13-06-2016

Det var lettere å kjøre for fort før fotoboksene kom…

… men like ulovlig. Den eneste forskjellen er myndighetenes bruk av moderne teknologi for å stoppe fartssyndere, eller de som uoppmerksomt ligger «litt» over fartsgrensen.

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet
Tre personer står foran Atea roll-up

Uoppmerksomhet og dårlige vaner er en medvirkende årsak til «kjipe» fotografier, med tilhørende prikker og innbetalingsgiro i postkassen (no comment på hvorfor undertegnede kjenner rutinen).
Det er nok mange av oss med store motorer og moderne biler som sikkerhet har meninger om at grensen burde være høyere, dette er en annen diskusjon :)

Merk at de som ligger under fartsgrensen også skaper farlige situasjoner, og er en påvirkende kraft til at ulykker skjer.
Dagens grenser er satt av de som har forsket på veistrekningene, ulykkestall og evner å benytte statistikk og matematiske formler for konsekvens-utregning.

Hvilket vi alle bør respektere, så samfunnet vårt går mer på skinner.

Dette kan uten særlig forandring tilpasses det som nå skjer med IT-sikkerhet lenket opp mot trusselbildet og EUs nye personvernsforordning. Hvorfor? La meg først gi deg et bilde av sittuasjonen:

I følge tall fra Kripos sin Trendrapport 2015 og NSR sin Mørketallsundersøkelse 2014, blir om lag halvparten av norske bedrifter hacket, men bare fem prosent (4000) av bedriftsnorge er klar over at de har blitt hacket. Og kun en prosent av tilfellene blir anmeldt. Dette betyr at omfanget av datakriminalitet er mye større enn vi tillater oss å tro, og at John Chambers, tidligere CEO i Cisco Systems, var ganske nærme sannheten når han noe kontroversiellt uttalte; There are two types of companies: those that have been hacked, and those who don't know they have been hacked. En sterk påstand fra en så fremtredende figur, men Atea kan backe denne påstanden med våre egne erfaringer.

Atea sikkerhets scan

Vi tilbyr Atea Sikkerhets Scan som vi i dag utfører hos flere kunder samtidig over hele landet. I 99 prosent av tilfellene finner vi klare tegn på at systemene er smittet på en eller annen måte. Som regel består disse hendelsene av at det finnes en installert kode på innsiden i virksomheten. Koden sender ut data til en ukjent mottager et annet sted i verden, gjerne i kombinasjon med at en «trojaner» har administratorrettigheter til å gjøre diverse kommandoer på en eller flere maskiner og servere i virksomhetens nettverk.

På IT-språket omtales dette som å ha en «bot» i nettet. Denne kan bli brukt til å stjele sensitiv informasjon og forretningshemmeligheter, spionasje fra fremmede makter  Et godt eksempel på en slik hendelse er hackingen av Telenor , eller man kan ufrivillig og uvitende være del av et større botnet-angrep (DDoS).
(i Norge kaller vi det tjenestenekt-angrep).

Det er ofte gjennom en sikkerhets scan (utført av en av Atea sikkerhetskonsulenter) at vi oppdager at det har kommet seg inn noen som tapper kundene for informasjon. I slike tilfeller kontaker vi eller kunden Ateas Incident Response Team (IRT).
IRT er
en gruppering av høyt sertifiserte og kompetente IT-sikkerhetskonsulenter som har spesialisert seg på kritisk hendelses-håndtering i forbindelse med datakriminalitet og angrep. Atea IRT har stor forståelse for det gjeldende trusselbildet og bred erfaring fra hendelses-håndtering i kompromitterte miljøer.

IT-angrepene blir flere, større og smartere

Tilbake til metaforene rundt fartssyndere og automatiske radarovervåkning. Utfordring «prøvd/løst» med teknologi, for selv om løsningen er der, er det noen som bryter loven: med vilje, uoppmerksomt eller uflaks. Ting skjer…

Basert på mørketallsundersøkelser og rapporter fra både innland og utland ser vi at IT-angrepene blir flere og flere, større og større, smartere og smartere. I og med at dette er et globalt problem, må man ta tak i tingene på et høyest mulig nicvå og innføre ”fartsbokser”.

Nye personvernforordninger ble nylig vedtatt i EU-parlamentet, og må implementeres innen januar 2018 i EU og EØS landene.

  • "One continent, one law” - Et harmonisert regelverk som tilrettelegger for e-handel i EU og EØS
  • Gjelder alle virksomheter som behandler informasjon om enkeltpersoner
  • Det innebærer mer direkte regulering av databehandlere og strengere krav til innsamling og behandling av personopplysninger. Det legges vekt på å forebygge, fremfor å reparere skade.
  • Bøtenivået på brudd økes betraktelig - opp til 4% av selskapets årlige omsetning eller 20 millioner euro.
  • Høye bøter skal utgjøre en så stor forretningsrisiko for bedriften at det ikke "lønner seg" med en reaktiv IT sikkerhetsstrategi, man må ha en proaktiv strategi.
  • Finansiell risiko ved utilfredsstillende IT-sikkerhet er såpass høy at den antagelig må adresseres i bedrifters revisjons- og årsrapporter.»

I løpet av få år er IT-infrastrukturen radikalt forandret, og det samme gjelder for trusselbildet. Samtidig blir tiltakene mer omfattende, krevende og dyrere. I følge Gartner Group vil investeringene i IT-sikkerhet vokse fra dagens 10 prosent av det totale IT-budsjettet, til 30-40 prosent i tiden framover.

Sikkerhetsdagene 2016

I Atea har vi avholdt 11 sikkerhetsdager de siste månedene, fra Hammerfest i nord til Kristiansand i sør (en av fordelene med Atea er at vi er tilstede i 25 byer, vi har et sikkerhetsteam på over 150 mennesker som er fordelt utover hele landet men likevel jobber og deler informasjon og kompetanse som om de var en avdeling på samme lokasjon). Sammen jobbet vi frem et budskap for Sikkerhetsdagene, basert på en uoffisiell undersøkelse på hva folk flest (les: IT-sjefer/ledelse) er opptatt av.
Derfor har årets agenda truffet midt i blinken på disse heldagsseminarene. Vi har også hatt noen av markedets mest populære foredragsholdere, som Roar Thon fra Nasjonal sikkerhetsmyndighet
, flere fra Politiets Sikkerhetstjeneste, advokat Thomas Olsen og «blogger» Nils Roald fra «Folkesky» som analyserer dagens trusselbilde på sine måte. KUDOS til samtlige foredragsholdere for meget gode og underholdene innlegg. Oppsummert tar vi for oss dagens trusselbilde, moderne teknologi, lovverk og løsningsforslag.

SUCCESS = Det har vært ca. 1700 besøkende og ikke mindre enn 1000 unike bedrifter med oss på denne runden, hvliket er all time high. Vi har arrangert Sikkerhetsdagene de siste tre årene og sett en økning i deltagere år for år, men at det skulle bli så stort er det bare å ta av seg hatten for :) Det finnes nå et lite knippe bedrifter som har spesialisert seg på å hjelpe norske bedrifter med IT-sikkerhets utfordringer, noen av disse er kjempegode. Atea er nå helt klart en av de på toppen her, men vit at vi samarbeider ofte på tvers av «konkurrenter» for å løse utfordringer for det norske markedet på en best mulig måte.

IT-sikkerhetsutfordringene kan kun løses ved at vi alle drar i samme retning, Dette har også verdens ledende bedrifter sett, og dannet flere allianser der man deler forskning, informasjon, trender og lignende for å utvikle bedre og raskere tekniske løsninger for markedet. Eksempel: Check Point og IBM Security Form Threat Prevention Alliance.

En anbefaling fra meg personlig til alle ledere som leser denne bloggen, eller om man kjenner en leder, er hentet fra en av key notene på årets Sikkerhetsdager, Thomas Olsen fra Simonsen Vogt Wiig
. Last ned og les ”Personvernhåndboken en praktisk bok om personvernregelverket” her.

Puster ut etter noen uker på farten, og ønsker å takke hver eneste seminardeltager som har brukt en dag av livet sitt på IT-sikkerhet, alle representantene fra Cisco, IBM, Arrow, Cirtix, F5, Check Point, Fortinet, ikke minst alle mine interne markeds- og sikkerhetsvenner (spesielt regionseiere, Emma Furuseth fra Marked og min wing man Audun Risberg) og ønske alle en sikker og vakker sommer.

Og skulle du ville lese mer fra meg før skrivelysten tar meg igjen, finner du alle blogginnleggene mine her.

Logger av:

//TT