Artikel top billede

(Foto: Computerworld)

Den evige trussel

Cyberkriminalitet er kommet for at blive. Men ud over at trusselsbilledet er blevet permanent, er det også blevet langt mere insisterende end tidligere. I dag spionerer alle mod alle – selv allierede venner – og det at være cyberkriminel har ændret karakter fra at være en hobby for it-nørder til at være en levevej for fuldtidsprofessionelle.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Hvis man skal tro Forsvarets Efterretnings-tjeneste – og i disse tider, hvor den digitale sikkerhed jævnligt viser sig fra sin mest skrøbelige side er der næppe grund til andet – er cybersikkerheden i danske virksomheder mere end nogensinde før i farezonen for at blive kompromitteret. Det gælder vel at mærke såvel private som offentlige virksomheder.

Således hedder det i den seneste efterretningsmæssige vurdering fra Forsvarets Efterretningstjeneste, udgivet i starten af november måned, at ”Spionage mod offentlige myndigheder og virksomheder fortsat udgør den alvorligste cybertrussel mod Danmark og danske interesser”.

Gennem de seneste år er omfanget af cyberspionage mod Danmark steget betydeligt, alt imens metoder og teknikker er blevet stadig mere avancerede. Truslen fra cyberspionage mod danske myndigheder og virksomheder er således særdeles høj, og på langt sigt er det meget sandsynligt, at stadig flere stater vil udnytte internettet offensivt. Således hedder det videre i efterretningen, at ”Spionagen primært udføres af statslige og statsstøttede grupper”.

AOD02_trussel01

Fra åben pral til skjult spionage
At både danske og udenlandske virksomheder er i farezonen, når det gælder it-sikkerheden, er der ikke noget nyt i. Men selv om hackeren i skikkelse af den digitale landevejsrøver i ly af bits og bytes stadig færdes langs netkabler og gemmer sig i Wi-Fi-forbindelser, er det i dag helt andre og langt mere insisterende kræfter, der er på spil.

Hackerens rolle som ”bad guy”, der skulle og – ikke mindst kunne bekæmpes – var klart defineret. I dag spionerer alle mod hinanden, og selv blandt allierede regeringsvenner kan ingen længere føle sig sikker. Hver gang en ny spionaffære opdages, bukker man sig blot i støvet, beklager dybt over for omverdenen og lover, det aldrig vil gentage sig – for derefter at fortsætte sine lyssky aktiviteter.

Risikoscenariet har med andre ord ændret sig. Truslen kommer ikke så meget fra den ensomme ulv, der bryder ind i en it-installation, fordi han vil vise sig. Truslen kommer fra rege-ringer og organisationer, der målrettet går efter permanent overvågning af din virksomheds aktiviteter ned til mindste detalje – i det skjulte uden, at du nogensinde opdager det…!

Fejl 40 er den største risikofaktor
Det kræver en helt ny tilgang til begrebet datasikkerhed og ikke mindst en klar holdning til det at have en beredskabsplan. Både hvad angår den it-mæssige drift og selve
datasikkerheden samt ikke mindst, hvad angår den forretningsmæssige drift. Noget mange virksomheder ganske og aldeles glemmer.

Samtidig er det essentielt at få bredt kendskabet til såvel risiko som forholdsregler ud til alle medarbejdere i virksomheden. Ifølge en rapport foretaget af KMD i foråret ser halvdelen af ca. 300 adspurgte sikkerhedschefer i danske virksomheder nemlig medarbejdere, der begår utilsigtede fejl, som det største problem for cybersikkerheden.

Desuden siger mere end 70 procent af sikkerhedscheferne i undersøgelsen, at de over det kommende års tid vil have fokus på rettigheder og ansvar i organisationen. Blandt andet for at kunne stoppe de ikke-bevidste hændelser, der præger sikkerhedsdagsordenen. Oven i det kommer en strammere overvågning af hændelser og logfiler krydret med uddannelse samt træning af brugerne i netværket.

Teknisk sikkerhed er blot en dråbe i havet

It-sikkerhed handler langt hen ad vejen om fokus på firewalls samt andre soft- og hardwareløsninger. Men hvis blot én enkelt medarbejder agerer uhensigtsmæssigt eller forkert, kan hele den forebyggende indsats være spildt.

”Derfor er ledelsesmæssig informationssikkerhed vigtig. Medarbejderne skal have en klar og præcis forståelse af de spilleregler, der skal overholdes i virksomheden. Det kræver med andre ord en stærk ”Awareness kultur” - både om hvad de ansatte skal og ikke mindst, hvad de absolut ikke skal”.

Sådan siger Lars Bærentzen, der er stifter af og direktør i virksomheden Siscon, som netop rådgiver inden for sikkerhed. Han understreger endvidere, at den slags bevidsthedsskabende projekter kræver solid forankring i virksomhedens ledelse for at blive en succes.

Ifølge Lars Bærentzen fra Siscon er det essentielt at inddrage ledelsen, når virksomheden skal  definere en forretningsmæssig beredskabsplan. Ifølge Lars Bærentzen fra Siscon er det essentielt at inddrage ledelsen, når virksomheden skal definere en forretningsmæssig beredskabsplan.



Er selve forretningen dækket ind?
Lars Bærentzen og Siscon har udviklet Control Manager, der en slags værktøjskasse for professionelt arbejde med it-sikkerhed, men selv om god it-sikkerhed bygger på teknisk kompetence, er det så langt fra det, der er budskabet til ledelsen.

”Det drejer sig slet ikke om it, men om virksomheden. En del virksomheder har rent faktisk en beredskabsplan, der dækker den fysiske it-installation. Men har de også en beredskabsplan, der dækker forretningen? Nej, det har faktisk kun de færreste.

Budskabet skal sælges ind på økonomi, omdømme, kvalitet og produktivitet – eller måske rettere tab af samme, for det er jo i virkeligheden her, den største trussel er for virksomhedens fortsatte drift gemmer sig”, siger Lars Bærentzen.

Vigtigt med viden og kendskab
Efter hans overbevisning er it-sikkerhed en løbende proces, der ud fra en gennemarbejdet risikovurdering tager udgangspunkt i virksomhedens forretningsmæssige grundlag. Risikovurderingen skal altså frem for alt inde-holde en analyse af´, hvad de forretningsmæssige konsekvenser er, hvis det går galt.

”Så glem alt om at tale teknik til ledelsen. Lav en strategisk awareness plan, tilpas den undervejs og glem alt om at ”one-size-fits-all”. Alle virksomheders sikkerhedskrav er individuelle. Sørg endvidere for dialog i virksomheden. Vigtige forudsætninger er således kendskab til it-sikkerhed, forståelse for it-sikkerhed og ikke mindst anerkendelse af nødvendigheden af it-sikkerhed”, siger Lars Bærentzen.

Sundhedsdata uden beskyttelse

Et af de mest hotte begreber lige nu er ”The Quantified Self”. Det myldrer således frem med dimser og dutter, der kan måle stort set samtlige kropsfunktioner og sætte de mange tal op i et skema, så vi kan monitorere os selv ned til mindste detalje. Spørgsmålet er bare: Hvem kigger med?

Nicola Dragoni fra DTU Compute har dokumenteret, at moderne velfærdsteknologi i værste fald kan tage livet af os. I bedste fald er datasikkerheden bare hullet som en si. Nicola Dragoni fra DTU Compute har dokumenteret, at moderne velfærdsteknologi i værste fald kan tage livet af os. I bedste fald er datasikkerheden bare hullet som en si.

Ifølge Nicola Dragoni, DTU Compute, er der mange, som har muligheden. Blandt andet fordi der er store sikkerhedshuller i kommunikationen mellem enhed, app og den tjeneste i skyen, hvor vi typisk gemmer sundheds- og motionsdata. Kommunikation, der typisk sker via Bluetooth og Wi-Fi.

Nicola Dragoni har blandt andet vurderet sikkerheden i enheder som Fitbit Charge og Jawbone Up Move. Hans konklusion er, at alt efter model er det ganske enkelt at hacke enten selve enheden – her klarer Fitbit sig dårligst – eller app og cloudtjeneste, hvor hans test eksempelvis viser, at Jawbone er åben som en ladeport.

Samtidig konstaterer han, at den form for hacking absolut ikke kræver avanceret udstyr eller viden. Og konsekvenserne er skrækindjagende i takt med, at stadig flere af den slags enheder bliver en del af Internet of Things-universet.

Fitbit Charge og Jawbone Up er nemme at hacke – enten selve enheden eller via den app eller skytjeneste, som enheden bruger. Fitbit Charge og Jawbone Up er nemme at hacke – enten selve enheden eller via den app eller skytjeneste, som enheden bruger.

Således lød en overskrift i Info-World i juni måned: ”Welcome to the smartphone of horror” og Nicola Dragoni kan citere andre overskrifter såsom ”Hackers killed simulated human by turning off its pacemaker” eller ”Pervasive healthcare applications face tough security challenges”. Så velkommen til en verden af ”The Quantified Self” med udfordringer.

For oven over alting våger FET

På en konference for nylig i Ingeniørforeningen IDA gjorde konsulent Poul Thorlacius-Ussing fra Center for Cybersikkerhed, der er en afdeling af Forsvarets Efterretningstjeneste, det helt tydeligt. Sikkerhedstruslen mod danske virksomheder er særdeles høj, og antallet af angreb er stærkt voksende.

”Spionage mod offentlige myndigheder og virksomheder udgør fortsat den alvorligste cybertrussel mod Danmark og danske interesser”, siger Poul Thorlacius-Ussing fra Forsvarets Efterretningstjeneste. ”Spionage mod offentlige myndigheder og virksomheder udgør fortsat den alvorligste cybertrussel mod Danmark og danske interesser”, siger Poul Thorlacius-Ussing fra Forsvarets Efterretningstjeneste.

Center for Cybersikkerhed har eksisteret i 3 år og leverer efterretningsbaseret cybersikkerhed, lige som man både varetager funktionen som nationalt kompetencecenter på cyberområdet og myndighedsopgaver som national it-sikkerhedsmyndighed.

På konferencen gennemgik Poul Thorlacius-Ussing de alvorligste trusler, og hvorledes de kan imødegås. Men konklusionen var klar – vi kan ikke eliminere risikoen, kun prøve at reducere den efter bedste evne.

Ministerierne i krydsild
Ifølge Poul Thorlacius-Ussing er eksempel-vis Udenrigsministeriet et oplagt mål for cyberkriminalitet. Selv om man ugentligt ser angreb, er succesraten imidlertid beskeden, fordi det netop er en institution, hvor fokus på IT-sikkerhed er ekstrem høj. Men også Erhvervs- og Vækstministeriet er udsat, og i et konkret tilfælde kunne man dokumentere, det var en fremmed stat, som via samarbejde med en hackergruppe prøvede at få adgang til ministeriets systemer. Man var dog adviseret på forhånd via et tip og fik i samarbejde med Statens IT angrebet bremset.

”Derudover er det især forsvarsindustrien og dennes samarbejdspartnere, der er i risikogruppen, og jeg kan selvfølgelig også nævne CSC, hvor en hacker via en sårbarhed i en mainframe fik adgang til vigtige data i Rigspolitiets systemer”, siger Poul Thorlacius-Ussing.

Faserne i et angreb
I FET’s seneste efterretningsmæssige vurdering understreger man, at cyberangrebene er blevet væsentlig mere fokuseret i deres metode, at de er blevet væsentlig mere organiseret, at de ofte er understøttet af fremmede stater samt, at der ydes en stor og vedholdende indsats for at kunne forblive i systemerne og dermed overvåge i det skjulte på permanent basis. I dag er det således typisk de såkaldte Advanced Persistent Threat angreb, virksomhederne udsættes for. Her består de indledende faser typisk af rekognoscering samt tilpasning og installation af malware, der f.eks. høster credentials i form af brugerrettigheder og adgangskoder.

Selve adgangen til virksomhedens data kan f.eks. ske via spearphishing af systemerne hos samarbejdspartnere og leverandører eller via såkaldt waterholing, hvor hackerne inficerer de internetservere, virksomheden typisk besøger. Angrebet bliver således kun aktiveret, når det er den pågældende virksomhed, der logger sig på.

Lagt ned af Windows 3.1
Selv om offentlige institutioner og forsvarsindustrien er i højrisikogruppen, kan ingen virksomhed føle sig sikker. Derfor gælder det om at være proaktiv og bygge et beredskab op. Desuden gælder det om at få klassificeret sine systemer og data samt ikke mindst sikre, at de lever op til myndighedernes krav – især hvis man er en virksomhed, der er specielt udsat.

”Sammen med Digitaliseringsstyrelsen har vi udgivet pjecen ”Cyberforsvar der virker”, som er en køreplan for et godt cyberforsvar. Men grundlæggende kan man sige, at vi skal hæve prisen – altså gøre det sværere for hackerne. Det kan vi blandt andet ved at lave en whitelist over de programmer, der må anvendes i virksomheden samt ikke mindst sørge for, at alle systemer er opdateret”, siger Poul Thorlacius-Ussing.

Et grotesk eksempel på det modsatte er den internationale Orly lufthavn ved Paris, hvor der i starten af november opstod et problem i lufthavnens vejrvarslingssystem, kaldet DECOR. Det viste sig, at det afvikles på en pc med Windows 3.1, der blev lanceret i 1992. Ligeledes kan nævnes, at flere andre af flyveledernes værktøjer her er baseret på det lige så forældede Windows XP.

Hardware med indbygget bagdør
Poul Thorlacius-Ussing understreger endvidere vigtigheden af at have fokus på medarbejdernes rettigheder, forstået på den måde, at det er de nødvendige rettigheder, der er tildelt de rigtige medarbejdere. Rettigheder skal ikke uddeles på må og få.

”Set med de proaktive briller på handler det om at være bevidst om risikoen, at etablere et erfaringsnetværk samt et beredskab og ikke mindst inddrage leverandørerne i virksomhedens sikkerhedspolitik. Gerne specificeret via præcise krav i leverandørkontrakterne”, siger Poul Thorlacius-Ussing.

Han føjer til, at der i Danmark ér registreret eksempler på de såkaldte Supply Chain trusler, hvor eksempelvis overvågningskameraer, acces points eller routere leveres prækonfigureret med en bagdør, der så nemt som ingenting kan åbnes på det tidspunkt, en hacker måtte ønske det.

Er uheldet ude, gælder det om at holde hovedet koldt, standse angrebet, beskytte sine logfiler, inddrage it-sikkerhedseksperter og lave en plan for oprydning. Desuden er det vigtigt at drage erfaringer – og dele dem, siger han.

En trussel mod hele vores livsstil

Nicholas Negroponte fra det kendte MIT-lab på Massachusetts Institute of Technology har engang udtalt, at bits og bytes vil få større betydning for os som mennesker end atomer. Om han har ret – eller nogensinde får ret – kan man diskutere, men udsagnet var i hvert fald udgangspunktet for den keynote sikkerhedseksperten og it-analytikeren Keren Elazari gav på efterårets Driving IT konference i Ingeniørforeningen IDA.

Sikkerhedseksperten og it-analytikeren Keren Elazaria opfordrer til at alliere os med hackerne og finde sammen i en fælles indsats mod cyberkriminaliteten. Sikkerhedseksperten og it-analytikeren Keren Elazaria opfordrer til at alliere os med hackerne og finde sammen i en fælles indsats mod cyberkriminaliteten.

Emnet var ”Privacy & Biggest Issues and Trends in Security”, og hendes udgangspunkt var der ikke nogen tvivl om: Hvis ikke du som virksomhed kan leve op til den nødvendige datasikkerhed, kan du lige så godt lukke og slukke med det samme. Men i virkeligheden er det en hårfin balancegang mellem den treenighed, der hedder adgang til data, tillid og sikkerhed. Kan vi få alle tre elementer i lige høj grad?

Nej, det kan vi ikke, var Keren Elazarias konklusion. Og i virkeligheden handler det så langt fra kun om datasikkerhed i virksomheder eller beskyttelse af privatlivets fred. Det handler om hele vores kulturelle eksistens for os som mennesker.

Stor mangel på it-kompetence
Ifølge en opgørelse, foretaget af Cisco, manglede der ifølge Keren Elazaria allerede i 2014 mere end en million it-professionelle med speciale inden for sikkerhed for blot nogenlunde at følge med de udfordringer, hackerne giver os.

Det betyder gigantiske sikkerhedshuller i softwaren som blandt andre National Security Agency og andre udnytter groft. Stadig ifølge Keren Elazaria. Men der går jo sjældent røg af en brand uden, at der er noget om snakken – og NSA er vist så rigeligt blevet taget med fingrene i kagedåsen…!

NSA samt andre lignende organisationer og deres gerninger kan vi mere eller mindre blot forholde os konstaterende til, men på det mere jordnære plan kan vi gøre hackerne til en del af løsningen i stedet for en del af problemet, som Keren Elazaria udtrykker det.

Det rene selvmord at køre bil
”Vi kan gøre hackere til en del af internettets immunsystem”, siger Keren Elazaria, der også er flittig taler på Defcon, verdens største konference netop for hackere. Tag f.eks. offentlig transport, der kan lammes på stedet eller gøre det til en livsfarlig affære at sætte sig ind i en bil. Ikke blot fremtidens selvkørende af slagsen, men også de biler, vi kender i dag.

På sommerens Defcon konference viste hackerne Charlie Miller og Chris Valasek således, hvor nemt de fra en laptop kunne overtage kontrollen af en Jeep Cherokee og fjernstyre alle elektriske funktioner – samt deaktivere bremserne, så bilen bragede ud i grøften. Ikke overraskende blev en hel del biler af denne model siden tilbagekaldt til softwareopdatering. På den proaktive side mødte Tesla op på samme konference og udfordrede hackerne til at komme med konkrete bud på, hvorledes sikkerheden kan forbedres i fremtiden.

Konklusionen er, at manglende datasikkerhed kan få massiv indflydelse på en lang række af de ting, vi betragter som dagligdag. Blandt andet noget så simpelt som at køre til bageren efter morgenbrød. Ifølge Keren Elazaria hedder et af løsningsforslagene åbenhed og samarbejde i fælles fodslag mod de kræfter, der ikke vil os det godt.

Svær vej mod anerkendelse

Der er nok en del, der kan huske den megen polemik, som for nogle år siden opstod i kølvandet på den ordre den kinesiske hardwareproducent Huawei fik med TDC i forbindelse med opbygning af mobilgigantens 4G/LTE-mobilnet. Dengang arbejdede Kim B. Larsen med it-sikkerhedsspørgsmål i Politiets Efterretningstjeneste – i dag er han Chief Security Officer for Huawei Technologies i Danmark.

Kim B. Larsen er Chief Security Officer for Huawei Technologies i Danmark, der i dag har stor fokus på it-sikkerheden i deres Supply Chain Management. Kim B. Larsen er Chief Security Officer for Huawei Technologies i Danmark, der i dag har stor fokus på it-sikkerheden i deres Supply Chain Management.


Et af ankepunkterne mod aftalen dengang var netop den risiko, som Poul Thorlacius-Ussing fra Forsvarets Efterretningstjeneste påpegede under konferencen i Ingeniørforeningen, nemlig risikoen for, at det danske samfund ville blive oversvømmet med kinesergrej, der ville være proppet med prækonfigurerede bagdøre, klar til industrispionage og overvågning.
Retfærdigvis skal nævnes, at daværende TDC topchef, Carsten Dilling, faktisk havde Forsvarets Efterretningstjeneste med på råd i valget af den kontroversielle leverandør, men tvivl har det som bekendt med at nage, så det var særdeles relevant, da Kim B. Larsen netop på samme konference holdt et indlæg med titlen ”How to Make Cyber Security a Part of a Company’s DNA”.

Forbud mod at byde på bredbånd
Det er naturligvis ikke kun TDC-sagen, der har medført, at Huawei i dag er en virksomhed med høj grad af fokus på emnet. Eksempelvis forbød Australien dengang decideret Huawei at byde på landets nationale bredbåndsnet, så både indadtil og især udadtil har man gjort en store indsats for at rette op på det blakkede ry.

”Vores produkter samles af komponenter fra mange lande. De kommer ikke kun fra Kina. Derfor er vi meget bevidst om, at alle processer og komponenter er en del af vores sikkerheds DNA, når det gælder vores Supply Chain Management. Huawei har således både et Security Incident Response Team samt et Crisis Response Team, lige som alle vores produkter testes og godkendes af uafhængige testcentre”, siger Kim B. Larsen.

Forståelse blandt medarbejderne
Han føjer til, at det er nødvendigt for enhver virksomhed at have et helhedssyn på sikkerhed og, at det frem for alt er vigtigt at definere de forretningskritiske værdier, der skal beskyttes. Han er således også ganske enig med Lars Bærentzen fra Siscon i betragtningen om, at det er vigtigt at skabe forståelse blandt medarbejderne for nødvendigheden af it-sikkerhed.

Som eksempel nævner han en nylig mail med embedded ransomware, der har skabt panik i en række virksomheder. Den foregav at være fra Post Danmark, og modtageren skulle klikke på et link i forbindelse med modtagelse af en pakke. På trods af et sprogligt niveau, der åbenlyst indikerede, at det skulle man bestemt ikke gøre, skete det i flere virksomheder, der således fik krypteret deres data.

Crimeware as a Service
”Et nyt begreb har set dagens lys, nemlig Crimeware as a Service. De der har den fornødne ekspertviden til at være datakriminelle kan således tjene store penge på globalt plan. Derfor er det essentielt, at vi internationalt får skabt globale sikkerhedsstandarder og ikke mindst lovgivning på området.

Set med danske øjne må jeg konstatere, at vores lovgivning ganske enkelt ikke har fulgt med udviklingen. Om få år vil en stor del af vores datatrafik blive afviklet direkte fra chip til chip uden menneskelig indblanding. Hvordan bevarer vi styring og kontrol i det miljø – samtidig med, at vi fortsat vil have alle de cybertrusler, vi kender i dag”, spørger Kim B. Larsen.

Danskerne ønsker anonymitet

I foråret 2015 gennemførte Erhvervsstyrelsen og Ingeniørforeningen IDA en undersøgelse over den danske befolkningsadfærd på internettet.

Grit Munk fra Ingeniørforeningen IDA og Ole Tange fra Prosa gjorde det klart, at danskerne ér bekymrede for virksomhedernes håndtering af datasikkerhed. Grit Munk fra Ingeniørforeningen IDA og Ole Tange fra Prosa gjorde det klart, at danskerne ér bekymrede for virksomhedernes håndtering af datasikkerhed.

I alt 2000 danskere deltog i denne undersøgelse, der viste, at 77 procent af de adspurgte mener, at personaliseret markedsføring via brug af personlige data uden tilladelse er et indgreb i privatlivet, at næsten 50 procent ønsker altid eller ofte at være anonyme, når de søger på nettet, og at 68 procent ville bruge værktøjer til at skjule identitet, lokalitet etc., hvis de var lette at bruge.

Undersøgelsen, der blev præsenteret af Grit Munk på konferencen Driving IT i Ingeniørforeningen, viser også, at mere end halvdelen af de adspurgte føler sig utrygge i forhold til hvorledes virksomheder benytter data, der høstes via nettet. Herunder om de videregives til andre.

I den forbindelse føjede en anden indlægsholder – Ole Tange fra Prosa – til, at danskerne gennemgående ikke har noget imod at dele relevante data med andre – blot de selv kan få lov til at bestemme hvornår og hvordan. Han nævnte således de to fremherskende retninger inden for disciplinen datahåndtering, nemlig Privacy by Design og Privacy by Policy.

Privacy by Design betyder, at virksomheden ikke opsamler data fra brugeren, mens Privacy by Policy betyder, at virksomheden opsamler dine data, men lover ikke at bruge dem. I hvert fald ikke ind til videre – men i fremtiden? Tja, måske. Vi får se!

Ole Tanges konklusion er, at virksomheden kan være nok så flink, men at alle kan presses af eksempelvis NSA, og at man som udgangspunkt derfor ikke kan stole på en virksomhed med en hjemmeside, der er bygget op efter Privacy by Policy-modellen. Det er Google og Facebook ligeledes gode eksempler på.