Digital sikkerhet er viktig, det vet alle, men veien til god sikkerhet kan være veldig kompleks. Det sies og skrives mye om sikkerhet av myndigheter, leverandører og mange flere, og man blir lettere stresset av mindre. «Å ska’n gjøra?». Det snakkes om rammeverk som NSMs «Grunnprinsipper for IKT sikkerhet», det finnes rammeverk fra ISO, CIS, NIST og enda flere. Alt dette er bra, men det er veldig ressurskrevende, og noe de færreste har sjans til å etterleve, og da står man der uten å kanskje komme av flekken.
Risikovurdering
Verdier, trusler og sårbarheter. Dette er grunnleggende for veldig mye i livet, for oss som mennesker i hverdagen når vi vurderer risiko relatert til brann, bilulykker, økonomisk ruin, hendelser i familien, osv osv. Vi er alle klar over verdiene, vi har en grei forståelse av truslene, og klarer som regel å identifisere sårbarhetene. Vi vet basert på erfaring en del om sannsynlighet og konsekvens. Basert på dette finner vi fornuftige tiltak, som å ha på vinterdekk om vinteren når det blir glatt, vi tegner forsikring i tilfelle huset skulle brenne, vi har gjeldsforsikring i tilfelle noe alvorlig skulle skje, vi er forsiktig med åpen ild i juletider sammen med alkohol, osv. osv.
Ekstrem rekord: Betalte over 800 millioner kroner i løsepenger
Så hva gjør man som leder på jobb når verdiene digitaliseres? Og ikke si at IT-avdelingen fikser det!
Verdier. Dette er nok klart for de aller fleste, det er gjerne de ansatte (først og fremst), det er kundene, det er kanskje eierne, det er produkter og tjenester.
Trusler. Dette vil være forskjellig for de forskjellige verdiene, naturligvis, men er som oftest håndterlige når det kommer til den fysiske og "forståelige” verden. Hva når verdiene er digitalisert? Hvilke ekstra trusler er mot de “håndfaste” verdiene når de er digitaliserte, og ikke si at IT-avdelingen fikser det, for det gjør de ikke. Det er ikke meningen å kaste IT avdelingen under bussen, men dette må handle om risikovurdering, og den skal ikke tillegges IT-avdelingen. Den aller største digitale trusselen er ransomware (utpressingsvare eller løsepengeangrep, red.anm.), det har det vært lenge, det er det nå, og ingenting tyder på at dette vil endre seg med det første. Jeg skriver mer utfyllende om dette lenger ned.
Sårbarheter. For å identifisere de digitale sårbarhetene knyttet til verdiene må man samarbeide på tvers av organisasjonen. Risikovurderingen eies av ledelsen, og kvaliteten på dette arbeidet bestemmes av sammensetningen av teamet.
Tiltak. Som i den fysiske og håndterlige verden vil tiltak være veien til lavere risiko for å redusere sannsynlighet og konsekvens.
Nå må toppledelsen begynne å bry seg om OT-cybersikkerhet
Ransomware, svaret på forenklet sikkerhet
For å forenkle arbeidet med sikkerhet må vi forenkle, og hvordan gjør vi det? La oss fokusere på noe mer konkret for å adressere dette på en skikkelig måte, og kanskje vi i tillegg får noen positive ringvirkninger.
Ransomware er ikke bare kryptering. Det norske ordet er utpressingsvirus, men i dag gjøres det forskjellige operasjoner som faller under begrepet «utpressing».
Ransomware er likevel svaret, da det er den klart største trusselen. I tillegg er denne trusselen alene veldig omfattende, og vil kreve mye arbeid å adressere. La oss bryte det opp for å forklare:
Del 1. Å komme seg inn i systemet. Bare her er det mange metoder de kriminelle kan bruke, som phishing, misbruk av sårbarheter på eksterne tjenester, innlogging på tjenester som ikke har MFA (flerfaktorautentisering, red.anm.)
Del 2. Bevegelse internt i systemer. Når de kriminelle har kommet seg inn starter neste del av arbeidet med å kartlegge og finne verdier. Disse verdiene vil variere fra angrep til angrep, men målet til de kriminelle er å sende denne informasjonen ut for å senere kunne utøve utpressing med trussel om å lekke dataene. Etter at kartlegging og lekkasje er tilstrekkelig vil kryptering av systemer typisk være neste steg. Denne prosessen vil gjerne ta tid i form av dager.
Del 3. Lekkasje av data og nedlasting av krypteringsprogramvare. Underveis i aktivitetene til de kriminelle vil de kommunisere ut fra deres nettverk for forskjellige oppgaver, både å åpne en permanent bakdør, sende ut verdifull informasjon og laste ned skadevare.
Del 4. Kryptering. Ofte er det her hendelsen oppdages, selv om aktiviteten har pågått i timer, dager, kanskje uker. Og nå starter det stressende og harde oppryddingsarbeidet.
Kommunen erkjenner svikt: Mobbesaker lå åpent tilgjengelig
Sårbarheter og tiltak, med positive ringvirkninger
Jobber man systematisk og strategisk med den største trusselen ransomware, vil man for det første ha mye arbeid med å kartlegge og innføre gode, permanente og i hovedsak proaktive tiltak, men man vil også få mange positive ringvirkninger. Ser man på andre trusler, som blant annet Enisa er veldig flinke til å belyse i sin årlige Threat Landscape rapport, vil man se at sårbarheten og tiltakene ofte er akkurat de samme.
Konklusjon. Ransomware treffer alle, små, store, private, offentlige, målrettet og tilfeldig.
Det vil bli en altfor stor artikkel å skulle skrive om alle typer sårbarheter og tiltak, og det vil i tillegg være ganske teknisk. Mitt mål med denne artikkelen er å forenkle arbeidet med sikkerhet, og bidra til at flere gode tiltak blir implementert, med ledelsen på laget. Dette handler om før, under og etter et angrep. Det handler om tekniske tiltak, prosedyrer og rutiner. Dette er sammensatt, men veldig målrettet!
Så start arbeidet med sikring mot ransomware. Det skjer alle, små, store, private, offentlige, målrettet og tilfeldig.
Fem råd for bedre leverandørsikkerhet