Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Der foregår en usynlig krig mellem virksomheder og kriminelle organisationer. Virksomheder (og offentlige institutioner) er under konstant angreb. De betegner situationen med det stille begreb ”it-sikkerhed” og opbygger forsvarsmure.
Men for de kriminelle hackere er det en angrebskrig, hvor alle digitale midler tages i brug for at opnå økonomiske gevinster eller idealistiske mål. Hvorfor hackerne hacker, og hvilke våben der er de største trusler, har vi beskrevet i to artikler i de to foregående numre af AOD.
I denne sidste artikel i serien sætter vi fokus på, hvordan man som virksomhed kan vinde den lydløse, men beskidte krig. Angriberne finder hele tiden nye angrebsflanker i virksomhedernes it-systemer, men samtidig er forsvarsvåbnene stærkere end nogensinde – hvis de tages i brug.
Flere slags forsvar
Det gode forsvar forebygger ved hjælp af en god, eksekveret it-politik og ved at træne medarbejdernes opmærksomhed. Det er den menneskelige vinkel. Men der er også en teknisk vinkel: evnen til at scanne for angreb og til at slå angrebet tilbage.
Det sidste sker med antimalware, som i dag er stærkere end nogensinde takket være kunstig intelligens. Men lad os først se lidt på, hvordan de små og mellemstore virksomheder forholder sig til ”krigstrommerne”. Ifølge afdelingsdirektør Peter Kjær fra nethostingselskabet Progressive har ledelsen i mange virksomheder i smv-segmentet ikke tilstrækkeligt fokus på sikkerhedstrusler.
”Desværre er der ikke fokus nok på sikkerheden i mange virksomheder. Det er min erfaring, og jeg er i daglig kontakt med mange private og offentlige arbejdspladser. Det er ærgerligt, for det er ikke raketvidenskab at beskytte sig,” mener han.
Det underbygges af en undersøgelse, som Deloitte for allerede tre år siden gennemførte for Erhvervsstyrelsen. Den afslørede, at over halvdelen af de danske smv’er har et lavt sikkerhedsniveau, og at tiltagene i de øvrige små og mellemstore virksomheder er meget svingende.
Sikkerheden bliver outsourcet
Et stigende antal virksomheder outsourcer overvågning af it-sikkerhed – blandt andet fordi det frigør eget it-personale til udvikling og it-politik. Denne undersøgelse dækker virksomheder over hele verden og er foretaget af analysevirksomheden Statista for perioden 2014-2017.
Først en sikkerhedspolitik
Behovene er også meget forskellige, forklarer Peter Kjær. Derfor er den bedste start at få foretaget en sikkerhedsvurdering, der kan danne udgangspunkt for en egentlig sikkerhedspolitik i den enkelte organisation.
”Inviter en uvildig sikkerhedsrådgiver. Vi har en samarbejdspartner, der tager ud til kunden og laver en analyse. Den bruger han til at lave et ”sikkerhedshjul”, der kommer hele vejen rundt i forhold til personale, fysisk adgang, tekniske processer osv., så der kan sættes ind på det rigtige niveau.”
”Identity Management kan være en del af sikkerhedspolitikken, og det er en klar trend lige nu. Det er et standardsystem – for eksempel udviklet af Computer Associates eller CyberArk – hvor de ansatte får forskellige rettigheder, så alle ikke kan se alt,” siger Peter Kjær.
Personalepolitikken kan også bestemme, at virksomhedernes systemer kun kan tilgås uden for virksomhedens vægge efter en 2-faktorgodkendelse, hvor den ekstra kode fremsendes til medarbejderen som en sms. Selvom Peter Kjær anbefaler 2-faktorsikkerhed, er det endnu ikke særlig almindeligt, oplyser han.
Endvidere er det vigtigt at træne de ansatte i at håndtere personfølsomme oplysninger og i, hvordan de møder og imødegår sikkerhedstrusler mod deres arbejdsplads. Awareness-træning kalder man dette forsvarsværk.
”Awareness-træning er et must. Her trænes medarbejderne i for eksempel 10 dilemmaer. Det kan være alt fra mistænkelige mails over diskretion i det offentlige rum til at gemme følsomme data væk, når man går til frokost.
Mange virksomheder er opmærksomme på det, men får sjældent gennemført træningen, der ofte blot opfattes som ”nice to have”. Det er ellers ikke dyrt og kan trænes foran skærmen. Typisk kan sådan en løsning koste cirka 25 kr. pr. medarbejder om året,” forklarer Peter Kjær.
Når skaden er sket
Her er tre ting, du skal gøre, og tre ting, du ikke skal gøre, hvis din virksomhed er blevet ramt af ransomware.Gør dette:
1. Meld angrebet og skaden til politi og forsikring (kræver en erhvervsforsikring, der dækker it-kriminalitet og hacking eller en særlig ”cyberforsikring”).
2. Genetabler virksomheden ud fra seneste sikkerhedsbackup – gerne ved hjælp af en infrastrukturleverandør.
3. Find årsagen til, at angrebet er lykkedes, og luk sammen med en infrastrukturleverandør eller sikkerhedsekspert fremtidige huller.
Gør ikke dette:
1. Giv efter for hackernes afpresning, og betal de krævede løsepenge. Det er ingen sikkerhed for, at dine data frigives, og du opmuntrer de kriminelle.
2. Prøv selv at redde stumperne, fordi det er billigst. Det vil næppe lykkes.
3. Fortsæt med det niveau for it-sikkerhed, virksomheden eller organisationen hidtil har haft. Tag i stedet kontakt til en infrastrukturleverandør, og få genetableret virksomheden på et sikkert grundlag.
Backup og kunstig intelligens
På den tekniske side er det selvfølgelig vigtigt, at alle systemer er fuldt opdaterede, herunder antimalware-løsninger, og at man har en løbende backup af alle forretningskritiske dokumenter og filer.
”Jeg ville ikke lægge forretningskritiske data i skyen – heller ikke en backup. I hvert fald ikke i udlandet. Dem ville jeg lægge i et dansk data-center på en anden adresse,” siger Peter Kjær, der dog ikke af den grund stiller spørgsmålstegn ved for eksempel sikkerheden i Microsofts cloudløsninger.
Han er ikke alene med sin utryghed ved skyløsninger. Ifølge en global undersøgelse offentliggjort af Fortunly.com er datasikkerhed den største bekymring hos 68 procent af de virksomheder, som overvejer at gå over på en cloudbaseret løsning.
Derudover hjælper Progressive og andre lignende virksomheder deres kunder med to effektive værktøjer mod hackernes løbende opfindsomhed. Dels scanner robotter det interne netværk for orme og trojanere. Dels benyttes den nyeste form for antimalware, der har ”kunstig intelligens”.
Start med en sikkerhedsvurdering, der passer til din organisation, rådgiver Peter Kjær, Progressive.Lærer angribernes mønstre
I denne her sammenhæng betyder det, at sikkerhedsprogrammet takket være maskinlæring – konstant træning, hvor softwaren lærer at genkende angrebsmønstrene – kan forudsige, hvor hackerne vil sætte angreb ind, før det finder sted.
Og det kender de typer angreb, som er mest almindelige lige nu. Dermed kan det nemmere elimineres, hvis det skulle slippe igennem det første forsvarsværk, end det tidligere var tilfældet med tilsvarende sikkerhedsprogrammer.
”Man kunne jo næsten forestille sig en fremtid uden antivirusprogrammer. Når AI kan aflæse adfærdsmønstre, er risikoen for, at sikkerheden kompromitteres meget lille. Kunstig intelligens bliver den helt store trend inden for sikkerhed de kommende år,” siger Peter Kjær.
Se artikel 1 i serien her: Derfor hacker hackerne
Se artikel 2 i serien her: Her er hackernes stærkeste våben