Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Afpresning er måske ikke det ældste erhverv i verden, men det er uden tvivl et af de ældste, og konceptet er stadig uhyre levedygtigt. Den eneste forskel er, at det har flyttet sig fra den fysiske verden til den digitale, hvor både store og små virksomheder risikerer at komme i klemme, typisk når adgangen til forretningskritiske data spærres. Når det sker, melder der sig et essentielt spørgsmål: Skal man betale afpresserne, eller lade være?
Argumentet for ikke at betale er naturligvis, at der bestemt ikke er nogen grund til at gavne hackernes forretning og inspirere andre til at gøre lige så. Argumentet for at betale er til gengæld, at virksomheden gerne vil have adgang til sine data igen. Hvorefter et nyt spørgsmål melder sig: Får den så det, og hvis ja, vil hackerne slå til igen på et senere tidspunkt, nu hvor de har fundet et tilsyneladende nemt offer? Risikoen må siges at være nærliggende.
Har Garmin betalt – og hvor meget?
To af de seneste eksempler på virksomheder, der er blevet ramt af massive hacker-angreb, er Garmin og Canon, og meget tyder på, at Garmin har valgt at betale for at slippe fri af ransomwarens svøbe, mens samme rygte ikke har spredt sig i forbindelse med angrebet på Canon. Når det hårdnakket påstås, at Garmin har valgt at betale, skyldes det, at virksomheden allerede dagen efter var godt i gang med at reetablere sine onlinetjenester, hvilket ifølge mediet Bleeping Computer har krævet en dekrypteringsnøgle.
Den har Garmin åbenbart betalt for, hvilket er i strid med amerikansk lovgivning, hvis det rent faktisk er tilfældet. Spørgsmålet er så, hvad Garmin konkret vil gøre for at beskytte sig mod lignende angreb i fremtiden, men det er særdeles tvivlsomt, om Garmin på noget tidspunkt enten vil bekræfte, at man har betalt eller vil fortælle om de forholdsregler, man nu givetvis vil tage.
Hvad, Canon har gjort eller vil gøre, ligger ligeledes hen i det uvisse, men fakta er, at de amerikanske websites og en række services var ramt.
Mærsk var åben om situationen
Ransomware-angreb er en hændelse, mange virksomheder forsøger at tysse ned, da det i sagens natur kan være skadeligt for brandet. Til gengæld kan det være grumme svært at skjule, hvis det ikke kun er interne data, men også hjemmesider og onlinetjenester, der berøres. Ganske som det var tilfældet med Garmin og Canon. En af de virksomheder, der har været rimelig åben omkring angreb med ransomware, er imidlertid danske Mærsk, der i sommeren 2017 blev ramt af ransomwaren Petya. Men overvejede man at betale?
”Se det er jo et følsomt spørgsmål, som jeg af hensyn til en strategisk risikovurdering ikke ønsker at kommunikere ud,” siger Mikkel Elbek Linnet fra Mærsks informationsafdeling. Han føjer imidlertid til, at åbenheden om angrebet overfor omverdenen var tvingende nødvendig af kommercielle hensyn. Forståeligt nok, idet aktiviteter i mere end 60 lande var berørt. Det er imidlertid ikke nogen hemmelighed, hvad angrebet samlet kostede på driften, nemlig næsten 2 mia. kr.
Investér i en ”dræberknap”
Efter angrebet udtalte den tidligere CIO hos Mærsk, Tom Christensen, til teknologimediet Version 2, at intet i Mærsks beredskabsplan havde taget højde for den situation, virksomheden havnede i, og at det efter samtale med en snes andre virksomheder blev klart for ham, at det samme var tilfældet der. Når angrebet sættes ind, er hastighed i modreaktionen essentiel, og et af Tom Christensens vigtigste råd er derfor, at virksomhederne skal investere i en såkaldt kill-switch.
Det er en ”dræberknap” i form af den nødvendige antivirussoftware, der gør det muligt at opdage og isolere et angreb i løbet af sekunder. Den typiske reaktionstid er 45 minutter, og i løbet af den tid risikerer virksomheden, at selv den mindste afkrog af it-infrastrukturen er inficeret. Dertil kommer naturligvis etablering af en beredskabsplan, der med militær præcision beskriver både, hvorledes virksomheden håndterer situationen og ikke mindst, hvorledes medarbejderne skal informeres.
Vi er alle i den samme båd
I bund og grund er der ikke nogen forskel på, hvorledes hackerne får sneget sig inden for virksomhedens firewall. Selv om store virksomheder i sagens natur har råd til større sikkerhedsressourcer, handler det for hackerne i høj grad om at spille på den menneskelige faktor, og her er alle lige. Fristelsen til at klikke på et link, man ikke skulle have klikket på, er lige stor uanset om du arbejder i en stor eller lille virksomhed, lige som effekten er den samme.
Nemlig at det ikke længere er muligt for virksomheden at drive sin forretning. Hackernes indfaldsveje er mangfoldige. Det kan være, de benytter sig af en phishing mail, det kan være, at brugeren narres til at klikke på et link, der lokker med et godt tilbud, eller det kan være, at hackeren gemmer sig bag en falsk opdatering, der fører brugeren ind på en hjemmeside, hvor ransomwaren blot ligger og venter på, at nogen går i fælden. Ganske som edderkoppen tålmodigt venter i sit spind.
Du skal holde pungen lukket
Skal man betale for at få sine data frigivet eller få sin hjemmeside og onlinetjenester op at køre igen? AOD har stillet spørgsmålet til David Jacobi, der er sikkerhedsekspert i
Kaspersky, og han er ikke i tvivl. Eller rettere sagt – det er han.
”Mit professionelle råd er ubetinget, at man ikke skal betale, men jeg forstår udmærket, at man kan falde for fristelsen, når virksomheden så at sige er i panik og derfor er parat til at gøre næsten hvad som helst for at komme i drift igen hurtigst muligt,” siger David Jacoby.
Han kan også godt forstå, at private, som rammes af ransomware, betaler for igen at få adgang til hele arkivet af private billeder eller, at den lille virksomhed, der ikke har de nødvendige ressourcer til aktivt at stritte imod, også gør det. Men når det kommer til de store virksomheder, er han ikke i tvivl – lad være med at betale.
”Du kan risikere, at du måske kun får adgang til en del af dine data, men frem for alt risikerer du også, at hackerne vender tilbage for at prøve lykken igen på et senere tidspunkt. Eller sagt på en anden måde. Selv hvis du betaler, får du ikke nogen garantier for, at de ikke gør det,” siger David Jacoby.
Hackernes forretningsplan
Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, og her kan chef Thomas Lund-Sørensen – ganske som David Jacoby fra Kaspersky – godt forstå, at en virksomhed kan falde for fristelsen til at betale løsepenge. Til spørgsmålet, om man kan være sikker på, at hackerne rent faktisk leverer en dekrypteringsnøgle, svarer han, at nej det kan man ikke. Men han føjer til, at sandsynligheden vil være ganske stor, da hackerne jo i modsat fald vil ødelægge deres egen forretningsplan. Til gengæld vil risikoen for, at virksomheden på et senere tidspunkt udsættes for et nyt angreb ifølge Thomas Lund-Sørensen være tilsvarende stor. Måske er det ikke den samme hackergruppe, der angriber, men information om, hvilke virksomheder, der betaler, er en helt almindelig handelsvare i hackerkredse.
3 gode råd om ransomware
Sådan holder du ransomware ude – ifølge sikkerhedseksperten David Jacobi fra Kaspersky
1
Det er åbenlyst for enhver, at virksomheden altid skal sørge for at have de nødvendige backuprutiner i orden. Men det kan ikke gentages for tit. En ting, virksomhederne måske ikke altid er lige omhyggelige til at undersøge, er, hvorvidt backupdata er valide, hvilket vil sige, at de enten ikke er fejlbehæftede eller rummer en eller anden form for skadelig software, der ikke er opdaget.
2
Dernæst understreger David Jacobi fra Kaspersky, at virksomheden selvfølgelig skal sørge for, at sikkerhedssoftwaren altid er opdateret, og det samme gør sig gældende med al anden software, da kun leverandørens seneste patches sikrer den bedst mulige it-infrastruktur uden skjulte bagdøre, der kan tjene som adgang for hackerne.
3
Endelig er det vigtigt med en såkaldt Acces Control List, der er en tabel over adgangsrettigheder, der er defineret for virksomhedens it-infrastruktur. Eller rettere sagt, hvilke brugere, der har adgang til hvilke filer, programmer og segmenter på netværket.