Advanced Persistent Threats, spearphishing, malware og ransomware.
Det er blot nogle af den type angreb, som virksomheder bliver mødt af dagligt.
Og angrebene vil kun blive flere og mere kvalificeret de næste år.
Sådan lyder den kedelige prognose fra Symantecs nordiske direktør, Morten Efferbach, da Computerworld mødte ham under en sikkerhedskonference i København med talere fra blandt andre FBI.
Derfor nytter det heller ikke, at virksomheder sparer på it-afdelingerne, bare fordi det er svært at se det rentable i dem.
“Beskyttelsen af en virksomheds data er ikke et it-problem, det er et forretningsproblem,” siger Morten Efferbach.
It-afdelingerne skal på den anden side blive bedre til at komme med klare, letforståelige pointer overfor en ledelse, som måske ikke ved hvorfor RACF-filer er vitale for et z/OS, eller hvorfor de skal tage stilling til it-sikkerhed.
It-sikkerheden skal jo bare virke.
Annonce:
Sikkerhed er ikke et teknologisk quick-fix
Behovet for at trække it-sikkerhed ud af it-afdelingen opstår, fordi ingen teknologier er bedre end de mennesker, der betjener sig af den.
Helt lavpraktisk, så opstår langt størstedelen af de farlige situationer, hvor en virksomhed bliver udsat for et angreb, når en almindeligt ansat, en såkaldt inside man, vidende eller ud af uvidenhed, åbner systemerne op for hackerne.
“Dine ansatte er den bedste måde at forebygge angreb på og i sidste ende også det bedste forsvar. Det gælder alle, fra topchefer til receptionister. Men alt for ofte bliver opgaven og ansvaret alene placeret hos en it-manager, som så står tilbage med aben,” siger Peter Schjøtt, som er teknisk pre-sale direktør hos Symantec.
Læs også: Farlige hacker-fif: Her er hackernes hemmelige metoder
Et eksempel på, hvordan uvidenheden, eller de bedste intentioner, underminerer sikkerheden, havde Chuck Esposito, FBI’s Cyber Crime kontakt i Danmark.
Han fortalte om en hacker, der ringede til kundeservice med historien om, at han havde glemt sit password. Medarbejderen var kritisk og stillede en række sikkerhedsspørgsmål, men til trods for, at hackeren svarede forkert på alle spørgsmål, fik han alligevel udleveret passwords. Medarbejderen var bare venlig og stolede på det bedste i manden i røret.
Peter Schjøtt er security pre-sales engineer hos Symantec, og har ansvar for Symantecs sikkerhedsprodukter
Pointen er, at it-sikkerhed også er noget så lavpraktisk, som at følge almindelige protokoller. Men det kræver en massiv bevidsthed omkring det, på alle niveauer i organisationen.
Danske virksomheder er umodne
En ting er mennesker, den anden store it-udfordring, som danske virksomheder står over for, er deres manglende evne til at samle, sammenholde og handle på de små tegn der kan være på, at systemerne ikke er så vandtætte, som det kunne ønskes.
Hvis en hacker snuser rundt i systemerne, efterlader vedkommende oftest et spor: En logfil, et lille udslag på et virus-scan eller bare at data er redigeret. Små ting, som enkeltvis ikke får en it-mand til at råbe vagt i gevær. For de har overordnet ikke betydning for driften.
Læs også: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu – otte it-advarsler fra efterretningstjenesten
“Virksomhedernes største trussel lige nu, er deres egen umodenhed. Al informationen om indtrængen i systemerne ligger der, men så længe intet går i stykker, så bliver der ikke reageret,” siger Peter Schjøtt.
“Et angreb er ikke bare forstyrrelse og ødelæggelse. Der er en grund til, at du er på markedet med dit produkt, du har en særlig viden eller evne, og hvis du mister den til hackere eller konkurrenter, så er det svært at komme tilbage som virksomhed.”
3 skarpe om databeskyttelse i virksomheden
- Identificer din vitale data: Hvad er den, hvor er den og hvilke kanaler bevæger den sig i.
- Uddan og vejled medarbejdere: Opsæt ufravigelige processer for håndtering af adgang og behandling af følsom data.
- Stå stærkt på sikkerheden: Hav firewalls, backups, kryptering, autentificering og overvågning.
Små virksomheder er lavthængende frugter og et springbræt
Det er kun blevet vigtigere, at holde fokus på de små ting. Hackerne er nemlig blevet meget mere tålmodige.
De er blevet til Advanced Persistent Threats, APT.
APT er den særlige type hack, som sagtens kan tage flere år, fra start til slut. Det kan starte med, at en underleverandør finder en usb-nøgle på parkeringspladsen og sætter den i computeren. Så er der malware i systemet.
Det kan se helt uskyldigt ud, men en usb-stick kan indeholde uanede mængder af ukendt malware, der kun venter på, at du sætter den i computeren. Foto: Mikkel Wenzel Andreasen
Herfra kan hackeren få adgang til partnere, som ellers er meget mere sikre virksomheder. Og så starter den langsomme inficering, infiltrering og eksfiltrering af virksomhedshemmeligheder.
“Mange firmaer tager stadig ikke sikkerheden seriøst. Og netop de små virksomheder er et let bytte, fordi de tror, at de er for ubetydelige, til at være interessante for hackere. Men halvdelen af målrettede angreb er mod mindre virksomheder,” siger Peter Schjøtt.
Læs også:
Seks ting du kan lære af den seneste tids vilde hacker-sager
Leave a Reply