Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
Det er nærliggende at indlede denne sidste klumme for året med en vild forudsigelse. Det er en once-in-a-lifetime-mulighed for at give den hele armen. For efter et 2020 kan man slippe afsted med at skrive hvad som helst.
Havde nogen for eksempel ved udgangen af 2019 sagt, at verden ville blive ramt af en global pandemi, skolebørn og det meste af arbejdsstyrken ville blive hjemsendt til onlineundervisning og -møder, aktiemarkedet crashe og vende, afvikling af et milliarderhverv i Danmark, flere vacciner blive udviklet og godkendt på rekordtid, en juletid med begrænsninger, så var de sandsynligvis blive stemplet som utroværdige fantaster uden begreb om virkeligheden.
Men sådan kan man blive klogere.
Oven på 2020 har jeg imidlertid ikke megen lyst til at stramme skruen yderligere. Jeg synes personligt, at vi har rigeligt at forholde os til i den nuværende situation – både i den analoge og digitale verden. Men selv hvis skuden vendte og kom tilbage på ret køl igen, så må vi erkende, at 2020’s begivenheder repræsenterer en ”Perfect Storm”, eller det nogle kalder en New Normal. Ikke nødvendigvis på det analoge område – det må vi håbe i al fald – men en ny normal på cyberområdet. En normal, som faktisk har været forudset længe, men som – tror jeg – vi kan takke pandemien og følgebegivenhederne for endelig er gået op for de fleste.
Eller rettere: New Normal er, at der ikke findes nogen New Normal, for den flytter sig hele tiden.
Cybernormalen
I forbindelse med udgivelsen af DKCerts trendrapport i 2020 – i midten af juni, forsinket på grund af corona – havde vi for første gang vores egen trusselsvurdering for uddannelses- og forskningssektoren med.
En trusselsvurdering som vores kan godt være tung læsning, og man risikerer helt sikkert at tale for døve øren, når truslen om cyberkriminalitet, cyberspionage og truslen fra ubevidste insidere også på vores område er ”meget høj”. Kan det virkelig blive ved? Og hvis truslen ikke kan blive højere, hvad skal vi så overhovedet bruge sådan en skala til?
Først og fremmest skal vi bruge den til overhovedet at forstå truslen.
En trussel om en storm i horisonten bør alle forholde sig til, hvis de har deres ejendele kært. Når noget truer, bør man forholde sig til truslen og tage sine forholdsregler i forhold til det, man vil beskytte, og de muligheder man har. 22-25 sekundmeter skal et stort containerskib nok kunne klare, mens en 25-fods folkebåd bør nok vende om. Men alt dette afhænger af risikovilligheden og ens evner til for eksempel at ramme bølgerne rigtigt.
Uanset evner, materiel og aktiver må vi erkende, at stormen er over os, og det bliver den nok ved med at være.
Hvad kan vi så se ind i, når vi går ind i 2021?
De færreste kan spå om fremtiden, selv om de påstår det modsatte. Og gør de det alligevel, er det som regel med henvisning til begivenheder, der allerede har fundet sted. Så derfor vil mine forudsigelser være lige så meget baseret på hændelser i 2020 som alle mulige andres. Jeg har blot en cybervinkel på, som forhåbentligt kan gøre dig lidt klogere på den verden, vi befinder sig i.
Her er mine forudsigelser.
Onlinehandel vil forblive på højt niveau eller stige – dog afhængig af den økonomiske aktivitet
Cyberkriminaliteten vil følge aktiviteten. Det betyder, at cyberkriminelle for eksempel vil iværksætte DDOS-angreb og afkræve beskyttelsespenge for at lade onlineforretninger være i fred.
Svindel og andre angreb mod onlinebutikker vil også stige, eksempelvis ransomwareangreb med trusler om publicering af kompromitterede oplysninger. Det betyder, at backup ikke er nok. Og når de store fisk er fanget, bliver de små mere udsatte.
Hjemmearbejdsintensiteten vil sandsynligvis forblive på et højt niveau, selv om vaccinerne udbredes
Denne situation øger risikoen for, at medarbejdere bliver ubevidste insidere, eftersom disciplinen om håndtering af informationer – hygiejnen – kan være dårligere på hjemmekontoret, end den er på arbejdspladsen.
Har du eksempelvis en clean desk-politik derhjemme? Bruger du din arbejdspc eller din egen? Har din arbejdsplads en politik for sikkerheden ved hjemmearbejde, som du kender? Printer du kundesager ud på hjemmekontoret, og bruger du anviste tjenester til eksempelvis fildeling eller finder du dine egne osv.?
Jeg kan kun anbefale, at du ser på tallene i rapporten Danskernes informationssikkerhed, som vi publicerede i sidste uge, og kigger kritisk på din egen situation. Hvad ville du selv have svaret på spørgsmål om hjemmearbejde, informationssikkerhedspolitik, retningslinjer, kodeord, fildelingstjenester og så videre? (Tal fra analysen er i øvrigt noget, jeg vender tilbage til i det nye år).
Phishingplagen fortsætter
Ifølge Center for cybersikkerhed er phishing involveret i 80 procent af alle cyberangreb, og 64 procent af danskerne har inden for det seneste års tid været udsat for phishingforsøg. Der er intet, der tyder på, at det ikke vil fortsætte, eftersom det er den nemmeste og billigste metode til at lokke personlige oplysninger ud af folk, eller få malware spredt.
Nyhedsstrøm = phishingstrøm
Selv om vi godt kunne bruge en pause i nyhedsstrømmen en gang i mellem, så vil den globale nyhedsstrøm fortsætte, og den vil blive udnyttet til kriminel aktivitet. Scammails med Black Friday som tema med det formål at lokke folk til at afgive personlige oplysninger bliver som en kølig brise på en varm sommerdag.
Benhård konkurrence
I 2020 begyndte en ransomwaregruppe af udstille gidseldata, og straks fulgte andre efter.
Nogle af grupperingerne annoncerede deres stop, andre annoncerede samarbejde og strategiske partnerskaber. I takt med at vi bliver dygtigere til at beskytte vores data, bliver konkurrencen på cyberkriminalitetsområdet hårdere og hårdere. Det vil betyde nogle gruppers fald, mens andre styrkes.
Specialisering af cyberdisciplinerne fortsætter
Jeg har tidligere beskrevet, hvordan cyberkriminaliteten er en stor markedsmuskel, der næres og styrkes af handel med data, som er fremskaffet på mere eller mindre lovlig vis.
Når konkurrencen bliver hårdere, betyder det også, at specialiseringen af de forskellige cyberkriminalitetsdiscipliner intensiveres. Dem, der er gode til henholdsvis telefon-, sms- og mailphishing bliver dygtigere til deres arbejdsområde, og prisen sættes derefter. Andre bliver dygtigere til at finde og udnytte sårbarheder, sælge dem (eller få hjælp til det).
Store cyberangreb bliver større og længerevarende
Vi har set mange angreb under coronakrisen, senest kompromitteringen af SolarWinds med Sunburst-malwaren.
Metoden med udsendelse af falske opdateringer med åbne bagdøre har været kendt længe, men successen vil inspirere andre grupper til at forsøge sig med samme metodik med flere kompromitteringer til følge.
På den positive side
Heldigvis er der også tegn i sol og måne på, at sikkerhedsmiljøet også stepper op.
Det generelle awarenessniveau hæves – kun to procent af de phishingramte danskere falder eksempelvis i fælden, arbejdspladsernes læringsindsatser styrker borgernes videns- og modstandskraft – og cybersikkerhedsprofessionelle bliver dygtigere til deres arbejde. Vi har i Danmark fået sat gang i den første kandidatuddannelse inden for cybersikkerhed, og andre aktører har fulgt trop. For eksempel har Forsikringsakademiet lavet en meget spændende Business Cybersecurity Ambassador-uddannelse, som begynder her i januar.
Det får vi helt sikkert mere af i 2021 – specialisering både i dybden og i bredden. Kompetenceopbygning er også et område, Cybersikkerhedsrådet lægger vægt på i arbejdet med den nye nationale cyber- og informationssikkerhedsstrategi.
Samtidig tror jeg, at ”Deception Technology” i højere grad vil vinde indpas.
Teknologien har tidligere været en legeplads for forskere og researchere, der har stillet ”honeypots” op for bl.a. at se, hvilken trafik honningkrukken kunne tiltrække. Denne metode vil blive udviklet og i højere grad blive brugt mainstream i virksomhederne mhp. at opdage og håndtere trusler, eksempelvis ved etablering af falske konti, falske informationsværdier og data, som cyberkriminelle kan bruge kræfter på at få adgang til og forsøge at afsætte, mens vi andre kan fortsætte vores arbejde uforstyrret.
I en verden af mange dårlige nyheder og tendenser, må vi håbe, at dette – og mange andre nye sikkerhedsteknologier og -metoder – vil vinde indpas.
Så kom jeg alligevel med en vild forudsigelse til sidst.
Jeg ønsker Computerworlds læsere glædelig jul og godt nytår.