Artikel top billede

(Foto: Computerworld)

Advarsel til danske CIO'er: Her er de vigtigste sikkerheds-issues i 2015

Her er de tre store sikkerhedsområder, du skal holde øje med i 2015.

Der er specielt tre områder, du skal holde øje med i virksomheden i det nye år.

Det er politisk motiverede angreb, APT-angreb og angreb mod infrastruktur samt internet-i-alt.

"Det er de tre tendenser, vi har fokus på i 2015," siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, der er placeret i Forsvarets Efterretningstjeneste.

Politiske angreb er de nye demonstrationer

Den politiske aktivisme på nettet defineres som digitale protester, der går skridtet videre end det, der er lovligt.

"Det hænger sammen med, at vi lever vores liv mere og mere digitalt. Derfor er det helt naturligt, at vi tager vores politiske holdninger med over på nettet, og derfor forventer vi en stærk stigning af denne type angreb," fortæller Thomas Lund-Sørensen.

Han trækker en parallel til den analoge verden, hvor der ved i øvrigt fredelige demonstrationer også kan opstå situationer, hvor enkelte deltagere kaster med sten.

"Det er typisk i form af DDoS-angreb, at der udtrykkes politisk utilfredshed."

Hvordan takler it-chefen denne udfordring?

"Man skal tænke over, hvor man kan komme i skudlinjen i en politisk konflikt. Man skal overveje risikoen og konsekvenserne samt, hvor sårbar man er," siger han.

Skal man holde lav profil og snakke politiker-sprog?

"Nej, det er ikke, det jeg mener. Men hvis ens forretningsmodel er afhængig af, at websiden fungerer, så skal man overveje, om man har brug for at beskytte den. For andre organisationer er det en del af konceptet, at man har markante holdninger. Så må man agere ud fra den situation."

Selv om det kan være irriterende og i nogle tilfælde også give økonomiske lussinger, så anser han det ikke for direkte ødelæggende for forretningen.

"DDoS-angreb er angreb, der ikke ødelægger noget på længere sigt, men som hindre tilgængeligheden til et system . én mulig sikkerhedsforanstaltning er derfor at have backup-sider, der i nødsituationer kan holde de vigtige dele at websiden i luften."

Der har allerede været flere politisk motiverede angreb i vores egen lille andedam. Hacktivister som Anonymous, som er en internetbaseret bevægelse, der defineres sig som forkæmper for ytringsfrihed og mod censur og misbrug af internettet, har angiveligt stået bag DDoS-angreb i Danmark.

Der er også sager i den lettere ende, hvor skoleelever har sat DDoS-angreb i værk på grund af skoletræthed.

APT er det nye sikkerheds-sort

Advanced Persistent Threat, eller APT-angreb, adskiller sig meget fra de traditionelle metoder, som almindelige hackere benytter sig af.

Der er tale om mere planlagte og intelligente angreb baseret på en række oplysninger, som angriberen har indsamlet om en virksomhed eller om konkrete personer i en virksomhed.

Det kan eksempelvis være ved overvågning eller via sociale medier.

"Ud fra den simple betragtning at det er meget effektive, billige og ret risikofrie angreb, så kommer vi til at se en stigning af denne type angreb. Det kommer til at være et vilkår for rigtig mange virksomheder," vurderer Thomas Lund-Sørensen.

Advanced Persistent Threat er primært en hovedpine for virksomheder og myndigheder, men ikke det store problem for private borgere, vurderer Center for Cybersikkerhed.

Traditionelt skyder it-kriminelle med spredehagl for at ramme så mange potentielle ofre som mulig. APT-angrebet har det modsatte udgangspunkt.

Disse angreb går efter bestemte mål og personer eksempelvis via spearphishing. Det kan være i form af mails til udvalgte personer i virksomheden med indhold, der relaterer sig til arbejdet vedkommende udfører.

Når angriberen har fået adgang til netværket gennem egen-tildeling af rettigheder og udrulning af malware så handler det om at holde så lav profil som mulig for ikke at blive opdaget.

Det er helt modsat de politisk motiverede angreb, hvor det handler om at råbe så højt som mulig for at få spredt synspunkter.

"Politisk motiverede angreb handler om at blive set og hørt. Hvis den hjemmeside, der er blevet angrebet, ikke er nede, så er man ikke kommet af med sit budskab. APT-angreb har til formål at være uopdagede i så lang tid som muligt."

Når der er adgang til netværket, udnyttes rettigheder i systemerne typisk til at sprede malware, trænge dybere ind i systemerne og hente oplysninger og data.

Ved at placere bagdøre og installere forskellige hacker-værktøjer kan angriberen skabe sine egne adgangsdøre til it-systemerne i en virksomhed.

"Det kan godt være, at metodikkerne og teknologien udvikler sig, men problemstillingen om, at uvedkommende gerne vil have adgang til netværket for at hente værdifulde informationer, er et vilkår, som vi må acceptere i et godt stykke tid fremover," lyder det fra Center for Cybersikkerhed.

De oplysninger, der kan have interesse for angribere, kan bestå af intellektuelle rettigheder, kundeoplysninger, strategier eller mere samfundskritiske informationer fra myndigheder.

Hvordan skal it-chefen ruste sig mod denne type angreb i 2015?

"Man skal gøre op med sig selv, om ens virksomhedsdata er interessante for andre og hvor stor en risiko, der er for, at andre vil have uautoriseret adgang til ens netværk. Man skal stille sig selv spørgsmålet: Har jeg nogle data, der er så attraktive, at der er andre, som vil sætte ressourcer af til at stjæle dem?"

Når virksomheden har sat fokus på, hvad der er af kronjuveler, så har man et begreb om, hvad man skal beskytte.

"Det handler selvfølgelig også om awareness blandt alle medarbejdere og ledere om eksempelvis phishing-mails. Men man kommer altså kun et stykke af vejen med oplysning. Det kræver også ledelsesfokus og den nødvendige teknologi. Forståelse i ledelsen af, hvordan forretningen fungerer, og hvor de kritiske data skabes, er nok det vigtigste punkt, når det handler om at imødegå APT," siger han.

Kortlægning, kritisk infrastruktur og internet-i-alt

En risiko man har talt om gennem mange år, men først har oplevet for alvor i den senere tid, handler om kortlægning og direkte angreb mod kritiske dele af samfundets infrastruktur.

"Der er især vore væsentligste digitale netværk til eksempelvis telekommunikation og energi, der er sårbare for et samfund," siger Thomas Lund-Sørensen.

Det første store angreb mod kritisk infrastruktur, der har set offentlighedens lys, blev sat i søen af den amerikanske regering mod Siemens-installationer i Irans atom-anlæg Natanz.

I 2010 blev et af de mest sofistikerede stykker malware, der nogensinde er blevet skrevet, opdaget af sikkerhedsforskerne.

Det hedder Stuxnet og er uhyre kompleks, og det tog sikkerhedsfirmaerne måneder at analysere koden, der skulle vise sig at have en direkte forbindelse til Det Hvide Hus i Washington.

Koden, der sendte internetspionage op på et hidtil ukendt niveau, viste, at malware kunne infiltrere kritiske infrastrukturer i nationalstater.

Selv om koden først blev opdaget i 2010 har sikkerhedsfirmaet Symantec Security oplyst, at de har analyseret en kode, som firmaet mener, kan have haft tilknytning til operationer, der har foregået helt tilbage i 2005.

En af de ting, der blev 'legitime' i forbindelse med Stuxnet, var muligheden for, at en stormagt kunne anvende internettet som offensivt våben. Men lignende kode er også blevet anvendt af ikke-statsangribere.

Senest har flere danske medier rapporterer om en russisk cyberkrig, der kan mørkelægge Danmark på grund af angreb rettet mod energisektoren.

Det skulle i givet fald ske ved hjælp af en malware-kode, der hedder Havex. Danmark har næppe været ramt af problemet, men Havex har ramt andre lande herunder Polen, Ukraine og endda Norge.

Regin er et andet eksempel på en trojansk malware, som sikkerhedsfirmaet Symantec mener stammer fra en vestlig regering. Et stykke malware, som har spioneret hos særligt de russiske og saudiarabiske internetudbydere, tele-selskaber og hotel-, og flyselskaber.

Og denne type trusler skal både samfundet og it-afdelingerne til at være opmærksomme på, fortæller Center for Cyber-sikkerhed.

"Vi må stille os selv spørgsmålet om de industrielle kontrolsystemer og anlæg, vi omgiver os med, er beskyttet godt nok. Samtidig skal vi forholde os til, at vi står på grænsen til internet-i-alt, hvor alle mulige enheder bliver forbundet til internettet, og derfor er potentielle hackermål. Vi skaber nogle sårbarhedsflader, som vi ikke tidligere har set."

Han peger på, at det er det tredje store fokusområde i 2015.

"Heldigvis er det ikke nyt for infrastrukturvirksomhederne, eksempelvis i energisektoren, der allerede har fokus på det. Men det vil brede sig til rigtig mange sektorer, for vi er mange, der kan få glæde af at koble ting på nettet."

Denne form for kriminalitet er i øjeblikket rettet mod samfund og stat, men hans pointe er at, med internet-i-alt, kan det ramme et hav af virksomheder fra rengøring til detailhandel, der kobler enheder på internettet.

Hvad er formålet med denne type angreb?

"Hvis eksempelvis en fremmed magt skulle står bag angrebene, kan det handle om politisk pression. Ligeledes vil det kunne det udnyttes i en egentlig militær- eller konfliktsituation. Vi kommer til at se langt færre af disse angreb end eksempelvis APT- og politiske angreb, men de er langt mere samfundskritiske og alvorlige."

Hvordan håndterer man den trussel?

"Angriberne kan være både statsmagter eller velorganiserede grupper. Det er ikke en trussel, der er aktuel lige nu, men hvis vi skal forsøge at se ud i fremtiden, så bliver det et vigtigt område. For at imødegå disse angreb, skal vi tænke sikkerhed ind i vores kritiske systemer."

"De skal designes og planlægges med udgangspunkt i, at de kan blive udsat for ondsindet indtrængning. Visse netværk skal måske slet ikke kobles op til internettet, men afvikles i et mere sikkert lukket kredsløb. " siger Thomas Lund-Sørensen.

Læs også:
Hackere afpresser Sony med afsløring af tophemmelig viden

Spion-malware fra vestlig stat uhyggelig effektiv: Sådan fungerer Regin-malwaren

Dansk cyber-sherif indrømmer: Ja, vi planter malware