Pas på - hackerne kommer!

Cyber-angreb bliver mere og mere sofistikerede, og i dag har de cyber-kriminelle let ved at omgå de traditionelle sikkerhedsløsninger.

Hackerne kommer_Colourbox

Der er mange udfordringer for virksomhederne, når vi taler om cyber-sikkerhed, og det er nødvendigt, at de i dag tænker sikkerhed på en helt ny måde. Vi lever i en verden, hvor det ikke længere er et spørgsmål, om virksomheden bliver udsat for cyber-kriminalitet, men i stedet et spørgsmål om hvornår det sker.

Af Martin Povelsen, Partner, PA Consulting Group, Martin.Povelsen@PACONSULTING.COM
og Emilie Norsk, Management-konsulent, PA Consulting Group, Emilie.Norsk@PACONSULTING.COM

I 2014 blev Sony Pictures Entertainment hacket. Flere medarbejdere fik stjålet deres kreditkortinformationer eller var udsat for identitetstyveri. De berørte medarbejdere kan nu se frem til at dele en erstatning på 8 millioner dollar (ca. 53 millioner danske kroner).

Det er blot et af mange eksempler gennem de seneste år, hvor virksomheder får kompromitteret deres sikkerhed – og det er blot toppen af isbjerget. Det gælder også for danske virksomheder, hvor digitalisering i dag spiller en langt større rolle end hidtil. Og med øget digitalisering øges sårbarheden over for udefrakommende trusler også.

PA Consulting Group lavede i begyndelsen af 2015 en undersøgelse af, hvordan danske virksomheder og offentlige institutioner håndterer cyber-sikkerhedstrusler. Det står klart, at i en verden, hvor de teknologiske muligheder er endeløse og i konstant forandring, bliver det mere og mere komplekst for virksomheder at drive deres forretning sikkert. De teknologiske muligheder giver virksomheder chancen for at udvikle og vækste deres forretning på nye måder, men samtidig bliver det også sværere at overskue, hvad der skal til for at beskytte deres forretning i tilstrækkelig grad.

Det er dog ikke kun den øgede kompleksitet, som stiller virksomhederne over for en stor udfordring.

Den nye verden har også fostret et yderst velorganiseret og ressourcestærkt cyber-kriminelt miljø. Vi har i de seneste år set utallige eksempler på statsstøttet cyber-kriminalitet, særligt cyber-spionage, hvor kriminelle har fået adgang til kritisk data fra for eksempel medicinal-, forsvars- og transportindustrien2.

Hackere er ikke længere bare computernørder. At være ”hacker” er i dag nærmest blevet et almindeligt job. Figuren nedenfor stammer fra en rapport fra FireEye, som har analyseret den russiske hackergruppe ATP283. Den viser, at langt størstedelen af malware forsøg fra ATP28 ligger inden for normal russisk arbejdstid. Det er en tendens, der ses i langt højere grad i dag, hvor analyser af internettrafik viser, at arbejdet med at trænge ulovligt ind i virksomheder i langt højere grad end tidligere bliver udført inden for normal arbejdstid.

Den øgede teknologiske kompleksitet og en professionel industri af cyber-kriminelle gør, at den traditionelle tilgang til cyber-sikkerhed ikke længere er tilstrækkelig. Cyber-angreb bliver mere og mere sofistikerede, og i dag har de cyber-kriminelle let ved at omgå de traditionelle sikkerhedsløsninger. Styring af informationssikkerheden gennem sikkerhedspolitikker og tekniske sikkerhedsløsninger, såsom firewalls, netværkssegmentering og antivirus, er slet ikke nok til at opretholde et acceptabelt risikoniveau.

PA Consulting Groups undersøgelse viser også, at danske virksomheder investerer mere i at udvikle sikkerhedspolitikker og –procedurer, end på at overvåge at medarbejderne rent faktisk efterlever disse.

Overvågningsaktiviteter er dog helt essentielle, da virksomheden på denne måde sikrer en effektiv overholdelse af sikkerhedspolitikker og -procedurer. Sikrer man ikke, at virksomheden overholder de regler, der er etableret for at sikre et højt sikkerhedsniveau, har investeringen været spildt. En fokuseret cyber-sikkerhedsindsats kræver desuden en forankring hos topledelsen. Hvis virksomhederne skal have en chance for at modstå det øgede pres, kræver det, at ledelsen er klar til at dedikere specifikke ressourcer, både i form af tid og penge, til en fokuseret cyber-sikkerheds indsats.

Ultratransparens
Internettets evne til at skabe transparens samt den øjeblikkelige og massive negative omtale, man som virksomhed kan få via sociale- og digitale nyhedsmedier, stiller yderligere krav til virksomhedernes indsats. Virksomheder bør bl.a. forberede sig på, hvordan de mediemæssigt vil håndtere et cyber-angreb. Det sker desværre ofte, at virksomheder først opdager, at deres systemer er blevet angrebet, og data er kommet på forkerte hænder, når nyheden allerede har spredt sig via internettet eller de sociale medier.

Et effektivt cyber-forsvar til beskyttelse af virksomhedens data, kunder og medarbejdere hænger i denne sammenhæng uløseligt sammen med en effektiv plan for håndtering af medier. Hvis én af delene fejler, kan det få katastrofale konsekvenser for virksomhedens omdømme.

Indbygget sikkerhed
Konceptet ”indbygget sikkerhed” stammer fra persondata beskyttelsesfeltet, men kan også bruges i en bredere cyber-sikkerhedskontekst.

Dette koncept indeholder syv grundprincipper som, hvis de anvendes i sammenhæng med hinanden, sikrer en holistisk tilgang til designet af virksomhedens cyber-forsvar, som omfatter både virksomhedens IT-systemer, forretningsprocesser samt den fysiske og logiske infrastruktur:

  1. Proaktiv, ikke reaktiv – En proaktiv tilgang til cyber-sikkerhed indebærer, at virksomheden overvåger det nuværende trusselsbillede og i designet af sit cyber-forsvar forsøger at designe sikringsforanstaltninger, der foregriber morgendagens trusler, i stedet for at designe sit forsvar på baggrund af allerede indtrufne hændelser.
  2. Sikkerhed som standardindstilling – Hvis sikkerhed gøres til en standardindstilling, medfører det, at såfremt der ikke ændres noget i systemer og processer, er sikkerheden intakt og på det højest mulige niveau. Det skal altså kræve en aktiv handling at sænke sikkerhedsniveauet.
  3. Sikkerhed indbygget i designet – I forbindelse med design af nye systemer eller processer skal sikkerhed medtages som en del af designet, så sikkerhed ikke bliver en eftertanke eller et add-on, men i stedet en del af kernefunktionaliteten.
  4. Fuld funktionalitet – Indbygget sikkerhed er ikke et koncept, som behøver betyde, at man mister funktionalitet. Det skal ses som et ”win-win” koncept, hvor de forretningsmæssige behov tilgodeses, samtidig med at sikkerhedsmæssige krav efterleves.
  5. Start-til-slut-sikkerhed – Når sikkerhed indbygges fra starten, øges sikkerheden i forbindelse med en eventuel efterfølgende indsamling af data, og disse data vil hermed være beskyttet fra vugge til grav.
  6. Synlighed og transparens – En transparent tilgang til virksomhedens cyber-forsvar betyder ikke, at virksomheden skal give indsigt i designet. Men virksomheden skal være åben om, hvordan kunders, medarbejderes samt andre interessenters data behandles af virksomheden.
  7. Respekt for personlige data – Personlige oplysninger skal behandles med stor omhu af virksomheden og skal være omgivet af særlige skærpede sikringsforanstaltninger. Ligeledes skal virksomheden sikre, at information om behandling af personlige oplysninger skal være let tilgængelig for de omfattede personer4.

Løsningen er et agilt cyber-forsvar
Kombinationen af en teknologibaseret verden i konstant udvikling, en voksende industri for cyber-kriminalitet, og et trusselsbillede som hele tiden ændrer sig, gør det nødvendigt for virksomheder at udvikle et agilt cyber-forsvar. Cyber-sikkerhed sikres ikke gennem udvikling af et statisk værktøj, der som minimum kun vil repræsentere et øjebliksbillede. Værktøjet skal bestå af en samling af agile processer, der sikrer kontinuerlige forbedringer og fleksibilitet.

Sørg for at have fundamentet i orden
Et agilt cyber-forsvar kræver dog, at fundamentet er på plads. Det er derfor ikke nok, at virksomheden har udviklet omfattende IT- og informationssikkerhedspolitikker og –procedurer. Det skal også sikres, at disse politikker løbende opdateres, i takt med at nye trusler opstår, at love og regler ændres, og at nye systemer tilføres IT-landskabet. Procedurer skal også omfatte konkrete og operationelle kontroller, som sikrer opretholdelse af det fastlagte cyber-sikkerhedsniveau.

Som omtalt ovenfor er ”indbygget sikkerhed” et vigtigt koncept at have in mente for at sikre en holistisk tilgang til designet af virksomhedens cyber-forsvar. Som minimum skal en virksomheds projektmodel sikre, at der altid involveres sikkerhedsarkitekt, så sikkerhed tænkes ind i alle IT-projekter fra starten.

Tillid er godt, kontrol er bedre
Til trods for at politikker og procedurer er udarbejdet og implementeret samvittighedsfuldt i organisationen, er det ingen garanti for, at de er forstået korrekt eller at de efterleves. Det er man nødt til at kontrollere. Overvågningsprocedurer skal designes og indføres i samspil med de øvrige cyber-sikkerhedskontroller, så ledelsen har mulighed for løbende at tjekke, at politikker og procedurer efterleves.

Flerlaget cyber-forsvar
Ser man på virksomheder, som har formået at forsvare sig succesfuldt mod et cyber-angreb, finder man ét fælles træk – de har opdelt deres cyber-forsvar i flere lag. 

Et flerlaget cyber-forsvar kræver, at virksomheden har identificeret sine mest kritiske aktiver, som har den største betydning for virksomhedens forretning. Det er disse aktiver, som skal beskyttes bedst. Det betyder ikke, at aktiver i de nedre lag ikke skal beskyttes, men sikkerhedsniveauet her er lavere, og omkostningerne er dermed også lavere. Det gør det muligt for virksomheden at dedikere flere ressourcer til at beskytte virksomhedens vigtigste aktiver, så sikkerhedsniveauet for de aktiver bliver højere, end hvis samtlige aktiver skulle beskyttes på samme niveau.

1-2-3: Sæt i gang
Et godt cyber-forsvar kræver en grundig forberedelse. Som minimum bør du kunne svare på følgende spørgsmål i forbindelse med planlægningen af dit cyber-forsvar:

  • Bliver vores sikkerhedspolitikker og -procedurer løbende opdateret, så de reflekterer det gældende trusselsbillede?
  • Hvordan tænker jeg sikkerhed ind i vores projekter?
  • Hvilke overvågningskontroller og -aktiviteter skal jeg etablere for at sikre, at sikkerhedspolitikker og -procedurer efterleves?
  • Hvad er mine mest kritiske aktiver, og er disse beskyttet tiltrækkeligt?
  • Hvad gør jeg, når et angreb opdages, og hvad gør jeg for at reetablere min forretning efter et angreb?

Når det ikke længere er et spørgsmål om virksomheden bliver angrebet, men et spørgsmål om hvornår, når professionelle hackere hele tiden finder nye måder, hvorpå de kan angribe virksomhedens netværk og systemer, så er virksomheden nødt til at være omstillingsparat og klar med en effektiv plan for, hvad der skal se, når uheldet er ude.