Artikel top billede

Undersøgelse efter hackerangreb på Mærsk: ”Forstyrrende dårlig cyber-sikkerhed i shippingindustrien”

Petya-angrebet lagde i sidste uge Mærsks it-systemer ned, og havneterminaler i hele verden var lammede. Ifølge et dansk sikkerhedsfirma står det grelt til med shippingindustriens cybersikkerhed.

”Vi begyndte for tre år siden med den antagelse, at shipping-industrien har et meget lavt niveau af cybersikkerhed. Den antagelse viste sig at holde stik.”

Lars Jensen har været ansat hos Mærsk i 12 år fra 1998 til 2010, og han er i dag CEO i sikkerhedsfirmaet Cyberkeel, der har specialiseret sig i penetrationstest i shippingindustrien.

Han har i kølvandet på Petya-angrebet, der lammede Mærsk i hele verden, taget temperaturen på den generelle cybersikkerhed i branchen.

Og ifølge ham ser det skidt ud.

Blandt andet er det hos hver fjerde af verdens største rederier muligt at lave såkaldt SQL-injection via den offentligt tilgængelige track-and-trace-funktion.

Det er den, som rederiernes kunder bruger til at holde øje med forsendelser ved at indtaste et referencenummer.

”Vi tjekkede bare, om man kan sætte ikke-fungerende kode ind i stedet og på den måde lave SQL-injection. Det er jo helt banalt, men 25 procent af de største rederier var sårbare overfor det. Det er ikke vildt imponerende,” siger Lars Jensen til Computerworld.

To år gamle sårbarheder

Petya-angrebet gjorde brug af en sårbarhed i ikke-patchede Windows-systemers SMB-protokol, der kaldes EternalBlue.

Det samme gjorde WannaCry-ransomwaren i maj måned, og de to cyberangreb har for alvor sat fokus på, hvor skidt det står til med opdateringspolitikkerne i mange virksomheder.

Det gælder også i shipping-industrien.

OpenSSL-sårbarheden Heartbleed trak store overskrifter, da den blev kendt i 2014, og systemadministratorer verden over frygtede, at hackere ville bruge den til at høste brugeroplysninger fra sårbare servere.

En patch kom – som altid – hurtigt på gaden, men adskillige rederier og havne står stadig pivåbne.

”Tre år senere kan jeg konstatere, at 10 procent af de største rederier og 20 procent af havnene stadigvæk ikke har patchet dette her,” siger Lars Jensen.

”Så har vi altså noget, der begynder at ligne et seriøst problem i denne her industri.”

Ifølge Analysehuset Alphaliner står Mærsk til at miste omkring 300 millioner kroner på det aktuelle cyberangreb.

Læs også:

Dansk CEO i skarp kritik af cybersikkerheden hos Mærsk: Mærsk kan simpelthen ikke have haft et særligt højt niveau af cybersikkerhed"

Fire barske konklusioner efter en uges hacker-storm: Her er læren af Petya




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Sikkerhedsekspert: Derfor har Colonial været nødt til at betale hackere ransomware på 30 millioner kroner - vil sagtens kunne ske i Danmark
Interview: Hvorfor har mægtige Colonial Pipeline valgt at betale ransomware til hackere trods anbefalinger fra myndigheder og sikkerhedsmiljøet? "Det er ikke helt sort og hvidt," siger sikkerheds-ekspert Leif Jensen fra Eset.
Computerworld
Stor krise i den danske it-stjerne David Heinemeiers Hanssons firma: Her er historien om dramaet, der fik en tredjedel af de ansatte i Basecamp til at smække med døren
De ansatte har i hobe forladt David Heinemeier Hanssons amerikanske succes-firma Basecamp efter en intern racisme-debat. Hvordan kunne det gå så galt?
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.