Af Eskil Sørensen, 25/10/21
Center for cybersikkerhed har udgivet en undersøgelsesrapport om SolarWinds-sagen. Det var den sag, der fyldte overskrifter i alverdens techmedier omkring årsskiftet sidste år. Den handlede i korte træk om, at der blev gemt en bagdør – den såkaldte Sunburst – i it-managementsystemet Orion fra virksomheden SolarWinds. I forbindelse med softwareopdateringer blev op mod 18.000 organisationer verden over inficeret med malware. Angrebet er af den grund blevet betegnet som et af de mest omfangsrige supply chainangreb nogensinde.
Orion: En guldgrube
Rapporten fra CFCS viser, hvordan angrebet kunne finde sted, omfanget af det, skadevirkningen i Danmark, hvad CFCS gjorde i ugerne efter angrebet blev kendt og hvordan man kan undgå den slags fremover. Det er interessant læsning for mange parter.
For den videbegærlige, teknisk interesserede viser rapporten, hvordan supply chain-angrebet kunne finde sted, og hvorfor netop Solarwinds var valgt til denne type angreb. Årsagen var den ganske simple, at Orion-systemet bruges af mange højtprofilerede og interessante virksomheder, dels om at Orion-software ofte er ’konfigureret med omfattende administrative rettigheder’.
Administrative rettigheder er guld værd for kriminelle, for det giver adgang til stort set det hele i en organisation. Udsigten til mange administrative rettigheder til mange store virksomheder kan være en god ’return-of-investment’ for cyberkriminelle, selv om det kræver et stort arbejde.
Anbefalede indsatsområder
I rapporten gennemgås også, hvordan CFCS håndterede sagen i Danmark. Dels identificerede CFCS mere en 150 potentielle ofre, som blev kontaktet direkte og varslet. Dels blev der delt information med de decentrale cybersikkerhedsenheder (tele, finans, sundhed, søfart, transport og energi) og de virksomheder, som indgår i sensornetværket, ligesom der blev sendt varsler ud via massemedier. CFCS konkluderer dog, at der var begrænset skadevirkning i Danmark, men også mangler i forsvaret.
På baggrund af analysen af SolarWindssagen slutter CFCS rapporten af med at beskrive tre indsatsområder til beskyttelse af organisationens digitale forsvar: God logning, en testet plan for hændelseshåndtering og styrkelse af kontrollen med organisationens leverandører.
Logning, så kan se hvad der er sket og lukker huller, inden en ulykke kommer ud af kontrol. Plan for hændelseshåndtering, så man ved hvad man skal gøre i en hændelses- og beredskabssituation. Styrkelse af kontrollen med leverandørerne, så man bl.a. har øje for om leverandørens informationssikkerhed er god nok til ift. til egen informationssikkerhed. Altså en risikovurdering.
Rapporten er publiceret på Center for cybersikkerheds hjemmeside.
Links:
https://cfcs.dk/da/cybertruslen/rapporter/solarwinds/
https://cfcs.dk/globalassets/cfcs/dokumenter/rapporter/cfcs-rapport-solarwinds.pdf