Artikel top billede

(Foto: Computerworld)

Det skal virksomhederne passe på i 2013

Vi har interviewet David Jacoby fra Kaspersky Lab om nogle af de farer, der lurer derude for din virksomhed og – ikke mindst – internt i selve virksomheden.

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Ikke-tekniske aspekter af sikkerheden skal også tages i betragtning. Det handler om at øge medarbejdernes bevidsthed om truslerne og udvikle et sæt af retningslinjer for, hvordan man agerer online. For lige så vigtigt som det er, at alle programmer og operativsystemer altid er opdateret, er det, at også de menneskelige aktiver i virksomheden er opdateret.

I 2013 vil it-truslerne snige sig ind i alle kroge af virksomhedens it-struktur. I takt med at flere og flere af de danske virksomheders aktiviteter rykker på nettet med webshops, nyhedsmails og onlinebooking, vokser også risikoen for, at ubudne gæster tjekker ind i virksomhedens it-system og skader det eller stjæler fortrolige data. Angrebene vil komme fra mange sider – fra skyer, i æbler, fra regeringer og politiske aktivister – og ikke mindst fra velsmurte forbryderorganisationer.

Så derfor mener David Jacoby fra Kaspersky Lab, at det, mere end nogensinde tidligere, for virksomhederne handler om at blive bevidst om de potentielle trusler og sikre sig så godt som muligt mod dem. Her er de ifølge David Jacoby ni største sikkerhedstrusler, det handler om netop nu.

1 Flere angreb i skyen

I takt med udbredelsen af cloud computing vokser også antallet af sikkerhedstrusler i skyen. Hvis en it-serviceudbyders sikkerhed kompromitteres, risikerer alle kundernes data også at blive kompromitteret – og derfor er skyen et lukrativt mål for it-forbrydere. Det er vigtigt, at virksomheder indser, at selvom de outsourcer håndtering og lagring af data, kan de ikke outsource ansvaret for selvsamme. Hvis deres leverandørs systemer bliver angrebet, og data bliver eksponeret, bærer de selv ansvaret. Derfor skal alle risici vurderes lige så grundigt, som hvis data blev opbevaret internt i virksomheden.

Virksomheder bør også overveje, hvor data vil blive lagret, hvad der sker med data, hvis man skifter udbyder, og hvilke forholdsregler der skal træffes for at sikre data i leverandørens systemer – herunder hvordan de forhindrer andre kunder i at tilgå dem.

2 Undgå orm i æblet

I modsætning til en ellers udbredt forestilling udvikles der i dag malware til Mac-produkter i hidtil uset omfang, og denne udvikling vil fortsætte i 2013. Så selvom der har været relativt få angreb rettet direkte mod iOS, vil iPhonens popularitet formodentlig ændre dette billede. For at forblive beskyttet er det vigtigt, at virksomheder sikrer deres Mac-computere og udvikler deres medarbejderes bevidsthed om iPhone-sikkerhed. De skal for eksempel lære, at de ikke skal ”jailbreake” deres enhed, at de ikke skal udføre fortrolige transaktioner på offentlige WiFi-netværk, og at de ikke skal hænge hele deres databeskyttelse op på en simpel pinkode.

3 Android-mobiler

Mængden af malware rettet mod Android er eksploderet i de seneste 18 måneder. 90 procent af al mobil malware er rettet mod Android-enheder, og it-forbrydernes interesse for denne platform vil kun stige i 2013. I dag udvikles hovedparten af al malware med det formål at få adgang til enheden. I 2013 vil vi sandsynligvis se malware, der udnytter sårbarheder i operativsystemet og malware af typen drive-by downloads.

Der er også stor sandsynlighed for, at vi ser den første masseorm til Android, som kan sprede sig selv via sms’er og sende links til sig selv fra en app-butik. Hvis virksomheder vil undgå at blive ofre for mobil malware, bør de installere antivirusbeskyttelse på deres Android-enheder, sikre data på disse enheder, og at data kan slettes på afstand, hvis medarbejderen taber enheden, eller den bliver stjålet. Virksomheder bør også udvikle politikker for medarbejderne for at sænke den sikkerhedsrisiko, der knytter sig til de mobile enheder.

Det omfatter blandt andet, at medarbejderne ikke ”rooter” deres Android-telefon (svarer til jailbreak på en iPhone), at de undgår offentlige WiFi-hotspots, når de skal foretage fortrolige transaktioner, at de ikke baserer adgangskontrollen udelukkende på en pinkode, og at de kun installerer applikationer fra godkendte kilder.

4 Zero day-angreb på Java, Adobe og Office

Antallet af de såkaldte zero day-angreb vil stige i 2013. Disse angreb var tidligere primært målrettet operativsystemer og browsere, men på det seneste har vi set, at de it-kriminelle har fokuseret på programmer. It-forbryderne har indset, at it-brugerne ikke altid patcher deres programmer, og derfor kan vi forvente en stigning i exploits, der er målrettet for eksempel Java, Adobe og Office. Hvis man skal beskytte sig mod zero day-angreb, skal man sikre sig, at virksomhedens opdateringsrutiner dækker mere end blot operativsystemet – det er afgørende, at også de programmer, der bruges i forretningsøjemed, er en del af patchingrutinerne.

5 Kundernes privatliv ædes op af cookies, dataindsamling og identitetstracking

Beskyttelse af medarbejdernes fortrolige data har udviklet sig til et af de hotteste emner inden for it-sikkerhed. Virksomheder vil i stigende grad prøve at indsamle så meget information, som de kan om deres kunder, og det betyder, at vi sandsynligvis vil se en fortsat erosion af forbrugernes privatliv. I 2013 kan vi forvente, at virksomhederne i endnu højere grad vil indsamle og bruge kundeoplysninger til reklame og markedsføring.

Virksomhederne må tilsvarende indse, at alle data, der udgives online, udsætter både dem selv og deres medarbejdere for en risiko, da it-forbrydere indsamler offentligt tilgængelige informationer for at kunne foretage målrettede angreb mod virksomheder. Samtidig må virksomhederne undervise deres medarbejdere i de farer, der knytter sig til deling af data på nettet.

6 Hacktivisme

Hacktivist-grupper som for eksempel Anonymous og LulzSec vil fortsat give virksomheder problemer, og vi vil se flere angreb på statsinstitutioner og virksomheder i 2013, på trods af de mange foranstaltninger, forskellige lande har gjort for at få arresteret de højtprofilerede hacktivister. Disse grupper drives ikke af penge, men af politik. De ser deres aktioner som politiske statements – som protester mod bestemte sager eller love. Alle organisationer bør sikre, at de er forberedt på hacktivist-angreb.

7 Cyberkrig – malware sponsoreret af nationalstater

Vi er på vej ind i cyber-koldkrig, hvor nationer kan bekæmpe hinanden uden den fysis-ke krigs begrænsninger. Vi har allerede set flere eksempler på virusangreb orkestreret af nationalstater som for eksempel Stuxnet, Flame, Duqu og Gauss. Og i fremtiden kan vi forvente, at flere lande vil udvikle cybervåben skabt til at stjæle information eller sabotere systemer, ikke mindst fordi indgangsudgiften for at udvikle disse våben er meget lavere end ved udviklingen af fysiske våben. Vi kan komme til at opleve cyberangreb på blandt andet atomkraftværker, energiforsyningsinfrastruktur, transportknudecentre, finans- og telesystemer samt andre samfundskritiske installationer.

8 Lovlige overvågningsværktøjer

I 2013 kan vi forvente at se flere lovlige brud på privatlivets fred. Politi og efterretningsvæsen vil blandt andet intensivere brugen af ”spionprogrammer” til at overvåge forbrydere eller til at følge al kommunikation til og fra personer, der er under overvågning.

9 Målrettede angreb og cyberspionage

Vi kan forvente, at væksten i cyberspionage vil fortsætte i 2013 med fremvæksten af ny malware skræddersyet til brug i målrettede angreb. It-forbrydere vil fortsat stjæle al den data, de kan få fingre i – og sælge den på det sorte marked.

For at beskytte sig mod de første fem af disse sikkerhedstrusler er virksomhederne nødt til at vurdere de sikkerhedsrisici, der er i deres organisation, og udvikle en sikkerhedsstrategi, der er skabt til at imødegå enhver af disse trusler – hvilket blandt andet inkluderer valg af de rette sikkerhedsteknologier og en patchingpolitik. Her skal virksomhederne være særligt opmærksomme på proaktiv sikkerhed, der kan opdage nye trusler, så skræddersyede angreb effektivt kan bekæmpes. Virksomhedernes sikkerhedsstrategier bør også inkludere en beredskabsplan, der kan håndtere sikkerhedslækager – så forretningen kan køre videre, og angrebet ikke skader virksomhedens anseelse på lang sigt.