IT-sikkerhet

Digitalt sikker

Digitaliserte bedrifter har en klar konkurransefordel. Men pass på å ligge et steg foran når det gjelder sikkerhet. Solutions forteller hva du bør gjøre.

Stadig flere bedrifter digitaliseres, og systemene kobles til Internett. Digitaliseringen skaper nye forretningsmuligheter og effektivisering, men bedriftene blir sårbare mot nettrusler. Over halvparten av alle bedrifter ble utsatt for løsepengevirus eller filkrypteringsangrep i 2016. Angriperne finner også sikkerhetshull i mobilenheter, skytjenester og tingenes Internett (IoT), ifølge sikkerhetsselskapet Checkpoint.

– Små og mellomstore ­bedrifter er spesielt utsatt når de digitaliserer, først og fremst underleverandører. De har ikke like god beskyttelse som større selskaper, og angriperne utnytter dessuten de kortere beslutningsveiene i mindre firmaer i et forsøk på å presse dem for penger, sier Fredrik Johansson, gruppeleder for Checkpoints sikkerhetseksperter.

Ransomware-angrep blir stadig vanligere

Det finnes mange typer skadevare som plantes i digitaliserte systemer.

– En negativ trend er løsepenge­virus der angriperne via nettet krypterer stadig større infrastrukturer og krever penger for å låse opp systemene. Det kan være alt fra store e-handelssider til IoT-nettverk, sier Fredrik Johansson.

Andre eksempler er å kapre datamaskiner for å spre søppelpost, eller legge inn skadelig kode som overvåker maskinene og stjeler tusenvis av passord og kortnumre. Parallelt pågår DDOS, det vil si overbelastningsangrep.

Skoleverkets dokumentserver ble kryptert

Et eksempel på bruk av løsepengevirus fant sted i november 2016. Skadevaren åpnet tunnelbanesperrer i San Francisco. Samtidig greide angriperne å stenge billettautomater i systemet, og de krevde 73 000 dollar for å gi tilbake kontrollen. IT-eksperter klarte å løse problemet uten at det ble betalt løsepenger.

Et svensk eksempel er Skolverket, der 20 millioner filer på dokumentserveren ble kryptert. Angriperne krevde løsepenger for å låse opp filene. De ansatte fikk ikke tilgang til dokumentene, som etter en ukes tid ble gjenopprettet ved hjelp av en omfattende sikkerhetskopi.

Overbelastningsangrep økte med 125 prosent

Få vil skilte med at de betaler løsepenger. De eneste rapporterte tallene Solutions har fått tak i, er fra FBI og gjelder for første kvartal 2016. Da betalte bedrifter i USA 209 millioner dollar, sammenlignet med 24 millioner dollar i samme periode året før. Overbelastningsangrep økte globalt med 125 prosent i første kvartal 2016 sammenlignet med samme kvartal i 2015, ifølge Akamai, som har et enormt distribusjonsnettverk for Internett-trafikk.

På slutten av 2015 ble tilbakevendende angrep vanlig, og dette fortsatte i første kvartal 2016. I snitt ble bedrifter utsatt for 39 angrep, noen verre enn andre. Verst var det for en bedrift som opplevde 283 angrep i første kvartal i fjor. I gjennomsnitt tre angrep hver dag, med andre ord.

Mange utsatte bedrifter betaler løsepengene, uten at dette blir offentliggjort.

Nye og høye krav til sikkerhetsarbeidet

– Bedrifter som digitaliserer, oppnår en klar konkurransefordel. De kan for eksempel gi kunder nye tilbud. Andre eksempler er mulighet for raskere omstilling eller innsamling og analysering av data, sier Olle Segerdahl, sikkerhetskonsulent hos F-Secure.

Digitalisering stiller imidlertid nye og høyere krav til sikkerhetsarbeidet. Derfor må sikkerhet, ifølge Olle Segerdahl, innføres tidlig i digitaliseringsprosjektet og prioriteres like høyt som for eksempel tilgjengelighet.

Første steg er å analysere virksomheten, mener han. Finne ut hvilke digitale systemer virksomheten trenger. Hva slags informasjon finnes, og hvordan skal den sikkerhetsklassifiseres og beskyttes? Deretter må du kontrollere manglene, både tekniske mangler og de som skyldes menneskelig svikt. Kan eller skal systemene være tilgjengelige via Internett, og hva vil følgene være om noe skulle skje?

– Til slutt utarbeider du en handlingsplan for å rette opp manglene som ble funnet. Få tak i den skarpeste sikkerhetskompetansen, internt eller eksternt, sier Olle Segerdahl.

Still krav til nettsky-leverandører

En grunn til at digitalisering stiller høyere krav til sikkerheten, er at flere systemer blir koblet til Internett, både interne og eksterne. En annen grunn er at flere systemer skal integreres, ofte med andre sanntidstjenester fra ulike aktører.

– Det hender at angriperne lykkes med å kjøpe kapitalvarer på en e-handelsside fordi integreringen med den eksterne identitetstjenesten på e-handelssiden ikke var sikker nok, forteller Olle Segerdahl.

Også skyleverandører må stilles under lupen, mener Fredrik Johansson:

– En bedrift er alltid ansvarlig for kundenes data, som personopplysninger, uansett om dataene er lagret i eget datasenter eller i skyen. Forsikre deg om at skyleverandøren har en detaljert fortrolighetsavtale og er tydelig på hvem som har tilgang til data, og hvor data lagres.

Alt du trenger å vite om backup

Han understreker at også små og mellomstore bedrifter kan komme langt ved å ligge et steg foran.

– Pass på at oppgraderinger i et system om mulig skjer i sanntid. I tillegg må fabrikkdefinerte passord for IT-utstyr byttes umiddelbart for å bli sikrere.

Alle produkter eller applikasjoner som kobles til et system som er tilgjengelig via Internett, må kunne oppgraderes. I motsatt fall øker risikoen for inntrengning markant.

Hvis IT-driften skjer internt, er sikkerhetskopiering helt avgjørende.

– De fleste tar sikkerhetskopi, men ikke alle tester om dataene faktisk kan leses tilbake. Noen ganger får man ikke tilbake alle dataene fordi systemene i mellomtiden er blitt endret. Mangelfull sikkerhetskopiering er ødeleggende om bedriften skulle bli utsatt for løsepengevirus, for eksempel, sier Fredrik Johansson.

Den digitale satsningen, en sikkerhetsprosess

En digital sikkerhetsstrategi for IT dreier seg ikke bare om teknologi. Se på satsingen som en sikkerhetsprosess. Ikke alle systemer må integreres. Et nytt digitalt fjernstyrt låssystem til dører, for eksempel, kan installeres uavhengig av andre systemer. Derimot må prosessen inneholde rutiner for å oppdatere programvaren i låsen hvis det blir oppdaget sikkerhetshull i den.

– Utpek sikkerhetsansvarlige som har full oversikt over hvordan systemene løpende skal oppgraderes. Benytt e-verktøy som identifiserer og retter opp kjente sikkerhetsrisikoer i alle plattformer og applikasjoner, sier Olle Segerdahl.

Les også om ”Nettrusler må tas på alvor”

GDPR erstatter personopplysningsloven

Noter deg EUs personvernforordning General Data Protection Regulation, GDPR. 25. mai 2018 vil den erstatte den norske personopplysningsloven. GDPR skjerper regelverket for hvordan organisasjoner i EU kan samle inn, gi tilgang til, lagre og håndtere personopplysninger. Hvis en virksomhet rammes av et databrudd, må hendelsen anmeldes i løpet av 72 timer. Bedrifter som ikke etterlever kravene i forordningen, kan bøtelegges med 4 prosent av den globale omsetningen, eller maksimalt 20 millioner euro.

Rekordartet økning i skadevare

Hver måned i 2016 har Checkpoints forskere identifisert i underkant av 12 millioner nye varianter av skadelig kode rundt om i verden. De to siste årene er det spredt flere skadelige programmer enn i de foregående 29 årene til sammen.

Risiko med IoT

Tingenes Internett (IoT) innebærer at maskiner, kjøretøyer, varer og husholdningsapparater får innebygde sensorer og datamaskiner. Ifølge Fia Ewald, som er ekspert på informasjonssikkerhet, er det fare for at mange IoT-systemer vil bli slått ut i lengre tid ved nettangrep. Grunnen er at mange forsømmer kontinuitetshåndteringen – evnen til å takle uventede hendelser.

Ikke flere rettigheter enn nødvendig

Som sikkerhetsansvarlig bør du ikke gi brukerne flere rettigheter til et system enn det som er nødvendig for at de skal kunne utføre arbeidet. Dette gjelder både egne ansatte og eksterne konsulenter. Videre kan sikkerhetsprosessen bestå av løpende opplæring, en aktiv sikkerhetspolicy og faste sikkerhetsmøter.

Få hjelp med sikkerhetsarbeidet

Mange små og mellomstore bedrifter har helt eller delvis tatt steget inn i nettskyen. Og når mange rutiner og prosesser skal digitaliseres, er det naturlig å kjøpe tjenester knyttet til IT-sikkerhet.

– For små og ­mellomstore bedrifter blir det stadig vanskeligere å ha like høy IT-sikkerhetskompetanse og like store ressurser som et større selskap. Dessuten er det svært kostbart for kundebedriftene selv å investere i de nyeste sikkerhetsprogrammene og produktene, sier Fredrik Dahlgren i Commsec, som er en del av Dustin Group.

Selv om det stort sett er enkelt å komme i gang med skytjenester, er det viktig at kundene foretar en grundig forstudie av de spesifikke sikkerhetsbehovene.

– Ellers er risikoen stor for at kundene betaler for mer sikkerhet enn de trenger, eller får for lite sikkerhet når de digitaliserer, sier Fredrik Dahlgren.

For å få en god forstudie kan mindre bedrifter benytte seg av rammeverk og retningslinjer, mens større selskaper kan få hjelp av en ekstern sikkerhetskonsulent, mener han. Når sikkerheten finnes som en tjeneste, er det dessuten viktig at personalet følger en sikkerhetspolicy, som også må være på plass.

Raske fakta

900 % økning i hendelser med ukjent skadevare

75 % av alle bedrifter har opplevd bot-infeksjoner

88 % av alle bedrifter har vært utsatt for datatap

89 % av alle bedrifter har lastet ned skadelige filer

94 % av alle bedrifter har brukt minst én høyrisikoapplikasjon

  • Hvert 32. minutt blir det sendt ut sensitive data fra organisasjonen
  • Hvert 4. minutt blir det brukt et høyrisikoprogram
  • Hvert 30. sekund blir det utført en trusselsimulering
  • Hvert 5. sekund besøkes en skadelig nettside
  • Hvert 4. sekund blir det lastet ned ukjent skadevare

Kilde: Check Point 2016 Security Report

Tekst: Johan Cooke
Illustrasjoner: Valero Doval