To ud af tre virksomheder er måneder om at opdage, at deres it-sikkerhed er kompromitteret, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, der er chef for det danske Computer Emergency Response Team (DKCERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Langt de fleste angreb på it-aktiver kommer udefra. Det viser en amerikansk rapport baseret på data om 621 sager, hvor fortrolige data kom i de forkerte hænder.
Rapporten er 2013-udgaven af firmaet Verizons Data Breach Incident Report. Den viser, at i 92 procent af sagerne kom truslen udefra. I 14 procent kom den indefra, og i 1 procent var en partner involveret. Tallene giver mere end 100, fordi en sag kan indeholde både interne og eksterne trusler.
Tallene er interessante, fordi sikkerhedsbranchen traditionelt har regnet med en tommelfingerregel om, at 80 procent af alle brud på sikkerheden skyldes interne trusler – altså typisk medarbejdere.
Mængden af eksterne trusler er steget støt fra 2008 til 2012, hvor den rundede 98 procent med kun fire procent interne trusler.
Det betyder selvfølgelig ikke, at organisationer skal undlade at beskytte sig mod svindel og angreb fra medarbejderne. Men det giver mening at bruge flere ressourcer på at beskytte mod angreb udefra.
Truslen fra de ansatte vokser i øvrigt ikke med virksomhedens størrelse. I store virksomheder udgør den 12 procent mod 14 procent for alle virksomhedsstørrelser.
Halvdelen er bander
Rapporten fortæller også, hvem angriberne er. Ser vi udelukkende på angribere udefra, udgør organiserede kriminelle grupper over halvdelen.
På andenpladsen kommer statsdrevne angrebsgrupper med 21 procent.
Men motiverne for de to hyppigste typer af angribere er vidt forskellige. Næsten alle sager, hvor organiserede forbryderbander er involveret, handler om at få fat i penge.
Omvendt er de statskontrollerede angrebsgrupper rene spionorganisationer. Det kunne for eksempel være den gruppe fra Kina, som jeg tidligere har skrevet om, APT1. Den bruger avancerede angrebsmetoder til at trænge ind hos amerikanske myndigheder og virksomheder.
Enhver virksomhed er et potentielt offer for angreb fra organiserede kriminelle grupper. Hvis der er penge at få fat i, er forbryderne interesserede.
Rapporten viser, at især virksomheder i detailhandlen taber penge som følge af angreb. Her er der dog en geografisk forskel: Små virksomheder i USA er mere udsatte.
Det skyldes sandsynligvis dårligere sikring af betalingskortsystemer. Fx er chipkort ikke så udbredte i USA som i Europa.
Spionage rammer bredt
Spionagetruslen er mere oplagt for organisationer, der er afhængige af fortrolige oplysninger såsom produktdesign, opskrifter eller statshemmeligheder. Rapporten viser, at spionage rammer store som små – også en lille virksomhed uden egen it-afdeling kan blive offer for industrispionage.
Nogle organisationer har så værdifulde data, at de bliver mål for angreb, uanset hvad de gør. Andre bliver ofre på grund af det, de gør.
Uanset hvilken gruppe, din virksomhed tilhører, er det værd at starte med de enkle måder at øge sikkerheden på: Opdater software, fjern huller i jeres webprogrammer, gennemgå konfigurationer og ryd op i applikationer og data. Slet de data, I ikke har brug for at lagre, og beskyt resten.
Uopdaget i måneder
Det tager tid at opdage et angreb. Lang tid. I 66 procent af sagerne tog det flere måneder at opdage angrebet.
For mig at se er dette en af rapportens vigtigste pointer: Vi er alt for langsomme til at opdage angreb.
Her er der brug for at sætte ressourcer ind. Naturligvis er det vigtigt at investere i metoder til at forhindre angreb. Men vi kan ikke forhindre alle angreb. En tilstrækkeligt beslutsom angriber vil altid kunne finde et hul i alle vores forsvarsværker.
Derfor får du her mit forslag til en konkret øvelse: Regn med, at dit it-systems sikkerhed er blevet kompromitteret. Gå i gang med at finde ud af, hvad der er sket. Hvor er de kommet ind, og hvad har de fået fat i?
Jeg er sikker på, at mange af ofrene i de 621 sager i rapporten har opfattet angrebet som en undtagelse fra normen. Det er noget, der ligger uden for deres normale arbejdsgange. Når det sker, træder en særlig beredskabsplan i drift.
Naturligvis skal den type opgaver indgå i jeres beredskabsplan. Men overvej, om de også kan indgå i hverdagens arbejdsgange. Så kan I undgå, at der går måneder eller år, før I opdager et alvorligt brud på sikkerheden.
Det I finder ud af, giver jer ny viden om, hvilke trusler I er udsat for. Den viden skal så indgå, når I løbende revurderer jeres risikoanalyse.
Danske data
Jeg anbefaler, at du henter rapporten og læser den. Den er på godt 60 sider med masser af grafer, og den er god at blive klog af.
I år er den ekstra interessant, fordi data fra sager, som Verizon selv har været med til at undersøge, er suppleret med data fra en lille snes samarbejdspartnere. Blandt dem er it-sikkerhedsfunktionerne hos det danske forsvar og politiet. Så danske sager indgår i statistikkerne.
Oprindelig offentliggjort i magasinet Computerworld og på Computerworld Online den 7. juni 2013