarbejde en beredskabsplan

Det fører os hen til beredskabsplanen - altså den plan, der skal træde i kraft, hvis hackerne først bryder ind, og der går koks i systemerne.

Hvad nøjagtigt skal der ske i hvilken rækkefølge, når et hack opdages?

Læs også: Danske it-beslutningstagere tager et check på sikkerheden.

Læs også:

Danske virksomheder kan være hacket uden at vide af det

Alle dine browsere er blevet hacket sønder og sammen

Seks gode råd: Få styr på brugerne i dit netværk

Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

Helt afgørende: Sådan får du sikkerheden skrevet ind i kontrakten




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Vi dykker ned i, hvordan du finder den perfekte pasform for netop din virksomhed. Vi ser på, hvordan du kan imødekomme jeres behov for fleksibilitet og hurtig udvikling, samtidig med at håndtere udfordringerne ved cloud-tjenester.

29. februar 2024 | Læs mere


Faldgruber og forberedelser når du skal implementere Dynamics 365 FO

På dette webinar stiller vir skarpt på overvejelser, forberedelser, forretning og faldgruber, så din virksomhed får det bedste udgangspunkt for jeres Dynamics 365-implementering. Du bliver også klogere på at håndtere master data, som er et af de absolut vigtigste områder i ethvert ERP-projekt, og på hvorfor Dynamics 365 FO er en del af et samlet cloud-transformationsprojekt.

29. februar 2024 | Læs mere


Ubrydelig? Kan en smadret storage array stadig levere dine data?

En ting er at læse og høre om, hvor robuste og højt tilgængelige Hitachis storage array lagringssystemer er - men noget andet er oplevelsen af det, når du live kan se, hvordan de ødelægger deres system. Se derfor med, når vi fysisk ødelægger en storage array - og derefter tester om den stadig vil kunne levere dine data.

06. marts 2024 | Læs mere