Mærsks milliardtab på sikkerhedsbrud får virksomhedsledere til at vågne op - det skal du udnytte, før det er for sent

Klumme: Udnyt interessen for Mærsks tab på ransomware til at få ledelsen i tale, lyder opfordringen fra DKCERT.

Mellem 1,3 og 1,9 milliarder kroner. Så meget kommer en sikkerhedshændelse til at koste Mærsk.

Rederikoncernen blev et af ofrene for ransomware-ormen NotPetya, der ramte en række internationale virksomheder i slutningen af juni.

Jeg blev for nylig bedt om at holde et oplæg med titlen "Hvordan får sikkerhedsfolkene topledelsen i tale?" Svaret er oplagt: Jeg skal bare vise lederne overskriften om, hvor meget NotPetya koster Mærsk.

Virksomhedsledere har sjældent særlig meget forståelse for informationssikkerhed. Deres interesse er koncentreret om virksomhedens kerneforretning: Hvad producerer vi, og hvordan tjener vi penge på det?

Eksemplet med NotPetya demonstrerer, at vi ikke må opfatte it-risiko som et selvstændigt fænomen. I vore dage er en it-risiko identisk med en forretningsrisiko. Og forretningsrisici er noget, topledere beskæftiger sig med hver dag.

Flere milliardtab
Mærsk taber altså over en milliard på NotPetya. Konfekture- og snackfirmaet Mondelez International anslår et tab på omkring en milliard kroner. Entreprenørfirmaet Saint-Gobain har offentliggjort et samlet tab på 1,6 milliarder kroner.

Det er tal, som en ledelse kan forstå.

Der går gerne en tre måneders tid, før sådan en historie er glemt. Derfor er det nu, de sikkerhedsansvarlige skal udnytte muligheden for at få ledelsen i tale.

Er du ansvarlig for informationssikkerheden i jeres organisation, skal du forberede et indlæg til ledelsen. Tag udgangspunkt i Mærsks oplevelser og stil spørgsmålet: "Hvordan ville vi have klaret en lignende situation?"

Tag jeres it-chef med til mødet. Vær forberedt på, at ledelsen vil have sat tal på risikoen. Så tænk over, hvad omkostningerne ville være for jeres organisation.

Vurder risikoen
En risiko er konsekvensen af et sikkerhedsbrud set i forhold til sandsynligheden for, at det forekommer.

Når ledelsen kender risikoen, kan den foretage en risikovurdering. Der er fire måder at behandle en risiko på: I kan behandle elementerne i den, overføre risikoen til en anden, beslutte at leve med risikoen eller holde op med at bruge de systemer eller processer, risikoen er forbundet med.

Hvis ledelsen vælger at behandle risikoen, kan det fx ske ved at opdatere systemer, købe nyt sikkerhedsudstyr eller ansætte flere sikkerhedsmedarbejdere.

Den type investeringer har I bedre muligheder for at få på budgettet nu, mens Mærsk-historien er i frisk erindring.

Tiltag beskytter
Ledelsen vil utvivlsomt spørge, hvad I kan gøre for at sikre jer mod den type angreb, Mærsk var udsat for. Her er nogle enkle tiltag, man kan begynde med.

Begræns brugernes rettigheder til et minimum. De skal kunne udføre deres arbejdsopgaver, men ikke mere end det. Og det gælder også systemkonti.

NotPetya spredte sig blandt andet ved at afvikle programmer på andre computere på netværket via PsExec. Det får PsExec kun lov til, hvis den kører under en administratorkonto.

Hvis man ikke lader brugere køre som administrator, kan man derfor begrænse risikoen. Et segmenteret netværk kan også mindske skaderne af en angreb. Opdel netværket i segmenter, så skadelige programmer kun kan inficere en mindre del af computerne på nettet.

Som altid ved ransomware-angreb er en sikkerhedskopi uundværlig. Så brug anledningen til at tjekke, at I sikkerhedskopierer data, og at I kan gendanne data ud fra kopierne.

Applikations-whitelisting er også et effektivt redskab. Med whitelisting kan der kun køre applikationer, som er godkendt.

Min erfaring siger desværre også, at det er vanskeligt at få til at fungere i praksis. Ofte kender it-funktionen ikke alle de applikationer, som brugerne ønsker at anvende. Men er man i stand til at håndtere det, er whitelisting en meget effektiv teknologi.

Endelig er det vigtigt at holde software opdateret. Men lige i forbindelse med Mærsk-historien er det ikke den mest oplagte pointe at trække frem. Det ser nemlig ud til, at den skadelige software blev spredt via en automatisk opdatering af et program, som Mærsk og de øvrige ofre brugte.

Under alle omstændigheder: Hvis du savner opbakning til sikkerhedsarbejdet, så er det nu, du skal tage fat i ledelsen. Held og lykke!

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Læs også:

Indsigt: Seks vigtige konklusioner om det store hacker-angreb mod Mærsk efter nyt regnskab




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Robotterne udfører i dag 100 mands arbejde: Lån & Spar Bank har firedoblet antallet af kundemøder ved hjælp af robotter
Fra Computerworlds arkiv: Lån & Spar Bank har kæmpesucces med robotter, der i dag udvikles af fire særlige udviklere. "De fire medarbejdere har indtil nu udviklet robotter, som udfører et arbejde det vil kræve 100 medarbejdere at udføre manuelt," siger it-direktør Casper Gjerris.
Computerworld
Ny-opdaget malware blokerer programmer som forsøger at slette den: Særligt windows 10 er ramt
En ny type malware er blevet opfanget, der både overvåger din computer og generer falske reklameindtægter til bagmændende. Og så har den en forkærlighed for Windows 10.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Sådan indfrier du virksomhedens digitale potentiale - og her giver det mest værdi at starte
Digitalisering er det altafgørende omdrejningspunkt for mange virksomheder. Men hvor tager man fat, så det giver mest værdi? EG har identificeret fem helt centrale områder, hvor der typisk er et perfekt match mellem virksomhedens behov og de teknologiske muligheder. Læs dette whitepaper og få indblik i, hvordan vidt forskellige virksomheder har grebet det an. 14 sider på dansk.