Seks ting du kan lære af den seneste tids vilde hacker-sager

Aldrig tidligere har vi set så mange alvorlige kæmpehacks som i år. Kan vi lære noget af de mange angreb? Her har du seks bud på lærdomme, som vi kan uddrage af de mange store angreb.

ComputerViews: Vi oplever i disse år nogle af de vildeste og største it-sikkerhedssager, som verden nogensinde har set.

Herhjemme har vi CSC-hacker-sagen, i udlandet har vi set læk af millioner af bruger-konti på én gang, som hos for eksempel eBay, hvor 145 millioner konti blev ramt af et megahack i foråret, mens russiske hackere angiveligt fornylig har stjålet mere end en milliard passwords fra store sites verden over. Hertil kommer, at hemmelig overvågning og privacy-udfordringerne i en tid, hvor alting smelter sammen.

Tidligere har vi set kæmpehacket af amerikanske Target, hvor enorme 110 millioner kunde-konti blev kompromiteret. Eller hvad med hacket af banken JP Morgan i oktober, hvor 83 millioner konti blev ramt.

Sagernes impact bliver så stor, fordi hele verden bliver mere og mere online og flere og flere mennesker bliver koblet digitalt sammen, ligesom de afleverer personlige oplysninger i stor stil til verdens store it-virksomheder.

It-sikkerhed har med andre ord aldrig tidligere fyldt så meget på den globale, digitale dagsorden.

Lad os se på nogle af de ting, som vi kan lære af sitationen.

Vi skal alle forstå alvoren
Det største sikkerhedsproblem for virksomhederne er faktisk ikke teknologi og mangel på teknologiske sikkerhedsløsninger, men derimod de ansatte.

Skødesløshed blandt de ansatte, lemfældighed med oplysninger eller mangel på sikkerheds-procedurer i virksomheden kan være farlige for enhver organisation - også selv om teknologierne er på plads.

Desuden: Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets koncern-it, der fornylig modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.

Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Du skal kende din kode
Mange virksomheder har gennem de senere år været ganske flittige til at købe sikkerheds-løsninger, som er blevet implementeret i virksomheden og flettet sammen med virksomhedens øvrige løsninger.

Det ligger meget godt i tråd med tendensen om, at it-chefen og CIO'en primært skal fokusere på at sammensætte virksomhedens it-setup på den mest optimale måde fremfor at lade sine folk skrive den selv.

Faren er, at CIO'en mister overblikket over detaljen og koden i de enkelte komponenter.

Ved du for eksempel, hvor præcist i dit setup du har den sårbare version af SSL?

Læs også: Ny alarm: OpenSSL bløder igen

Med andre ord: CIO'en skal kende deres kode og kende de anvendte applikationer til bunds, hvor de andvendes og til hvad, ligesom du skal have en ide om prioriteringen af deres vigtighed i dit setup.

Tro ikke på penetrations-test
Penetrations-test har i mange år været meget udbredte, når man kører sikkerheds-test.

Her tjekker man systemets vandtæthed ved at forsøge at trænge ind i det udefra, og som regel er alle glade og bryster sig af et højt sikkerhedsniveau, hvis det ikke lykkes at trænge ind udefra.

Men man har ikke nødvendigvis høj sikkerhed, selv om man består en penetrationstest med top-karakterer.

I hvert fald kan vi godt gå ud fra, at samtlige de organisationer, der bliver hacket og får stjålet passwords, data og fortrolige oplysninger i stride strømme, har bestået selv ganske avancerede penetrations-test. Og altså dermed burde være sikre og vandtætte.

Grunden skal vi måske finde i, at selv de bedste og mest avancerede penetrations-test og 'white hackere' ikke kan hamle op med hackerne, der hele tiden flytter sig og udvikler nye metoder, som de løbende kan ændre og improvisere ud fra.

Et godt eksempel er fishing-metoderne, hvor hackerne forsøger at narre og snyde passwords og lignende fra godtroende brugere, ligesom 'de gode hackere' - white hackers - måske er mindre villige til at udføre regulære lovbrud - også selv om det drejer sig om test af en virksomheds sikkerheds-mure og lignende - ved eksempelvis at hijacke sites, udgive sig for at være andre, end de er og lignende.

Fysisk sikkerhed skal også være på plads
Er der åbne døre på din arbejdsplads, så alle og enhver kan komme forbi din arbejdsstation og lure på din skærm, din USB-stick, dine forbindelser og dine notater, når du eksempelvis er til frokost eller til møde?

It-sikkerhed er andet og mere end blot at sikre sig digitalt. Det handler også om basal fysisk sikkerhed, som faktisk har en betydning, fordi så mange medarbejdere pludselig hver især udgør en 'adgangsport' til virksomhedens dybere systemer og altså dermed en indgangsvej til ofte vitale dele af virksomheden.

Du skal forberede dig
Med den massive bølge af hacker-angreb er sandsynligheden for, at du bliver hacket, i sagens natur også steget.

Det har på flere måder ændret tilgangen til it-sikkerhed fra at være baseret på en forventning om, at der nok ikke sker noget, til at være baseret på, at der helt sikkert vil ske noget.

It-cheferne er med andre ord begyndt at tænke helt konkret over, hvad de helt nøjagtigt ville gøre, hvis de med sikkerhed vidste, at hackere ville trænge ind i virksomhedens systemer.

Læs også: Sådan forbereder du dig på cyberangreb

Du skal udarbejde en beredskabsplan
Det fører os hen til beredskabsplanen - altså den plan, der skal træde i kraft, hvis hackerne først bryder ind, og der går koks i systemerne.

Hvad nøjagtigt skal der ske i hvilken rækkefølge, når et hack opdages?

Læs også: Danske it-beslutningstagere tager et check på sikkerheden.

Læs også:

Danske virksomheder kan være hacket uden at vide af det

Alle dine browsere er blevet hacket sønder og sammen

Seks gode råd: Få styr på brugerne i dit netværk

Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

Helt afgørende: Sådan får du sikkerheden skrevet ind i kontrakten





Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere


Er du klar til at rekruttere de attraktive it-talenter i 2021?

Hvad betyder aller mest for danske it-kandidater, og har corona været med til at skubbe til it-kandidaternes værdisæt? Det gennemgår vi på denne times webinar, hvor der naturligvis også vil være plads til spørgsmål og mulighed for videre dialog.

10. december 2020 | Læs mere


Datadrevet forretning 2020: Sæt data på den strategiske dagsorden

Forretningspotentialet i data er enormt og vil på mange måder være den udløsende faktor mellem succes og fiasko for mange virksomheder i de kommende år. På denne konference gennemgår vi en række vinder-cases med virksomheder, der i både det små og store har indtænkt data og digitalisering på nye måder i deres dagligdag.

11. december 2020 | Læs mere






Premium
Test: Huaweis Matebook X er særlig laptop med en svaghed, som du skal være opmærksom på
Huawei beviser endnu en gang, at de sagtens kan mingle sig med de bedste pc-producenter. Men alligevel skyder selskabet lidt ved siden af, med sin nyeste maskine.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.