Mærsks milliardtab på sikkerhedsbrud får virksomhedsledere til at vågne op - det skal du udnytte, før det er for sent

Klumme: Udnyt interessen for Mærsks tab på ransomware til at få ledelsen i tale, lyder opfordringen fra DKCERT.

Mellem 1,3 og 1,9 milliarder kroner. Så meget kommer en sikkerhedshændelse til at koste Mærsk.

Rederikoncernen blev et af ofrene for ransomware-ormen NotPetya, der ramte en række internationale virksomheder i slutningen af juni.

Jeg blev for nylig bedt om at holde et oplæg med titlen "Hvordan får sikkerhedsfolkene topledelsen i tale?" Svaret er oplagt: Jeg skal bare vise lederne overskriften om, hvor meget NotPetya koster Mærsk.

Virksomhedsledere har sjældent særlig meget forståelse for informationssikkerhed. Deres interesse er koncentreret om virksomhedens kerneforretning: Hvad producerer vi, og hvordan tjener vi penge på det?

Eksemplet med NotPetya demonstrerer, at vi ikke må opfatte it-risiko som et selvstændigt fænomen. I vore dage er en it-risiko identisk med en forretningsrisiko. Og forretningsrisici er noget, topledere beskæftiger sig med hver dag.

Flere milliardtab
Mærsk taber altså over en milliard på NotPetya. Konfekture- og snackfirmaet Mondelez International anslår et tab på omkring en milliard kroner. Entreprenørfirmaet Saint-Gobain har offentliggjort et samlet tab på 1,6 milliarder kroner.

Det er tal, som en ledelse kan forstå.

Der går gerne en tre måneders tid, før sådan en historie er glemt. Derfor er det nu, de sikkerhedsansvarlige skal udnytte muligheden for at få ledelsen i tale.

Er du ansvarlig for informationssikkerheden i jeres organisation, skal du forberede et indlæg til ledelsen. Tag udgangspunkt i Mærsks oplevelser og stil spørgsmålet: "Hvordan ville vi have klaret en lignende situation?"

Tag jeres it-chef med til mødet. Vær forberedt på, at ledelsen vil have sat tal på risikoen. Så tænk over, hvad omkostningerne ville være for jeres organisation.

Vurder risikoen
En risiko er konsekvensen af et sikkerhedsbrud set i forhold til sandsynligheden for, at det forekommer.

Når ledelsen kender risikoen, kan den foretage en risikovurdering. Der er fire måder at behandle en risiko på: I kan behandle elementerne i den, overføre risikoen til en anden, beslutte at leve med risikoen eller holde op med at bruge de systemer eller processer, risikoen er forbundet med.

Hvis ledelsen vælger at behandle risikoen, kan det fx ske ved at opdatere systemer, købe nyt sikkerhedsudstyr eller ansætte flere sikkerhedsmedarbejdere.

Den type investeringer har I bedre muligheder for at få på budgettet nu, mens Mærsk-historien er i frisk erindring.

Tiltag beskytter
Ledelsen vil utvivlsomt spørge, hvad I kan gøre for at sikre jer mod den type angreb, Mærsk var udsat for. Her er nogle enkle tiltag, man kan begynde med.

Begræns brugernes rettigheder til et minimum. De skal kunne udføre deres arbejdsopgaver, men ikke mere end det. Og det gælder også systemkonti.

NotPetya spredte sig blandt andet ved at afvikle programmer på andre computere på netværket via PsExec. Det får PsExec kun lov til, hvis den kører under en administratorkonto.

Hvis man ikke lader brugere køre som administrator, kan man derfor begrænse risikoen. Et segmenteret netværk kan også mindske skaderne af en angreb. Opdel netværket i segmenter, så skadelige programmer kun kan inficere en mindre del af computerne på nettet.

Som altid ved ransomware-angreb er en sikkerhedskopi uundværlig. Så brug anledningen til at tjekke, at I sikkerhedskopierer data, og at I kan gendanne data ud fra kopierne.

Applikations-whitelisting er også et effektivt redskab. Med whitelisting kan der kun køre applikationer, som er godkendt.

Min erfaring siger desværre også, at det er vanskeligt at få til at fungere i praksis. Ofte kender it-funktionen ikke alle de applikationer, som brugerne ønsker at anvende. Men er man i stand til at håndtere det, er whitelisting en meget effektiv teknologi.

Endelig er det vigtigt at holde software opdateret. Men lige i forbindelse med Mærsk-historien er det ikke den mest oplagte pointe at trække frem. Det ser nemlig ud til, at den skadelige software blev spredt via en automatisk opdatering af et program, som Mærsk og de øvrige ofre brugte.

Under alle omstændigheder: Hvis du savner opbakning til sikkerhedsarbejdet, så er det nu, du skal tage fat i ledelsen. Held og lykke!

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Læs også:

Indsigt: Seks vigtige konklusioner om det store hacker-angreb mod Mærsk efter nyt regnskab




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Tung Atea-dominans på hardware-markedet helt ok, mener SKI: "Hvis en virksomhed vokser sig stor, er det typisk også fordi, den gør et eller andet rigtigt. Der er ikke noget i vejen med at være dominerende"
Der er glimrende konkurrence på markedet for det offentliges hardware-indkøb, selv om Atea lander de fleste ordrer, mener SKI. "Det er min opfattelse, at der er en glimrende og benhård konkurrence på hardwaremarkedet. Det er ikke nemt at være aktør på det marked," siger udbudsdirektør i SKI, Christian Lunding.
Computerworld
Kæmpe-cyberangreb afsløret: Millioner af computere hacket - pilen peger (igen) mod Rusland
Pilen peger entydigt mod Rusland, mener USA og Storbritannien. Se stor advisory om angrebet, der har inficeret millioner af routere, switche og lignende i virksomheder og myndigheder.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Klassiske brokere af it-konsulenter står over for kæmpe udfordring - forretningsmodellen er under pres
Klumme: Eksterne konsulenter er populære og en god løsning i en branche i vækst. Men selve forretningsmodellen bag it-konsulenterne er under alvorligt pres.
White paper
Hvilken slags CRM understøtter bedst din forretning?
Hvordan vælger jeg det rigtige CRM-system? Hvad skal jeg prioritere? Denne guide giver dig et solidt grundlag for at vælge det CRM-system, der understøtter netop din virksomhed og jeres processer bedst – og som støtter op om arbejdet med bl.a. salg, marketing og service gennem den samlede kunderejse. Du får også konkrete og brugbare tips til, hvordan du øger sandsynligheden for, at CRM bliver en naturlig og selvfølgelig del af dine medarbejderes dagligdag. Hvilket jo er grundlaget for, at det samlede CRM-projekt bliver til en succes.