Dette blogindlæg er skrevet på baggrund af et interview med Thomas Wong, Improsec, i podcasten Regnskabets Time, sæson 2 episode 4
Nærbutikskæden 7-eleven blev i sidste uge ramt af et muligt hackerangreb, som endte med at lukke alle deres butikker i Danmark. Vi synes, det må være på sin plads at bringe et uddrag af vores podcast med Thomas Wong fra Improsec, hvor vi fik en snak om den aktuelle trussel om at få sine data kompromitteret af cyberkriminelle.
Interviewer: Vi har jo talt lidt sammen inden vi skulle optage i dag, Thomas. Her fortalte du mig, at mange danske virksomheder ikke har det nødvendige IT-sikkerhedsniveau. Kan du ikke prøve at uddybe det lidt?
Thomas: Jo. Det, jeg mener er, at langt de fleste virksomheder vil jo gerne have fokus på IT-sikkerhed. Men når det kommer til at få det inkorporeret i virksomhedens kultur, så viser det sig oftest at være langt sværere at dedikere ressourcer til det end først forventet. Det kan f.eks. være i forhold til at få lavet de her grundlæggende ting som risikovurderinger eller en business continuity plan, som fortæller, hvad man skal gøre, hvis det går galt. De ting får man ikke rigtigt dedikeret tid til. Og det går jo også godt, til den dag det går rigtig skidt. Og den dag det så går skidt, så er den snebold man har skubbet foran sig bare blevet meget større. De fleste virksomheder bliver på et eller andet tidspunkt kompromitteret, så det er i bund og grund et spørgsmål om at sikre, at skaden bliver så lille, som muligt. Så det er vigtigt at være godt rustet til et angreb.
Interviewer: I dag er der en del virksomheder, som helt eller delvist bruger cloud-baserede IT-løsninger. Hvad er det helt konkret man skal være opmærksom på, i forhold til sikkerheden ved en cloud-løsning?
Thomas: Det er et meget bredt spørgsmål. Men en af de vigtigste ting man skal gøre sig klart er, hvem har ansvaret hvornår? Leverandøren har et ansvar. Men kun dertil, hvor deres service ”stopper”. Forstået på den måde, at når en SaaS-løsning leverer data ind i en virksomheds operativsystem eller lignende, så er det altså virksomhedens ansvar, at det bliver opbevaret sikkert, og at systemet er tilstrækkeligt opdateret.
Interviewer: Hvad kan man som medarbejder eller slutbruger af en cloud-løsning selv gøre, for at højne sikkerhedsniveauet?
Thomas: Helt simpelt: Vælg et godt password. Lad være med at genbruge passwords. Og det gælder altså også i de tilfælde, hvor man bruger forskellige brugernavne, mailkonti eller lignende – lad være med at genbruge passwords. Her mener jeg også at man ikke skal ændre sine passwords efter et mønster, som er let genkendeligt. Sidst, men ikke mindst, så skal arbejdsrelaterede og private ting også holdes adskilt. Gjorde alle det, og lod være med at tjekke deres private mail fra deres arbejdscomputer, så ville vi være nået et meget langt stykke af vejen.
Interviewer: Hvordan opdager man, at man er under angreb?
Thomas: Først starter det som en driftsforstyrrelse – der er filer, som ikke længere kan tilgås, programmer som ikke længere virker og så bliver det som regel fulgt op med en besked om, at man kan få sine ting tilbage, hvis man hoster op med en pose penge. Som regel formuleret på en meget pæn og høflig måde. Herefter er det ret vigtigt at være åbne omkring tingene. Et angreb kan vare i lang tid, og det er helt okay at være åben omkring det. Men hvad der herefter bør ske, det skal gerne være forberedt i ”fredstid”. Det er de førnævnte business continuity planer, playbooks osv., som skal være på plads. Så ved man hvad man skal gøre i alle faser af angrebet og den efterfølgende genoprettelsesfase. Det vil spare usandsynligt meget tid og i sidste ende penge.
Nogle af de virksomheder, der er blevet ramt meget hårdt, det er altså dem som ikke har planer klar på forhånd. Og i mange tilfælde vil offentligheden måske slet ikke høre om at der har været et angreb. For virksomheden er kommet hurtigt ovenpå, da der lå en klar plan og strategi for at agere før, under og efter et angreb.
Interviewer: Skal man betale sig fra et angreb?
Thomas: Det vil jeg som udgangspunkt ikke anbefale mine kunder. Det siger jeg ud fra et etisk aspekt. Men når det så er sagt, så kan jeg godt komme med eksempler på, hvor det vil give mening for en virksomhed at betale sig fra at være under angreb. Det kunne f.eks. være i et tilfælde hvor virksomheden simpelthen ikke vil være i stand til at fortsætte, og hvor en konkurs vil være den naturlige konsekvens af angrebet. Her kan det være svært at sige, at man har et valg. Men vælger man at gå ned ad den vej, så vil jeg også samtidig anbefale, at man entrerer med nogle professionelle, som har erfaring med at forhandle med cyberkriminelle. Men, hvis man vil undgå at stå i en situation, hvor man overhovedet er nødt til at overveje at betale sig fra et angreb, så er risikovurdering, træning, forberedelse, penetrationstests osv. altså vejen frem. Det lyder meget trist, men det kan i sidste ende være den vigtigste investering, som virksomheden nogensinde har lavet.
