Etisk hacking er viktigere enn noen gang

IT-systemet ditt har sannsynligvis minst én ukjent bakdør som står vidåpen for hackere. Den beste måten å finne den på? Spør hackerne selv.

I gamle westernfilmer signaliserte fargen på cowboyhatten hvorvidt en karakter var god eller ond: Heltene hadde hvit hatt, skurkene sort. I dag finner vi igjen denne tradisjonen, i alle fall billedlig talt, i internetts svar på den ville vesten: de utkantene der lovens lange arm famler i blinde.

Det er her vi finner såkalte black hat og white hat hackers – de som bruker evnene sine til å enten angripe eller hjelpe organisasjoner som har sikkerhetshull i IT-systemene sine.

David Jacoby har dårlige nyheter

Om du tror at akkurat din bedrift ikke er blant dem med sikkerhetshull, har David Jacoby, senior security researcher i datasikkerhetsvirksomheten Kaspersky, dårlige nyheter til deg. Ifølge ham er man aldri helt beskyttet mot angrep – målet må være å identifisere og forebygge angrepene før noen andre kommer først. Jacoby forteller at man enten kan leie sikkerhetskonsulenter, utdanne eget personale til å utføre tester – eller be hackere om hjelp.

Akkurat nå utdannes 200 studenter ved Kungliga Tekniska högskolan (KTH) i Stockholm i såkalt etisk hacking. Det finnes også såkalte bug bounty-programmer, der eksterne white hat hackers belønnes for å finne hull i systemer. Dette har for eksempel Apple, Spotify og det amerikanske flyvåpenet benyttet seg av.

– Det finnes veldig tydelige regler for hva man som hacker får lov til å gjøre, hvilke systemer man får teste og hva man får gjøre i de systemene. Disse testene pleier også å utføres på eksterne nettverk, slik at ingen får tilgang til sensitiv informasjon eller bedriftens nettverk når de jobber i testmiljøet, sier David Jacoby.

Som å gå til tannlegen

Oppdragsgivers profil og hvor omfattende prosessen er vil avgjøre kostnaden. For et par år siden delte Google ut 112 500 dollar til en person som avslørte et alvorlig sikkerhetshull i deres pixel-enheter. Men du kan holde kostnadene nede ved å gjøre hjemmeleksa di i forkant: Tenk ordentlig gjennom IT-sikkerheten din før du ber noen finne hull i den.

– Man kan sammenlikne det med å gå til tannlegen. Hvis du aldri pusser tennene, vil det koste skjorta. Men om du har passet godt på dem, vil det nok ikke koste så mye.

Hackernes mest populære metode

Bug bounty-konkurranser kan arrangeres på plattformer som eksisterer kun for dette formålet. Nettsiden HackerOne har for eksempel et nettverk av flere hundre tusen eksperter som kan teste systemene dine (det er denne tjenesten det amerikanske forsvaret har benyttet seg av). De fleste av disse ekspertene er selvlærte white hat hackers – og mange av dem oppgir at de noen ganger har oppdaget sikkerhetsmangler de ikke har advart organisasjonene om, fordi de ikke har hatt gode kanaler til å si fra.

Den mest populære metoden for å snuse seg frem til sikkerhetshull er XSS, cross site scripting, som blant annet gjør det mulig for ondsinnede hackere å injisere skadelig kode eller stjele beskyttet informasjon fra en nettside.

Men selv om bug bounty-programmer er en betydelig bedre metode enn å ikke gjøre noen ting, advarer David Jacoby om at sikkerhetsarbeid per definisjon aldri er fullført.

– Det finnes ingen bedrifter som er helt sikre. Du kan sammenlikne det med hva som helst. Finnes det et hus som er hundre prosent beskyttet mot innbrudd eller brann? Ikke en gang en bunker er helt trygg, sier han.

Skyen er sikrere enn mange tror

Sikkerhetskonsulenten Linus Kvarnhammar drev tidligere Syneptic, som hjelper bedrifter med etisk hacking. Han ser at behovet for dette stadig øker, men også at sikkerheten til for eksempel skytjenester er bedre enn mange tror.

– Behovet øker hele tiden. Truslene blir flere og flere fordi svindlerne lokkes dit informasjon og penger samles. Men samtidig som sikkerhetsrisikoene må tas på største alvor, finnes det faktisk store fordeler med skytjenestene. En del av dem gir god oversikt og utløser alarm hvis noe uforutsett skulle skje, sier han.

Kom i gang med skalerbar sikkerhet i skytjenesten din

Les mer

Det finnes ingen bedrifter som er helt sikre. Du kan sammenlikne det med hva som helst. Finnes det et hus som er hundre prosent beskyttet mot innbrudd eller brann? Ikke en gang en bunker er helt trygg.

David Jacoby, Senior Security Researcher i datasikkerhetsvirksomheten Kaspersky

17 juni 2020