IT-sikkerhet02-11-2018

Har du gitter på vinduene, men døren på gløtt?

Vegard Kjærstad
Vegard Kjerstad
Leder Incident Response Team (IRT)

Jeg jobber med IT-sikkerhet og leder noe som kalles IRT (Incident Response Team). Teamet rykker ut når vi blir kontaktet av bedrifter som har blitt hacket. Oftest skyldes hendelsene noe en ansatt har foretatt seg. Typisk har de mottatt en epost med skadelig innhold og klikket på en link eller åpnet et vedlegg. Dette samsvarer greit med hva vi hører om at brukerne er det svakeste leddet.

Men vi har sett en økning i hendelser som ikke skyldes brukerne, men svakheter i virksomhetens systemer. Kort fortalt ser vi at det kontinuerlig søkes etter åpninger, også mot norske virksomheter. Når åpningene er kartlagt, blir de forsøkt utnyttet. Arnfinn Strand forklarte dette i digi.no tidligere i år (betalingsmur).

Leverandører som sikkerhetsrisiko

En av de åpningene vi ser det blir «syndet» med er Remote Desktop Protocol (RDP). RDP blir ofte benyttet for fjerntilgang eller hjemmekontor i svært enkel form, men det er ikke sikkert nok. Vi ser oftest slike åpninger i forbindelse med tekniske installasjoner eller IT-installasjoner. Installasjonen er gjerne utført av leverandører som har mindre fokus på sikkerheten, eller som mangler forståelse for konsekvensene sikkerhetshullene kan påføre kundene.  

Vi kjenner til mange tilfeller der installatører av tekniske systemer velger den løsningen som er mest beleilige for dem å installere, uten tanke på konsekvensene. De ber da om tilgang rett inn i systemet, framfor å gå veien om sikre tilkoblinger. Slik gjør de systemer unødig eksponert for angrep. Begrunnelsen for å gjøre denne åpningen er som regel at «det er enkelt og fungerer» eller «det er slik vi bruker å gjøre det». Resultatet av slike åpninger er at virksomheten blir unødig eksponert. Tidligere i måneden gjorde vi et enkelt søk og fant 4543 treff på denne typen åpninger bare i Norge.  

Katastrofale konsekvenser

Hackerne trenger ikke å vite brukernavn og passord. De hamrer på med kjente kombinasjoner, eller de hamrer på så lenge at de til slutt har prøvd nok kombinasjoner til å komme seg inn. Når de først er inne, har de brukernavn og passord som ofte gir dem mulighet til å bevege seg rundt på innsiden uten å bli oppdaget. Vi har bistått i mange slike tilfeller. Et gjentakende problem i disse sakene er mangel på logger fra infrastruktur og servere, og det blir for oss litt som å lete i blinde. Gode logge-rutiner kunne hjulpet oss med å lettere avdekke hva hackerne faktisk har gjort med den uautoriserte tilgangen de har skaffet seg. 

Noen eksempler på hva hackerne kan gjøre når de kommer seg inn: 

  • Kopiere ut / slette filer 
  • Legge til / slette brukerkontoer 
  • Spionere 
  • Manipulere innhold 
  • Skade produksjon

Bare fantasien setter begrensing når hackerne har så store tilganger som vi ser at de skaffer seg. 

Uten overvåking, evne til å fange opp og reagere på slike innbrudd, kan konsekvensene bli katastrofale. Ved flere av hendelsene vi har bistått med, har hackerne plantet løsepengevirus som krypterer data og gjør den utilgjengelig. Mange virksomheter har sviktende eller manglende rutiner for å sjekke om backupen deres fungerer. I slike tilfeller står de i fare for å miste alt de har av data. Data som virksomheten har brukt mange år på å produsere. 

Jeg anbefaler deg å gjøre en enkel vurdering: Hva blir konsekvensen dersom din virksomhet ikke har tilgang på data eller IT-systemer over flere dager, uker, eller i verste fall mister dem for alltid?  Eller konsekvensen av at alle dine eposter blir borte, eller at alle dine kontakter som du har brukt årevis på å opparbeide, ikke lenger ligger i kontaktlisten? 

Funksjonalitet og tilgang trumfer sikkerhet

Hvorfor er dette er en voksende risiko? Det er nok mange forklaringer: Noen løsninger/åpninger har trolig stått slik i årevis. Samtidig er vi inne i en tid med mye utvikling der nye løsninger implementeres i høy hastighet. Løsninger virksomheten synes det er viktig å komme i gang med og funksjonalitet de trenger. Dermed ofres sikkerheten.  

Det designes apper for de fleste behov. Apper som må fungere fra ulike enheter uansett hvor de er tilkoblet. Dette kan være fjerntilgang til dørlåser, vann- og kraftstasjoner osv. Igjen vinner tilgjengelighet og hva som er beleilig for brukerne. 

Vi ser tendensene i industrien hvor den operasjonelle teknologien (OT) i økende grad integreres med IT. Et godt eksempel på OT er styringssystemene i et vannkraftverk som åpner og lukker slusene. Denne teknologien har tradisjonelt sett ikke vært koblet mot internett, og sikkerheten i OT-miljø er derfor langt bak det vi er vant med på IT-siden. Med andre ord har tilgjengelighet, automasjon og økonomi gjort at de tradisjonelt lukkede OT-nettene nå er mer tilgjengelige og dermed også eksponert. 

Etter at hendelser har inntruffet og blitt ryddet oppi, blir løsninger oftest redesignet og strammere tilganger med bedre tilgangsstyring satt i drift. 

Kunne det vært forhindret i utgangspunktet?

Ved å gjennomføre tester på egen infrastruktur og løsninger, kan man avdekke svakhetene før noen misbruker dem. Det er også lurt å avvikle gamle, usikre tilganger, stille krav til sikkerhetsnivået, og implementere krypterte løsninger med nivådifferensierte tilganger. Dette sikrer at det kun er de som skal ha tilgang som faktisk får det. Her finnes det mange gode løsninger som har blitt mye enklere å implementere enn hva de var for noen år siden. 

Ta kontakt med din IT-leverandører og be om en gjennomgang av løsningen din:  

  • Kartlegg eksponering 
  • Vurdere risikoen 
  • Få på plass logging og synlighet 
  • Tenk sikkerhet fra starten