Når norske virksomheter frivillig finansierer flere dataangrep og mer utpressing

For mange er det ikke lenge til høstferie. For å unngå uønskede besøk av uvedkommende mens vi er bortreist har de fleste av oss også sørget for å ta våre forholdsregler, ved å låse døren og skru på husalarmen. Noen investerer også tid og penger i tidsstyrt belysning eller andre tiltak for å gi inntrykk av at det er folk hjemme, slik at terskelen for å bryte seg inn og forsyne seg av verdigjenstander blir enda litt høyere.

Vi beskytter hjemmene våre og er ikke engang inne på tanken om å droppe ulike sikkerhetstiltak for heller å kjøpe tilbake det som eventuelt måtte gå tapt dersom vi kommer hjem til et robbet hus etter endt ferie. Og hadde vi hørt om naboer som hadde spekulert i dette, så hadde vi sannsynligvis sagt klart ifra om at det ikke er akseptabelt, i frykt for at det ville ført til at nabolaget ville blitt mer attraktivt for folk med onde hensikter.

Men i næringslivet tenker mange av oss tydeligvis litt annerledes.

To angrepsmetoder

For i midten av fellesferien kunne vi lese på digi.no og flere andre nettaviser at halvparten av norske bedrifter heller betaler løsepenger enn å investere i IT-sikkerhet. Det går frem av den årlige undersøkelsen til sikkerhetsleverandøren NTT Security, der 2200 beslutningstakere i år er blitt spurt om deres forhold til IT-sikkerhet. Dette alarmerende funnet har svirret rundt og gjør meg litt ekstra varm i toppen. Vet de egentlig hva de utsetter egen virksomhet, sine ansatte, kunder, samarbeidspartnere og ikke minst hele næringslivet for?

Et vellykket løsepengevirusangrep kjennetegnes gjerne av at de IT-kriminelle enten skaffer seg tilgang til datasystemer gjennom åpninger eller svakheter i virksomhetens infrastruktur, eller så utnytter de seg av et identitetstyveri for å gi seg selv den tilgangen de ønsker til en virksomhet fra utsiden.

Den mest brukte angrepsvinkelen er å fjernstyre én Server gjennom den såkalte «Remote Desktop Protocol», som blir en åpen oppkobling fra internett og inn til virksomheten. Typisk noe virksomheten selv har satt opp for å gi fjerntilgang til ansatte eller samarbeidspartnere.

Videre kartlegger angriperne virksomhetens infrastruktur og data, og vi ser oftere og oftere at de angriper backup-løsninger for å sette disse ut av spill. Backup-løsningene er i utgangspunktet den eneste sikkerhetsfunksjonaliteten som kan hjelpe en virksomhet med å komme seg på beina igjen, etter at de har blitt utsatt for denne typen angrep. Har ikke de kriminelle klart å kryptere eller slette backupen, er det bare å gjenopprette fra gårsdagens backup. Du taper noen timers arbeid, men du trenger ikke å betale løsepenger.

Ateas Incident Response-team rykker jevnlig ut på løsepengevirus-hendelser. Vi ser stor forskjell på de godt gjennomførte kryptoangrepene, der all data inkludert backup er berørt, og de noe enklere som bare har kryptert noen maskiner og oppryddingsjobben bare tar noen timer før alt er oppe og går igjen.

Videre vet vi at hackerne stadig finner nye vinklinger for å sørge for at de får gevinst for sine angrep. Vi ser nå at hackerne bruker lengre tid inne i datasystemene for å rekognosere og lære seg rutinene til virksomhetene. Det å planlegge hvert angrep bedre gir mye bedre ROI for de kriminelle. For når det først smeller, så rammer de virksomhetene hardere, og samtidig ber de om betydelig høyere summer.

Flere svært uheldige konsekvenser

Men norske virksomhetsledere velger altså bevisst å spekulere i heller å betale kriminelle for å slippe ut av deres grep, enn å gjøre nødvendige tiltak i forkant. Det får flere svært uheldige konsekvenser.

Funnet i den nevnte undersøkelsen er særlig oppsiktsvekkende med tanke på at GDPR ble innført for kun ett år siden, en lovgivning som setter enda strengere krav til virksomheters lagring, beskyttelse av og ansvar for personopplysninger. Virksomheter som opplever et kryptoangrep av en slik alvorlighetsgrad at de ikke kan tilbakestille fra egen back-up vil nemlig også måtte forholde seg til GDPR. De kriminelle må ha vært inne som administratorer for å få oversikten, og således finnes det ingen garanti for at disse ikke også har sett, brukt eller stjålet personopplysninger.

Med andre ord så bør Datatilsynet agere på lik linje overfor en ledelse som spekulerer i å utbetale løsepenger, slik de gjør ved andre brudd på GDPR. Gjør de det, kan disse virksomhetene risikere bøter på opptil 4 prosent av sin globale omsetning.

I tillegg vil et slikt angrep gjøre at du ikke lenger kan ha full tillit til egne systemer og løsninger. Man har som nevnt sjelden oversikt over hva annet som er berørt eller manipulert ved slike hendelser. Etter et kryptoangrep bør man derfor gjøre en fullstendig opprydding og gjennomgang av IT-miljøet. Ved de fleste ID-tyverier med formål om å utføre en målrettet krypto- eller direktørsvindel, kan man spore at de kriminelle har logget på og overvåket virksomhetens data i flere måneder. Om man ikke rydder opp, hvilke bakdører ligger åpne uten at du vet det da?

Ved å betale løsepenger for å få igjen en verdigjenstand eller virksomhetens data, begår du dessuten selv et lovbrudd. Det er nemlig ikke lov å finansiere kriminell aktivitet, noe man indirekte gjør ved å betale løsepenger. Parallelt med dette er man også med på å gjøre kidnapping av data mer attraktivt for de kriminelle, og hyppigheten av målrettede krypteringsangrep mot norske virksomheter vil øke.

Og har du først vært villig til å bryte loven ved å betale ut løsepenger, er du med en gang på «hot-lista» til de kriminelle. Neste angrep koster kanskje enda mer, eller svir på en annen måte.

Jeg har med andre ord vanskelig for å se at det på sikt lønner seg å ignorere sikkerheten til virksomheten. Noen av konsekvensene er allerede nevnt. I tillegg risikerer man omdømmesvikt med påfølgende tap av kunder, som kan være vanskelig måle i kroner, men som definitivt er noe man må ta høyde for.

Slik unngår du å gjøre en TABBE

Tiltakene man trenger å gjøre for å løfte en virksomhets IT-sikkerhetsnivå er relativt beskjedne både i ressursbruk og kroner. Normalt er IT-sikkerhet bare 8 til 12 prosent av det en virksomhet betaler årlig for sin IT-løsning.

Mitt klare råd til det man som et minimum bør ha på plass av IT-sikkerhet i en virksomhet tar utgangspunkt i en enkel huskeregel som mange sikkerhetsrådgivere i Atea benytter: Unngå IT-sikkerhets TABBE, der TABBE står for følgende:

• To-faktor-autentisering – begrenser muligheten betraktelig for å kompromittere en løsning gjennom å utføre et identitetstyveri.
• Antivirus – En oppdatert malware-beskyttelse vil forhindre skadelig kode og ondsinnede lenker.
• Brannmur – Denne bør være moderne (maks to år gammel) og må vedlikeholdes kontinuerlig med tanke på ny funksjonalitet.
• Beredskapsplan – Gode backup-rutiner og gjerne en avtale med et Incident Response Team (IRT).
• E-læring – Det viktigste er å ha årvåkne brukere, kjøre faste opplæringsprogrammer og sørge for at de ansatte er oppmerksomme på truslene.

Mange hendelser kunne vært forhindret om virksomhetene i hvert fall gjorde et minimum på sikkerhetssiden. De fleste av tiltakene over er ikke store investeringer, og kombinert med brukeropplæring vil man redusere egen angrepsflåte betraktelig.

I skrivende stund begynner jeg å bli kaldere i hodet igjen, og tar sikte på å rusle ut, låse inngangsdøren og sette på alarmen, kjøpe meg en is og filosofere videre over mentaliteten i å spekulere i utbetaling av løsepenger fremfor å følge lovverket og sunt bondevett.

Om du ønsker å få dagsferske meninger og info rundt IT-sikkerhet, følg meg på Twitter: @TTmmernes.