Trusselbildet forandrer seg i stor fart, og her vil jeg fortelle litt om de truslene vi ser mest av, og gi dere noen enkle, men effektive tips som kan tas med tilbake til bedriften.
Denne artikkelen er basert på et foredrag i samarbeid med pcsupport.no.
Her ser vi alt fra falske e-poster fra ansatte som forsøker endre lønnskonto: “Jeg vil ha lønna mi utbetalt på følgende konto, kan du fikse det til i morgen?” til mer omfattende henvendelser og angrep der noen forsøker å bestille varer og produkter hjem til seg selv, til drop-adresser, for å få tak i varer de ikke har rett på.
Dette er dessverre en evig plage som det ikke er så lett å bli kvitt.
Disse angrepene er både vanskelig å beskytte seg mot, og de er utfordrende å håndtere. I praksis betyr dette at noe eller noen kommer seg inn i systemene deres og begynner å kryptere filene deres, før de ber om en viss pengesum for å gi filene tilbake. Tidligere har dette vært en stor nok trussel i seg selv, men hackerne har nå tatt dette til et nytt nivå. Dersom en bedrift nekter å betale for å få tilbake filene sine, truer inntrengerne med å legge ut alt materialet de har beslaglagt for offentlig beskuelse. Av og til er det snakk om forretningsdata, kontrakter, ansattavtaler og helsedata om egne ansatte. Tenk på hvilken skade det kan gjøre dersom alle ansattes helsedata spres på internett. Det blir fort en annen vurdering enn om det “bare” er snakk om forretningsdata.
Angriperne er mer målrettet og vet hva de vil ha enn tidligere. De vet også mer om hvilke data som er kritiske for den enkelte bedrift. Dette kan gjelde krav til oppetid, nøkkelkomponenter i et produksjonsløp osv. De kjenner bedriften din nesten like godt som dere selv kjenner den.
Hendelser er ofte svært komplekse, og det kan være vanskelig å ha oversikten når noe uforutsett skjer. Kanskje vet du ikke hva du har logg på, og du vet ikke hva som har skjedd. Bedriften får virkelig testet om den har det den trenger i en slik situasjon.
Ofte hender det at den løsningen boksleverandøren sa skulle fungere, ikke fungerer når det kommer til en akutt situasjon. Her gjelder det å hente frem kreativiteten for å finne gode løsninger: Kan vi finne de dataene vi trenger andre steder, eller må vi tenke helt nytt?
Å sikre en god leveranse krever både system og metodikk.
Microsoft har nylig kommet med noen nye tips rundt skylagring.
Dette er en hver angripers største mareritt. Når LAPS er aktivert, blir det mye vanskeligere for meg som angriper å komme meg inn. LAPS setter et passord på den lokale administratorkontoen, og endrer det passordet svært ofte. Jeg tror det er en gang i timen. I tillegg er passordet unikt for hver enkelt PC, det krever lite administrasjon, det er gratis, og det er utrolig vanskelig å kjempe mot. Dersom en angriper greier å knekke passordet på den enkelte PC-en, kommer man bare inn i den PC-en, ikke til resten av miljøet. Dessverre har vi sett kunder som setter det passordet likt på alle PC-er, gjerne noe lett tilgjengelig som “Sommer2020”. Da kommer jeg som angriper meg inn på null komma niks.
En global administrator har alle slags tilganger og rettigheter, og dette bør være forbeholdt kun de som virkelig trenger det. Sist jeg så tall på dette fra Microsoft så har de per 100 000 brukere, tre globale administratorer. Jeg har sett bedrifter med 30 ansatte som har satt opp 15 global administrator-kontoer. Det vil gi en utrolig stor angrepsflate.
NSM har mange gratis veiledere, og grunnprinsippene deres er veldig gode. Hadde alle norske bedrifter fulgt NSMs anbefalinger, hadde angriperne hatt en mye vanskeligere jobb. Det er dyktige og erfarne fagfolk som utarbeider disse veilederne, og de oppdateres relativt ofte. For eksempel NSM sin Grunnprinsipper for IKT-sikkerhet 2.0.