(Foto: Computerworld)

Trusselsbilledet anno 2020 – 2. del: Her er hackernes stærkeste våben

Nettet er ikke blevet et mindre farligt sted her ved indgangen til det nye årti. Men hvordan ser det basale trusselsbillede ud? Vi giver dig overblikket i en artikelserie. I første artikel i sidste nummer så vi på de it-kriminelles motiver. Denne gang fokuserer vi på, hvilke trusler der er de mest alvorlige og konsekvenserne af dem.

13. juli 2020 kl. 13.19

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det sker hele tiden: En medarbejder i en virksomhed eller offentlig institution bliver lokket til at klikke på et link i en mail og derefter videregive bank- og NemID-oplysninger. For nylig skete det i Børne- og Undervisningsministeriet. Det kunne Berlingske oplyse i januar.
En medarbejder var blevet franarret et beløb efter at have indtastet oplysninger fra sit tjenstlige kreditkort.

I en mail havde afsenderen udgivet sig for at være fra Nets.dk og havde bedt om kortoplysningerne. Medarbejderen opdagede heldigvis sin fejl, og kortet blev hurtigt spærret, så svindlerne nåede kun at trække 9000 kr.

Svindel af denne type, hvor medarbejdere eller privatpersoner franarres bankoplysninger – herunder NemID-koder – kaldes phishing. Og denne svindelform er ifølge afdelingsdirektør Peter Kjær fra nethostingselskabet Progressive et af de største sikkerhedsproblemer på mange arbejdspladser lige nu. Mange af disse sikkerhedsbrud kommer ikke offentligheden til kende, men de sker hele tiden, vurderer Peter Kjær.

”Du hører ikke om dem, hvor det går dårligt. Vi ved ikke, hvor mange det er,” siger han. ”Især de små og mellemstore virksomheder er ramt af mail- eller telefonhenvendelser, hvor svindlere forsøger at lokke bankoplysninger ud af medarbejdere. Eller de sender en mail, hvor de udgiver sig for at være virksomhedens direktør og beder om en pengeoverførsel – det man kalder CEO-svindel,” forkarer Peter Kjær.

Raffineret phishing

Hvert år spørger den internationale revisions- og konsulentvirksomhed PWC over 300 danske virksomhedsledere om it-sikkerhed. Her er phishing kommet ind på en klar førsteplads tre år i træk. I 2019 angav hele 68 procent, at deres virksomhed havde oplevet et phishing-angreb inden for de seneste 12 måneder.

Der er godt nok tale om et lille fald i antallet af phishing-angreb sammenlignet med de to foregående år, men det skyldes ifølge PWC, at virksomhedernes ledelser har fået større fokus på denne type angreb og derfor har brugt flere ressourcer på at undervise medarbejderne i, hvordan svindelmails tager sig ud, og hvad man skal gøre, når man får dem.

Svindlerne bliver hele tiden dygtigere til at udvikle raffinerede mails, der ser ægte ud, blandt andet ved at tage kunstig intelligens i brug. Så den løbende krig mellem svindel og oplysning har langt fra fundet sin afgørelse. Ifølge PWC’s 2019-rapport anses netop de ansattes ubevidste handlinger stadig som langt den største trussel mod sikkerheden i virksomhederne.

Phishing efter bankoplysninger rammer især de små og mellemstore virksomheder. Store virksomheder er desuden hyppigt udsat for såkaldt ransomware, dvs. software, der krypterer virksomhedernes adgang til egne filer og data, og hvor bagmændene kræver udbetaling af løsepenge for at frigive en dekrypteringsnøgle, der på ny giver adgang.

Phishing rammer især de små og mellemstore virksomheder, vurderer Peter Kjær, Progressive.

Der er flere voldsomme eksempler på denne form for afpresning i Danmark. Blandt mange andre har ikoniske danske virksomheder som Mærsk og Oticon og den internationale byggekoncern Saint-Gobain tabt både omdømme og milliarder af kroner på, at ransomware-angreb lagde virksomhedernes it-systemer mere eller mindre ned i måneder. Men selv private brugere kan blive ramt af denne type malware – her er afpresningsbeløbene blot betydelig lavere.

Ifølge PWC-undersøgelsen i 2019 frygter virksomhederne allermest, at malware fører til, at kritiske systemer bliver utilgængelige i længere tid (68 procent) – hvilket er konsekvensen af ransomware. For at ransomware skal fungere i virksomheder og organisationer kræver det, at de kriminelle hackere får adgang til at placere en ”trojaner” med den skadelige kode i virksomhedssystemet.

Det sker som ved phishing oftest ved at lokke uopmærksomme medarbejdere til at klikke på et tilsyneladende ufarligt link i en mail. Manglende fokus fra virksomhedens ledelse over for de konkrete, åbenlyse svagheder i sikkerhedsforsvarsmuren kan altså få fatale konsekvenser.

De dyreste trusler

Især to sikkerhedstrusler truer her ved indgangen til 2020’erne virksomhederne med store økonomiske tab.

Phishing

Medarbejdere udleverer kritiske bankoplysninger – herunder NemID-koder – til it-kriminelle, som herefter hæver større eller mindre beløb på virksomhedens eller organisationens konto. Medarbejderne lokkes gennem især e-mails, der udgiver sig for at være afsendt fra en bank, Nets, offentlige myndigheder og lignende.

Ransomware

En type skadelig software (malware), der bruges til økonomisk afpresning. Når koden er lagt ind i en virksomheds eller organisa-tions it-system, krypterer og blokerer den for adgang til filer og data, hvilket kan lamme virksomheden eller organisationen i måneder, indtil man enten betaler en løsesum (ransom) eller får genetableret systemerne ved hjælp af blandt andet en eksisterende backup. Den skadelige kode kommer oftest ind i systemerne, fordi medarbejdere uforvarende kommer til at klikke på skadelige links i for eksempel mails.

Faldende budget

Pressen er fyldt med historier om ”cyberangreb” på internet. Så man kunne tro, at virksomhederne er godt forberedte, og at truslerne måske i virkeligheden bliver overdrevet og talt op. Men ifølge Peter Kjær, Progressive, er sandheden snarere det modsatte. Især er der manglende fokus på it-sikkerheden i små og mellemstore virksomheder.

Det understøttes af sidste års PWC-rapport, hvor det fremgår, at man i 2019 havde et gennemsnitligt sikkerhedsbudget på 700.000 kr., men at man har planlagt at reducere beløbet til 550.000 kr. her i 2020.

”Det er smv-markedet, de it-kriminelle er mest interesseret i. Her er det lettest at komme ind. Halvdelen af virksomhederne har ikke brugt penge på at beskytte sig. Det bliver udnyttet mere, end man tror,” siger Peter Kjær.

Men de små og mellemstore virksomheder ligger, som de har redt, mener han. ”Det er ikke et fokusemne i bestyrelseskredse. Alle taler om it-sikkerhed, men ingen vil bruge penge på det. Det er min erfaring, at it-folk har svært ved at sælge budskabet til en bestyrelse. Jeg taler dagligt med virksomheder, der ikke vil ofre de nødvendige penge på at få sikkerheden opdateret,” kritiserer Peter Kjær.

”Virksomhedens ambitioner står ikke altid mål med deres investeringer. De bliver nødt til at investere og sikre sig, ellers kan det ende med et selvmål, som vælter hele virksomheden,” slår Peter Kjær fast.

Læs første del af serien på tre artikler her.