08-11-2022

Du blir ikke hacket på grunn av et kjent navn, men fordi det er mulig

Den store andelen av angrep er ganske lett å beskytte seg mot, men bedriften må også være i stand til å kunne oppdage de mest avanserte truslene.

Thomas Tømmernes
Leder for IT-sikkerhet, Atea Norge.

Nå som sikkerhetsmåneden i oktober er over og vi skal prøve å oppsummere året så langt fra et sikkerhetsperspektiv, er det én ting som slår meg: Mange av metodene vi har sett brukt i år er de samme som ble brukt for både to, tre og fem år siden. Tre år gamle sårbarheter utnyttes fortsatt i stor stil, noe som kunne vært unngått om vi hadde vært flinkere til å lære av angrepsmetodene og gjøre de verdifulle tiltakene. Vi som jobber med å opplyse om de preventive tiltakene kan muligens oppleves som vi har hakk i platen noen ganger, men dette går direkte tilbake på at de samme tiltakene vi ofte snakker om i dag, har vi snakket om i årevis.

Ransomware – eller digital utpressing – er ikke noe din bedrift blir utsatt for på grunn av at bedriften din er kjent, men rett og slett fordi det er mulig hvis du ikke har grunnleggende sikkerhet på plass.

Sikkerhetskultur bør stå høyt på listen

Selv om det har blitt mindre digital utpressing i 2022 sammenlignet med året før, og flere har blitt flinkere til å beskytte seg, er dette fortsatt den største trusselen. Men i 2022 har vi også sett en økning i en rekke andre typer trusler, som forsyningskjedeangrep, sårbarheter i programvare, feilkonfigurerte tjenester i skyen, samt phishing-angrep. Det var færre passordlekkasjer som påvirket virksomheter i 2022 enn i 2021, men når phishingangrepene fungerer så betyr jo ikke dette så mye.

Når vi ser på alle disse metodene og hvordan de brukes av trusselaktører, er det åpenbart at «awareness» og sikkerhetskultur bør stå høyt på listen over tiltak bedrifter må jobbe med fremover.

Du må kunne oppdage også de mer avanserte truslene

Mesteparten av trusselbildet er statisk og ganske stabilt, det er de samme angrepsvektorene som utnyttes år etter år. Ofte kan det være snakk om automatiserte angrep. Denne statiske delen av trusselbildet er den letteste å håndtere, og er noe virksomheter gjerne klarer selv, eventuelt med litt veiledning. Mye er gjort bare du sørger for at systemene dine er oppdaterte, at du følger «best practice», segmenterer nettverket, skrur på multifaktorautentisering og har en «baseline» med sikkerhetskomponenter.

Du kommer til å bli angrepet

Hadde vi hatt kun disse truslene å forholde oss til, ville min og andre som jobber i sikkerhetsbransjen sin jobb vært ganske enkel. Men i tillegg har vi den mer dynamiske delen av trusselbildet med målrettede og tilpassede angrep utført av profesjonelle vinningsforbrytere, der konsekvensene ved å bli rammet er større. Og til sist har du de aller mest kritiske angrepene utført av profesjonelle hackergrupper, som er de vanskeligste å forsvare seg mot.

For å stålsette seg mot de mot de mest alvorlige angrepene, er det nødvendig med gode løsninger for sikkerhetsovervåking. Du kan ikke bare anta at systemene dine tåler et angrep, du bør gjennomføre en penetrasjonstest for sikkerhets skyld. Og du må akseptere at du før eller siden kommer til å bli angrepet, og derfor ha gode alarmsystemer som lar deg starte hendelseshåndtering tidlig i tilfelle det skjer.  

Ikke alle kan ha all sikkerhetskompetansen in-house

Det er stor mangel på sikkerhetskompetanse, og de færreste virksomheter har nok kompetanse selv til å kunne håndtere alle trusler som måtte oppstå. Det gjelder spesielt små og mellomstore bedrifter (SMB), som det er flest av i Norge. SMB står samlet for nesten halvparten av den årlige verdiskapningen i Norge, men står ofte helt alene i kampen mot digitale trusler. Mitt råd til disse er å utføre en modenhetsanalyse for å finne ut hvordan det står til med IT-sikkerheten sett opp mot dagens trusselbilde.

I litt større bedrifter er gjerne IT-sikkerhetsarbeidet delegert nedover i virksomheten, men det er likevel viktig å være klar over at det øverste ansvaret alltid ligger hos daglig leder. Daglig leder må ha god oversikt over hvem som gjør hva, og hvordan de ulike utfordringene skal løses.

Invester i sikkerhet

Myndigheter og eksperter sier at virksomheter uten egen IT-sikkerhetsavdeling bør kjøpe sikkerhet som tjeneste fra profesjonelle leverandører. For eksempel skriver NSM i sine Grunnprinsipper for IKT-sikkerhet at virksomheter bør få på plass sikkerhetsovervåking for å oppdage skadelige aktiviteter, og at de bør ha evne til å analysere og nyttiggjøre seg resultatene av denne overvåkingen. Har man ikke dette selv, kan man kjøpe det, skriver NSM i sine anbefalinger.

Bedrifter behøver ikke nødvendigvis sitte på et massivt sikkerhetsbudsjett, men de må være bevisst på hvorfor budsjettet brukes som det gjør, hvilke risikoer man må ta tak i og ikke minst hvem som har ansvar for hva.

Har du god kontroll på dette, er det lettere å ta gode vurderinger på sikkerhetsinvesteringene.