Oppdager ikke at man har vært utsatt for angrep

Statistikk fra Check Point viser at det i snitt gjennomføres 458 angrep mot en typisk norsk virksomhet hver eneste uke. I Norge steg nettkriminaliteten med hele 72 prosent i 2020, mot «bare» 40 prosent globalt. Situasjonen i Sverige er enda verre. Der ble virksomheter i 2021 utsatt for 713 angrep i uken i gjennomsnitt – en økning på hele 131 prosent sammenlignet med 2020.

Heldigvis lykkes angriperne som oftest ikke med å få tilgang til bedriftens systemer, men tallene viser at trusselnivået er svært høyt og risikoen stor. Viktigheten av gode rutiner og systemer for sikkerhetsovervåking er derfor større enn noensinne.

Globalt er det utdannings- og forskningsinstitusjoner som oftest blir utsatt for angrep, med 1.468 angrep per virksomhet i uken (en økning på 60 prosent siden 2020), etterfulgt av myndigheter og forsvar med 1.082 angrep i uken. Deretter kommer sykehus og helsevesen med 752 angrep per virksomhet per uke.

Gode logger er avgjørende – men du må følge med på dem

Det tar i gjennomsnitt rundt 90 dager fra en bedrift har blitt utsatt for et angrep, til angrepet oppdages. Det er nemlig ikke sikkert at angriperne utfører noen skadelige handlinger umiddelbart etter at de har skaffet seg tilgang til systemene dine.

– Veldig ofte blir man hacket bare fordi det går an. Hackerne er ofte ukritiske og bruker automatiserte verktøy og står og hamrer på dørene, helt til de finner en åpen dør. Så bruker de en viss tid på å finne ut hva de kan gjøre av ugagn for å maksimere utbyttet av angrepet, sier sikkerhetsekspert Thomas Tømmernes i Atea.

I noen tilfeller er det ikke en gang sikkert at angriperne som fikk tilgang til systemene dine ønsker å gjøre skade selv. – Noen ganger selger de angrepet til noen andre, for eksempel hvis de ikke finner det de er ute etter selv. Da kan de selge det til noen som for eksempel er politisk motiverte, sier Tømmernes. Han understreker at det er viktig å ha kontroll på loggene, og at man følger med hele tiden. Hvis ikke risikerer du at du ikke oppdager angrepet før det er for sent, og du sitter med et løsepengekrav i fanget. – Tall fra vårt hendelses håndterings-team viser at antallet angrep har steget kraftig, sier Tømmernes.

Tror ikke de selv kommer til å bli angrepet

NorSIS har gjennomført en stor representativ undersøkelse, der det kommer frem at hver femte nordmann mener det er svært lite eller lite sannsynlig at deres egen arbeidsplass vil bli rammet av et cyberangrep. – For norske virksomheter i dag er det ikke lenger et spørsmål om «hvis», men «når» de vil bli utsatt for dataangrep. At en så høy andel mener dette er lite sannsynlig, viser at det er behov for et helt annet fokus på digital sikkerhetskultur i bedrifts-Norge. Kunnskap er en av grunnsteinene i en god sikkerhetskultur, uttalte seniorrådgiver i NorSIS, Eivind Reiner-Holm, i en pressemelding da undersøkelsen ble lagt frem.

Tømmernes sier at de fleste virksomheter antagelig tror de ikke er interessante nok til å bli hacket. – Det positive med undersøkelsen er jo at 80 prosent begynner å få med seg at de kan bli utsatt for angrep. Men jeg tror at i de fleste styrerom så er man ikke bevisst på dette, og ofte er det først etter angrepet at man spør seg selv hva man kunne gjort. 

Han anbefaler at man starter med å gjøre en helsetest eller modenhetsanalyse i bedriften for å finne ut hvor godt rustet man er til å takle dagens trusselbilde. – En slik analyse kan avsløre hvilke tiltak man trenger å gjøre for å løfte sikkerheten, kanskje uten at det nødvendigvis koster mye penger.

Kan kutte nedetid fra 22 til 1-2 dager med gode sikkerhets-systemer

Ateas digitale vakttjeneste SOC+ mottar og analyserer sikkerhetslogger fra kunders infrastruktur for å avdekke sikkerhetsbrudd eller avvik. Vegard Kjerstad er leder for Ateas incident response-team (IRT), og forteller at de har sett en tydelig økning i trusselnivået i det siste.

– Vårt IRT har rykket ut på alt fra e-poster med ulike former for phishing-forsøk og passord som er på avveie, til større ting som digital utpressing der uvedkommende har vært på innsiden i dagevis eller ukesvis før angrepet iverksettes. Det kunne man unngått med god overvåking, sier Kjerstad. 

Han forteller at mens global statistikk gjerne opererer med at angriperne kan ha vært inne i systemene i flere måneder før angrepet oppdages, så er erfaringen fra Atea SOC+ i Norge at angriperne i mange tilfeller bare har vært inne noen timer. – Men poenget er at du ikke vet hvor lenge de har vært inne. Hvis du da ikke har kontinuerlig logging som lar deg gå langt tilbake i tid for å se hva som har skjedd, er det umulig å vite hvor lenge de har hatt tilgang til systemene.

Uten gode sikkerhetssystemer med overvåking av logger på plass, må du rulle tilbake lenger enn nødvendig for sikkerhets skyld. – Ved et angrep stenger man vanlig-vis helt ned alt av IT-systemer, for å fjerne risikoen for at noen systemer kommuniserer med angriperne. Vi ser at det i snitt tar 22 dager å få systemene på lufta igjen, men hvis du har god overvåking er du oppe igjen i løpet av en dag eller to, sier Kjerstad. – Det er viktig å vite hva som har skjedd og når det har skjedd. Du kan da begynne å bygge en tidslinje og ta kvalifiserte valg – og du kan se når systemet ikke var infisert.

Vegard Kjerstad - Leder for Ateas Incident Response Team (IRT)

Viktig å trene på beredskap

Atea Incident Response Team ser en tendens til at angripere i større grad enn før tar seg inn i virksomhetens IT-systemer på kvelden eller natten, da det kanskje er mindre risiko for å bli oppdaget. Ateas SOC+-tjeneste inkluderer en rådgivningstjeneste, og Kjerstad forteller at det å øke bevisstheten hos sluttbrukerne er noe av det rådgiverne ofte snakker med sikkerhetssjefen (CISO) i bedrifter om.

– Et annet viktig og effektivt tiltak er å faktisk trene på beredskap. Når kundene våre kan være med på å simulere et angrep og se hvordan det kan gjøres i praksis, er det lettere å lage gode rutiner som gjør at alle reagerer raskt når noe skjer. Det er viktig at man har lagt planer og vet hvem som har ansvaret for hva. – Planene for dette må være spikret før noe skjer.

Og så er det viktig at vi i Atea skal være en sikkerhetspartner – for sikkerhet er ikke noe du kan sette 100 prosent ut til eksterne. Vi må jobbe kontinuerlig sammen med kunden for at sikkerheten skal være god i alle ledd – og så skal vi i Atea ta oss av det som er mest krevende og vanskelig.