Det er fredag tæt på fyraften. En person i en mellemstor dansk virksomhed har netop modtaget en e-mail om en pakke fra PostNorden. Mailen er på perfekt dansk, og der er et link, som der trykkes på.
Efter kort tid står personen nu med en tekst på sin skærm, hvor der står "Vi har krypteret dine data, for at få adgang igen, skal du betale 2.000 kroner".
Eksemplet er desværre ikke grebet ud af den blå luft men derimod en situation, mange virksomheder har befundet sig i.
Problemets omfang bestemmes i høj grad af, hvor moden virksomheden eller organisationen er it-sikkerhedsmæssigt.
Det lyder simpelt, men desværre har det vist sig at være en kompliceret proces for selv helt store virksomheder.
Mange forlader sig på teknik eller produkter
Når jeg vælger at beskæftige mig med modenhed, skyldes det i høj grad, at der i mange virksomheder er en indstilling til it-sikkerhed, hvor det er teknologi eller produkter, der sætter dagsordenen.
Når teknologien så fejler, eller produkterne ikke slår til, står de umodne virksomheder tilbage med en udfordring, som i sidste ende kan koste på bundlinjen i form af økonomisk tab, utilfredse kunder eller måske negativ omtale i medierne.
Hvis vi tager udgangspunkt i ovenstående scenarie, handler det om de meget omtalte ransomware-"angreb", som vi har set ramme både private virksomheder og offentlige institutioner.
Ransomware er blevet en guldgrube for it-kriminelle, fordi det har vist sig, at mange er villige til at betale for at få deres data tilbage.
De fundamentale kontroller savnes
Grunden til, at man går med til at betale, skyldes i høj grad, at indstillingen til it-sikkerhed ikke er særlig moden, og at man derfor ikke har de fundamentale kontroller på plads.
Først og fremmest handler det om, hvad der sker, når en medarbejder eller person kommer til at klikke på noget, som kan ende med at kompromittere computeren eller hele virksomheden.
Der findes ikke en teknologi, som kan forhindre brugeren i at klikke, når først mailen er havnet i indbakken.
Det er derfor afgørende, hvordan man har forberedt sig på, at det sker. AT det sker - og ikke OM det sker - er en realitet, og indstiller man sig på det, har man mulighed for at gå i gang med at forbedre sin modenhed og indstilling til it-sikkerhed.
De grundlæggende kontroller er:
De grundlæggende kontroller handler ikke kun om produkter eller teknologier men i højere grad om beredskabsplaner. Man skal have styr på sine enheder, sine data og kommunikation og ikke mindst adgangen.
Spørgsmål, man kan stille sig selv, sin ledelse eller organisation, kan være:
Ved alle, hvem man skal kontakte i organisationen, hvis der klikkes på skadelige links eller åbnes skadelige vedhæftede filer i e-mails?
I mange tilfælde - og især når det handler om ransomware - er tiden en kritisk faktor. Hvor hurtigt, man kan få en kompromitteret maskine isoleret fra netværket, afgør, hvor meget data ransomware kan nå at kryptere.
Derfor er det vigtigt, at alle ved, hvad de skal gøre, og hvem de skal kontakte i tilfælde af kompromittering. Dette gælder selvfølgelig ikke blot ved ransomware-inficering men helt overordnet.
Ved man, hvor virksomhedens enheder, computere, smartphones og så videre befinder sig lige nu, og kan man kontroller dem i forhold til opdateringer?
Mange angreb lykkedes i høj grad, fordi de it-kriminelle formår at udnytte en kendt sårbarhed, inden deres ofre når at patche den.
I dag ser vi, at it-kriminelle hurtigt adopterer sårbarheder, få dage efter disse bliver kendt, og desværre sker dette langt hurtigere, end gennemsnittet er om at patche.
Derfor er det nødvendigt at revurdere, om det er nok at patche én gang om ugen. Under alle omstændigheder er det vigtigt, at man har kontrol over sine enheder og kan udføre instruktioner til disse, så de bliver opdateret løbende - uanset hvor de befinder sig.
Hvordan tilgås data på netværket i dag, og hvordan validerer man brugerne?
I dag har næsten al malware kapacitet til at stjæle informationer. Der har været meget fokus på malware, som kan tømme ens bankkonto, og selv om dette kan være en primær funktion, forsøger det meste malware i dag at stjæle al den information, det er muligt at stjæle.
Informationerne bliver enten brugt til yderligere misbrug eller solgt på diverse fora.
Information, som er i høj kurs, er data, der indeholder initialer, adgangskoder med mere.
Det skyldes, at det er langt sværere at opdage angreb og informationstyveri, når det sker ved hjælp af legitime bruger-initialer og adgangskoder.
Derfor skal man nøje overveje, hvordan man kan kontrollere, hvordan data tilgås udefra og - måske endnu mere vigtigt - hvordan man i dag validerer brugere og verificerer, at de er dem, de udgiver sig for at være.
Har man it-systemer, som har været kompromitteret, og hvor det er lykkedes at stjæle data, er det sandsynligt, at it-kriminelle vil forsøge at sælge, bytte eller lække disse stjålne informationer, der i værste fald kan bruges til yderligere misbrug.
Hvilke privilegier har brugerne behov for, så de kan udføre deres arbejde?
I dag findes der næsten ingen gode grunde til, at brugere har lokale eller globale administrative privilegier. Man kan komme rigtig langt ved at indskrænke dette, fordi meget malware i dag er begrænset til de samme privileger, som den bruger, der bliver kompromitteret, har.
Hvor befinder vores data sig, og har vi en gyldig backup?
Det giver sig selv, at man skal have styr på sine data. Først og fremmest skal man vide, hvor de befinder sig, og her kan man vinde meget ved at foretage en klassificering af sine data og løbende vurdere, om de data, man har liggende, bruges aktivt, eller om de kan skrivebeskyttes og flyttes ud af netværket.
Dernæst skal man have styr på backup. Det er ikke nok at foretage en backup, man skal også verificere, at den backup, man har, rent faktisk reflekterer de data, man har behov for.
Hvis man foretager regelmæssig backup (hvilket jeg håber), er det en god ide, at denne ikke blot er forbundet med netværket. Dette skyldes at, flere varianter af eksempelvis ransomware, i dag vil forsøge at kryptere alle data, som kan nås via netværket.
Held og lykke på rejsen
Med dette ønsker jeg held og lykke med den rejse, som it-sikkerhed i høj grad skal betragtes som.
Med det trusselsbillede, som mange virksomheder og offentlige institutioner står overfor i dag, findes der desværre ikke et "quick-fix" eller en enkelt teknologi, som kan løse udfordringen.
Nøglen til en mere moden indstilling til it-sikkerhed skal i høj grad findes med det rette miks af mennesker, processer og værktøjer.
