IT-sikkerhed

Digitalt sikker

Digitaliserede virksomheder har en klar konkurrencefordel. Men sørg for at være et skridt foran, når det gælder sikkerhed. Solutions fortæller, hvad du skal gøre, for at det lykkes.

Flere og flere områder bliver digitaliseret i danske virksomheder, og systemerne bliver forbundet med internettet. Digitaliseringen skaber nye forretningsmuligheder og effektivisering, men den øger også sårbarheden over for cybertrusler. Mere end halvdelen af alle virksomheder er blevet udsat for angreb med ransomware, med trussel om filkryptering, i løbet af 2016. Og de kriminelle finder også sikkerhedshuller i mobile enheder, cloud­tjenester og IoT, ifølge sikkerhedsfirmaet Checkpoint.

– Små og mellemstore virksomheder er særligt udsatte, når de bliver digitaliseret, især hvis de er underleverandører. Dels er de ikke lige så beskyttede som de store virksomheder, og dels skyldes det, at de kriminelle udnytter den kortere beslutningsvej, som de mindre virksomheder har, for at få udbetalt afpresningspengene, siger Fredrik Johansson, der er gruppeleder for Checkpoints sikkerhedseksperter.

Ransomware-angreb bliver mere og mere almindelige

Der findes forskellige typer af skadelig kode, såkaldt malware, som plantes i digitale systemer.

– En ubehagelig trend er ransomware, hvor de kriminelle over nettet krypterer større og større infrastrukturer og kræver løsepenge for at dekryptere systemerne. Det er alt fra store e-handelssider til IoT-netværk, siger Fredrik Johansson.

Andre eksempler er at kapre computere, hvorfra man kan sprede spam, eller inficere computerne med skadelig kode, som overvåger dem og stjæler tusindvis af adgangskoder og kreditkortnumre. Samtidig er der også DDOS, hvilket vil sige overbelastningsangreb.

Skolverkets dokumentserver blev krypteret

Et eksempel på ransomware fandt sted i november i 2016. Den skadelige kode åbnede for adgangen til undergrundsbanen i San Francisco. Samtidigt lykkedes det de kriminelle at lukke billetautomaterne i systemet ned, og de krævede 73.000 dollar for at genåbne dem. Det lykkedes nogle IT-eksperter at tackle problemet, uden at man måtte betale løsesum.

Et svensk eksempel er den svenske skolestyrelse, Skolverket, som fik sin dokumentserver med 20 millioner filer krypteret. De kriminelle krævede en løsesum for at låse filerne op igen. Styrelsens ansatte kunne i en hel uge ikke bruge dokumenterne, som blev genskabt efter en omfattende backup.

Antallet af overbelastningsangreb steg med 125 procent

Der er ikke mange, der vil indrømme, at de har betalt løsepenge. De eneste officielle tal, som Solutions har fået kendskab til, er fra FBI og omfatter første kvartal af 2016. I den periode betalte virksomheder i USA 209 millioner dollars, sammenlignet med 24 millioner dollars i samme periode året før. Overbelastningsangreb steg globalt set med 125 procent i løbet af første kvartal 2016 i sammenligning med samme kvartal 2015, ifølge Akamai, som råder over et enormt distributionsnetværk inden for internettrafik.

I slutningen af 2015 blev tilbagevendende angreb normen, og dette fortsatte i første kvartal af 2016. I gennemsnit blev hver virksomhed udsat for 39 angreb – men nogle havde mange flere. Værst var det for en virksomhed, der blev udsat for 283 angreb i første kvartal sidste år. Med andre ord, tre daglige angreb i gennemsnit.

Mange udsatte virksomheder betaler løsesummen, men det er ikke noget, man skilter med.

Nye og større krav til sikkerhedsarbejdet

– Digitaliserede virksomheder har en klar konkurrencefordel. De kan f.eks. møde deres kunder med nye tilbud og i andre sammenhænge. De kan også omstille sig hurtigere og indsamle og analysere data, siger Olle Segerdahl, der er sikkerhedskonsulent hos F-secure.

Men digitalisering stiller nye og større krav til sikkerhedsforanstaltningerne. Derfor skal sikkerhed, ifølge Olle Segerdahl, indføres meget tidligt i digitaliseringsprojekterne og prioriteres lige så højt som f.eks. tilgængelighed.

Første trin er at skabe sig et overblik over virksomheden, mener han. Man skal finde ud af, hvilke digitale systemer virksomheden har behov for. Hvilke informationer har man, og hvordan skal de sikkerhedsklassificeres og beskyttes? Derefter må man kontrollere hullerne, både de tekniske og dem, der kan opstå pga. den menneskelige faktor. Kan eller skal systemerne kunne tilgås via nettet, og hvilke konsekvenser får det, hvis der sker noget?

– Til sidst laver man en beredskabsplan, så man kan få rettet op på de fejl, der er fundet. Man skal bruge den skarpeste sikkerhedskompetence, man kan få enten internt eller eksternt, siger Olle Segerdahl.

Stil krav til cloud-leverandører

Årsagen til, at digitalisering stiller højere krav til sikkerheden, er bl.a., at flere systemer, både interne og eksterne, forbindes til internettet. En anden årsag er, at flere systemer skal integreres, ofte med andre tjenester i realtid fra forskellige leverandører.

– Det sker, at kriminelle har succes med at købe varer på en e-handelsside, fordi integrationen mod den eksterne identitetstjeneste på sitet ikke har været sikker nok, fortæller Olle Segerdahl.

Selv leverandører af cloudtjenester bør granskes nøje, mener Fredrik Johansson:

– En virksomhed er altid ansvarlig for sine kunders informationer, herunder persondata, uanset om disse data ligger på virksomhedens egen server eller i skyen. Sørg for, at leverandøren af cloud­tjenesten har detaljerede NDA’er, hemmeligholdelsesaftaler, og er åben om, hvem der har adgang til deres data, og hvor dataene opbevares, siger han.

Backup er alfa og omega

Han påpeger, at selv små og mellemstore virksomheder kan nå langt, hvis de sørger for at have et lille forspring.

– Sørg om muligt for, at opgraderingerne af dine systemer sker i realtid. Desuden skal IT-udstyrets fabriksindstillede adgangskoder så hurtigt som muligt ændres af hensyn til sikkerheden.

Alle produkter eller applikationer, som tilkobles et system, der kan tilgås via nettet, skal kunne opgraderes. Ellers øges risikoen for hacking markant.

Har man placeret IT-driften internt, er backup alfa og omega.

– Ganske vist tager de fleste backup, men de tester ikke om dataene i virkeligheden kan indlæses igen. Nogle gange får man ikke genetableret alle data, fordi systemerne indimellem har undergået større forandringer. Fejl i backupper er katastrofale, hvis virksomheden f.eks. udsættes for ransomware, siger Fredrik Johansson.

Den digitale satsning – en sikkerhedsproces

En digital sikkerhedsstrategi for IT handler ikke kun om teknologi. Hele satsningen skal ses som en sikkerhedsproces. Ikke alle systemer behøver at blive integreret. F.eks. kan et nyt fjernstyret låsesystem til virksomhedens døre godt implementeres uden at have forbindelse til andre systemer. Derimod skal der i processen oprettes rutiner til opdatering af softwaren i låsene for det tilfælde, at man opdager, at der er sikkerhedsbrister.

– Udpeg sikkerhedsansvarlige, der har fuldkommen styr på, hvordan systemerne løbende skal opgraderes. Drag nytte af e-værktøjer som identificerer og adresserer sikkerhedsrisici på alle dine platforme og applikationer, siger Olle Segerdahl.

Læs også om ”Cybertruslen skal tages alvorligt”

GDPR erstatter persondataloven

Skriv dig EU’s nye regulativ til beskyttelse af persondata (General Data Protection Regulation – GDPR) bag øret. Regulativet erstatter den 25. maj 2018 den nuværende persondatalov. GDPR medfører en række skærpede krav til, hvordan organisationer inden for EU må indsamle, give adgang til, opbevare og håndtere personlige oplysninger. Og hvis en virksomhed udsættes for en IT-relateret hændelse, skal den anmelde det inden for 72 timer. De virksomheder, der ikke efterlever lovens krav, kan idømmes en bøde på fire procent af deres globale omsætning, eller maksimalt 20 millioner euro.

Skadelig kode vælter frem

Hver eneste måned i løbet af 2016 har Checkpoints forskere identificeret knap 12 millioner nye varianter af skadelig kode på verdensplan. I løbet af de sidste to år er der blevet lanceret flere virusprogrammer end i løbet af alle de foregående 29 år tilsammen.

Risici med IoT

Internet of Things (IoT) indebærer, at maskiner, køretøjer, enheder og husholdningsapparater forsynes med indbyggede sensorer og computere.

Ifølge Fia Ewald, der er ekspert i informationssikkerhed, risikerer mange IoT-systemer at gå ned i længere tid, fordi mange forsømmer Business Continuity Management (BCM), dvs. virksomhedens evne til at håndtere uventede hændelser.

Ikke flere rettigheder end nødvendigt

Som sikkerhedsansvarlig bør du ikke tildele personer flere rettigheder på et system, end hvad der er nødvendigt, for at arbejdet kan udføres. Det gælder både ansatte i virksomheden og eksterne konsulenter. Desuden skal sikkerhedsprocessen bestå af løbende uddannelse, en sikkerhedspolitik, der kontinuerligt tilpasses, samt faste sikkerhedsmøder.

Få hjælp til sikkerhedsarbejdet

Mange små og mellemstore virksomheder arbejder helt eller delvist i skyen. Og efterhånden, når yderligere rutiner og processer skal digitaliseres, er det naturlige skridt at købe sig til tjenesteydelser inden for IT-sikkerhed.

– For små og mellemstore virksomheder bliver det sværere og sværere at have lige så gode IT-sikkerhedskompetencer og -ressourcer, som en ekstern virksomhed har. Desuden bliver det alt for dyrt for kunden selv at investere i de seneste sikkerhedsprogrammer og produkter, siger Fredrik Dahlgren fra Commsec, som er en del af Dustin Group.

Selvom cloudtjenesterne i mange henseender er enkle at komme i gang med, er det yderst vigtigt, at kunderne grundigt vurderer deres specifikke sikkerhedsbehov.

– Ellers er der en stor risiko for, at kunderne betaler mere for sikkerhed, end de behøver, eller får utilstrækkelig sikkerhed, når de bliver digitaliseret, siger Fredrik Dahlgren.

Mindre virksomheder kan drage nytte af rammer og guidelines, mens større virksomheder bør hyre en ekstern sikkerhedskonsulent, mener han. Når sikkerhed findes som tjeneste, er det også vigtigt, at virksomhedens ansatte følger en sikkerhedspolitik, der også skal være på plads.

Hurtige facts

900 % stigning i hændelser med ukendt, skadelig kode

75 % af alle virksomheder har registreret bot-infektioner

88 % af alle virksomheder har mistet data

89 % af alle virksomheder har downloadet skadelige filer

94 % af alle virksomheder har benyttet mindst én højrisikoapplikation

  • Hvert 32. minut sendes følsomme data ud af virksomheden
  • Hvert fjerde minut anvendes et højrisikoprogram
  • Hvert 30. sekund udøves der et simuleret hackerangreb
  • Hvert femte sekund besøges en skadelig webside
  • Hvert fjerde sekund downloades en skadelige kode

Kilde: Check Point 2016 Security Report

Tekst: Johan Cooke
Illustrationer: Valero Doval