Mærsks milliardtab på sikkerhedsbrud får virksomhedsledere til at vågne op - det skal du udnytte, før det er for sent

Udnyt interessen for Mærsks tab på ransomware til at få ledelsen i tale, lyder opfordringen fra DKCERT.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Mellem 1,3 og 1,9 milliarder kroner. Så meget kommer en sikkerhedshændelse til at koste Mærsk.

Rederikoncernen blev et af ofrene for ransomware-ormen NotPetya, der ramte en række internationale virksomheder i slutningen af juni.

Jeg blev for nylig bedt om at holde et oplæg med titlen "Hvordan får sikkerhedsfolkene topledelsen i tale?" Svaret er oplagt: Jeg skal bare vise lederne overskriften om, hvor meget NotPetya koster Mærsk.

Virksomhedsledere har sjældent særlig meget forståelse for informationssikkerhed. Deres interesse er koncentreret om virksomhedens kerneforretning: Hvad producerer vi, og hvordan tjener vi penge på det?

Eksemplet med NotPetya demonstrerer, at vi ikke må opfatte it-risiko som et selvstændigt fænomen. I vore dage er en it-risiko identisk med en forretningsrisiko. Og forretningsrisici er noget, topledere beskæftiger sig med hver dag.

Flere milliardtab

Mærsk taber altså over en milliard på NotPetya. Konfekture- og snackfirmaet Mondelez International anslår et tab på omkring en milliard kroner. Entreprenørfirmaet Saint-Gobain venter et samlet tab på 2,6 milliarder kroner.

Det er tal, som en ledelse kan forstå.

Der går gerne en tre måneders tid, før sådan en historie er glemt. Derfor er det nu, de sikkerhedsansvarlige skal udnytte muligheden for at få ledelsen i tale.

Er du ansvarlig for informationssikkerheden i jeres organisation, skal du forberede et indlæg til ledelsen. Tag udgangspunkt i Mærsks oplevelser og stil spørgsmålet: "Hvordan ville vi have klaret en lignende situation?"

Tag jeres it-chef med til mødet. Vær forberedt på, at ledelsen vil have sat tal på risikoen. Så tænk over, hvad omkostningerne ville være for jeres organisation.

Vurder risikoen

En risiko er konsekvensen af et sikkerhedsbrud set i forhold til sandsynligheden for, at det forekommer.

Når ledelsen kender risikoen, kan den foretage en risikovurdering. Der er fire måder at behandle en risiko på: I kan behandle elementerne i den, overføre risikoen til en anden, beslutte at leve med risikoen eller holde op med at bruge de systemer eller processer, risikoen er forbundet med.

Hvis ledelsen vælger at behandle risikoen, kan det fx ske ved at opdatere systemer, købe nyt sikkerhedsudstyr eller ansætte flere sikkerhedsmedarbejdere.

Den type investeringer har I bedre muligheder for at få på budgettet nu, mens Mærsk-historien er i frisk erindring.

Tiltag beskytter

Ledelsen vil utvivlsomt spørge, hvad I kan gøre for at sikre jer mod den type angreb, Mærsk var udsat for. Her er nogle enkle tiltag, man kan begynde med.

Begræns brugernes rettigheder til et minimum. De skal kunne udføre deres arbejdsopgaver, men ikke mere end det. Og det gælder også systemkonti.

NotPetya spredte sig blandt andet ved at afvikle programmer på andre computere på netværket via PsExec. Det får PsExec kun lov til, hvis den kører under en administratorkonto.

Hvis man ikke lader brugere køre som administrator, kan man derfor begrænse risikoen. Et segmenteret netværk kan også mindske skaderne af en angreb. Opdel netværket i segmenter, så skadelige programmer kun kan inficere en mindre del af computerne på nettet.

Som altid ved ransomware-angreb er en sikkerhedskopi uundværlig. Så brug anledningen til at tjekke, at I sikkerhedskopierer data, og at I kan gendanne data ud fra kopierne.

Applikations-whitelisting er også et effektivt redskab. Med whitelisting kan der kun køre applikationer, som er godkendt.

Min erfaring siger desværre også, at det er vanskeligt at få til at fungere i praksis. Ofte kender it-funktionen ikke alle de applikationer, som brugerne ønsker at anvende. Men er man i stand til at håndtere det, er whitelisting en meget effektiv teknologi.

Endelig er det vigtigt at holde software opdateret. Men lige i forbindelse med Mærsk-historien er det ikke den mest oplagte pointe at trække frem. Det ser nemlig ud til, at den skadelige software blev spredt via en automatisk opdatering af et program, som Mærsk og de øvrige ofre brugte.

Under alle omstændigheder: Hvis du savner opbakning til sikkerhedsarbejdet, så er det nu, du skal tage fat i ledelsen. Held og lykke!

Læs mere


Oprindelig bragt på Computerworld Online den 25. august 2017