Derfor skal du ikke samle et tabt USB stik op uden for dit firma

CYBERCRIME Hvis du får indbrud i din virksomhed, er det synd for dig.
Hvis din virksomhed bliver hacket, er du et kvaj.

Så skarpt bliver forbryderiske angreb ofte skåret. Og netop derfor kvier mange virksomheder sig ved at fortælle, at de er blevet angrebet, fordi rygtet derom kan sprede sig som en steppebrand med omdømmetab, troværdighedstab og kundetab til følge.   Dét afholder mange fra at anmelde sager til politiet, skønt de ellers derved kunne bidrage til at få stoppet nogle af hackernes fremfærd og metoder.

NC3SKYT

Tryg Forsikring gik den modsatte vej for nylig og fortalte offentligt om, at de havde været udsat for ransomware for et godt stykke tid siden. Faktisk det meste af et år efter, at det var sket…. Tryg blev reddet af, at de havde backupfiler og et response team. Da Tryg stillede sig frem i Børsen og fortalte om angrebet, udtalte Trygs sikkerhedschef Tom Engly, at der er brug for mere åbenhed blandt danske virksomheder, når de bliver udsat for hackerangreb.
NC3SKYTDet er netop denne åbenhed, Rigspolitiet vil fremme – dog i en form, hvor det skal være muligt at fortælle om angreb uden nødvendigvis at gå ud i offentligheden. Et nyt samarbejde mellem politi og erhvervsliv, NC3SKYT, sigter mod, at virksomheder i fortrolighed kan henvende sig til Rigspolitiet og få hjælp til at imødegå angreb og fjerne trusler.
Det nye tiltag handler ikke om at stoppe angrebene en gang for alle. Det er erkendt umuligt. Men formålet er at forebygge, kriminalitetsforstyrre og skadebegrænse.
NC3Skyt hører under det Nationale Cyber Crime Center (deraf NC3 navnet). NC3Skyt ønsker at fremme et partnerskab mellem virksomheder og politiet, hvor begge parter under tavshedsbeskyttelse og i et fortroligt forum kan indberette og efterforske angreb.
læs den lange beskrivelse her i NC3Skyts udmærkede vejledning.

Lokal hjælp er nær

Når virksomheder ønsker at være med i dette samarbejde, underskriver de en samtykkeerklæring og accepterer et tavshedspålæg i en formular, der kan sendes med krypteret mail og såmænd også kan sendes med god gammeldags post. NC3Skyt er etableret centralt, men nu udlagt i ”filialer” i alle politikredse, så der i hver politikreds er tilknyttet en særlig IT-kyndig person ud over politiets efterforskere. I alt 12 IT-ingeniører er ansat til netop denne funktion. Det betyder, at man lokalt kan henvende sig, men selvfølgelig også, at kredsene taler sammen for at opdage mønstre og registrere episoder.
Jeg deltog for nylig i forbindelse med Internet Week Denmark i et arrangement forestået af Rigspolitiet og Business Horsens og Horsens Biblioteker, hvor Rigspolitiet og Sydøstjyllands Politi fortalte om det nye tiltag. Det var overordentligt interessant. Projektet er foreløbig omtalt i et par af de jyske politikredse og vil langsomt blive præsenteret efter sommer i resten af landet. Personligt synes jeg, det var et stærkt relevant oplæg at lytte til, og jeg vil da gerne opfordre til, at andre erhvervsorganisationer får politiet på besøg om dette.

Hvis det virker mistænkeligt…

internetweek iwdk 008IT-ingeniøren, der er tilknyttet Sydøstjyllands Politi, fortalte om noget af det, man foreløbig har set, blandt andet D-Dos angreb på skoler, formentlig igangsat af elever, der ville undgå eksamen, om angreb på kommuner, hvis data kun kunne frigives mod udbetaling af løsesum, og om industrispionage gennem hackere udført i en stor dansk virksomhed.
Politiets opfordring til os var klart at få et beredskabs-mindset indarbejdet i virksomheden – og her kunne jeg også godt skrive på din egen private computer:
Hvis der er noget, der virker mistænkeligt, så er det det nok!

Vi kender alle de såkaldte Nigeriabreve, og den slags kommer i mange varianter og forklædninger, phishing og så videre, og det er menneskeligt at fejle, selv IT folk, der arbejder med dette til dagligt, kan dumme sig og komme til at udlevere passwords.
Men angrebene bliver stadigt mere sofistikerede og uigennemskuelige.Både virksomheder og private udsættes for ransomware, hvor man afkræves en løsesum for at få adgang til filer, der er blevet låst af hackere. Der er også tale om Social Engeneering, hvor hackerne overbeviser folk om noget gennem smalltalk og menneskelig kontakt i telefonen, og via disse samtaler får adgang til passwords eller adgangskoder: For hvis stemmen i telefonrøret, der udgiver sig for at være en tekniker, som er ved at tjekke virksomhedens systemer og lige mangler et password til en server, lyder tilstrækkelig troværdig, ja, så giver man ham jo passwordet for at være fremkommelig.

Gem logfilerne

Politiets bøn og stærke opfordring er, at vi skal være mere opmærksomme, og at vi skal logge den aktivitet, der er på vores servere. Hvis der er logfiler, kan de trevles op, og man kan måske finde dem, der har udført skaden, ligesom man kan se, om der er mønstre i måden, angreb kommer på, som kan føre til, at et angreb kan afværges eller stoppes i tide. Det kan være både kritisk og dyrt for mange virksomheder, hvis man står stille i bare nogle timer.  Det er ikke nødvendigvis sikkert, at politiet finder frem til de skyldige, men pointen er også snarere kriminalpræventivt, og at få minimeret skaderne og at samarbejde på tværs, så mønstre, man ser, kan brydes. Hvis ingen tør fortælle, hvad de er udsat for, er der nemlig et kæmpemarked for forbryderne.
Hvis de IT kriminelle skal forstyrres i deres forehavende, er det stærkt nødvendigt, at politiets IT ingeniører i samarbejde med virksomheden kan få adgang til bl.a. logfilerne, så opfordringen lød igen og igen: Sørg for at gemme logfiler, og sørg for, at backuppen ikke ligger på den samme server som den, der angribes.

Gennemfør Wargames

Intet forsvar er 100 % sikkert, men man kan godt lære at beskytte sig og at spore de indtrængende.
Hold de ansatte skarpe på, at de skal være opmærksomme. Gennemspil en slags Wargame – hvad sker der i virksomheden, hvis vi bliver hacket – virker backuppen, som den skal, er den gemt et sted, der ikke samtidig bliver inficeret, hvad har vi gemt, hvor ligger logfilerne?
internetweek iwdk 010Hvad sker der, hvis vi tester medarbejdernes intuitive omtanke og smider et par inficerede USB stik ude på Parkeringspladsen for at teste, om medarbejderne tager dem med ind på kontoret, sætter dem i computeren og tjekker, hvis det kunne være – for dermed uden at ville det og uden måske at tænke over det, at have udsat virksomheden for risiko for infiltration gennem filer på USBstikket (urgammelt trick).

Måske har nogle af jer set TVserien Mr. Robot, der excellerer i hacktivisme. Her lykkes det i begyndelsen af serien en hacker i wannabe-musiker-kostume kommer ind i en virksomheds computer ved at være meget insisterende på at forære en musikCD til en lidt naiv medarbejder på vej til arbejde. Jeg så serien for nylig og blev bleg ved tanken om, hvor let et offer jeg selv ville være for noget sådant. Man kan hurtig blive paranoid, og det behøver man måske ikke at være, HVIS sikkerhedsforanstaltningerne vel at mærke er i orden i huset. SÅ hvem tager sig af dette hos jer?  Så få styr på det basale, sagde IT ingeniøren!  Opbyg en reaktiv kapacitet – første skridt er logs!

Personlig Chikane

For læsere af denne blog er det ikke overraskende, at jeg har et særligt øje for arbejdsrelateret cyberchikane, men dette er desværre ikke målet for det nye tiltag NC3Skyt.
Til gengæld kan man sige, at hvis en sikkerhedsorganisation i en virksomhed systematisk begynder at gemme og undersøge logfilerne, er jeg overbevist om, at disse logfiler også kan bruges til at finde frem til skurke, der sender alvorlige trusler. Nogle gange er truslerne jo så alvorlige, at politiet bliver indblandet og skal efterforske fx. dødstrusler, og al logning vil kunne danne et fornuftigt grundlag for efterforskning.
Præcis som man skal holde de ansatte skarpe på, hvilke IT trusler, der kan komme ind via uskyldigt udseende mails, vedhæftede filer, sjove links, USBnøgler, CDer eller fake hjemmesider, skal man også holde medarbejderne skarpe på, hvordan man kan anmelde cyberchikane og finde mønstre i den tekniske dokumentation, så disse slyngler kan bringes til domfældelse og efterfølgende tavshed.

Abelone Glahn

Leave a Reply Text

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *