Det har blitt altfor enkelt å gjøre datainnbrudd
20. mars 2019
Hydro ble natt til 19. mars rammet av et lammende dataangrep, som påvirket driften på flere av deres anlegg rundt omkring i verden. Dataangrep av denne typen kan medføre betydelige tap for enhver type virksomhet.
Både store virksomheter som Hydro, og mindre virksomheter, opplever jevnlig denne type angrep. Nedetid på driftskritiske IT-systemer, tapte salgsinntekter, informasjons- og omdømmetap, så vel som kostnader knyttet til feilsøking og gjenoppretting, er en tung økonomisk belastning for virksomhetene som opplever slike angrep.
Mange norske virksomheter vet ikke hvor sårbare de er for datainnbrudd. Vår erfaring i BDO er at det er lettere å bryte seg inn, enn de fleste virksomheter klar over. Mange tenker også at de ikke sitter på sensitiv informasjon som andre er interessert i, så hvorfor skulle noen bry seg med å hacke dem?
Utilgjengelige datasystemer
Datainnbruddet hos Hydro forteller om en annen risiko, nemlig at datasystemene blir utilgjengelige. Etterhvert som samfunnet digitaliseres, vil det å gå over til manuelle rutiner for mange virksomheter ikke være mulig, da de er helt avhengig av datasystemene for at hjulene skal gå rundt.
Vi ser at datainnbrudd dessverre har blitt altfor enkelt å gjennomføre. BDO har et eget team med profesjonelle hackere som ofte blir engasjert for å sikkerhetsteste våre kunder ved å utføre datainnbrudd i kontrollerte former. Når vi kan bryte oss inn hos norske banker, sykehus og kraftselskap, er det lett å forstå at vanlige småbedrifter med mindre tekniske ressurser kan være sårbare. Dette ser vi med all tydelighet i vårt daglige virke.
Datainnbrudd kan komme uventede veier
De siste par årene har vi sett at flere virksomheter blir utsatt for målrettet nettfiske. De kriminelle kan sette opp en falsk side for innlogging til hjemmekontor og lure medarbeidere til å gi fra seg både brukernavn, passord og engangskode. Når de kriminelle oppnår fjerntilgang er det ofte kort vei til å hente ut sensitiv informasjon eller spre løsepengevirus til interne systemer. Dessverre finner vi ganske ofte at virksomheten ikke har beskyttet privilegerte brukerkontoer godt nok, samtidig som manglende nettverkssegmentering gjør det enkelt å oppnå systemtilgang på sentrale servere og virtuell infrastruktur.
En annen mye benyttet angrepsvektor, er å utnytte sårbarheter i virksomhetens tjenester på Internett. Når vi sikkerhetstester virksomheter har vi for eksempel funnet driftsgrensesnitt for ventilasjonsanlegg, og utnyttet dette til å bryte oss inn i virksomhetens interne nettverk. Dette er ofte systemer som er dårlig sikret fra leverandørens side slik at de både kan nås fra Internett og er koblet direkte på virksomhetens lokale IT-system. Det betyr at vi først kan bryte oss inn i ventilasjonssystemet fra Internett for så å gå videre derfra til alt annet som er koblet på nett i et åpent IT-system uten sperrer. De er det dessverre mange av. Vi ser i økende grad at denne type IoT-enheter brukes i dataangrep.
Generelle råd for beskyttelse mot løsepengevirus/ransomware
- Regelmessig sårbarhetsskanning fra Internett hjelper til å finne sikkerhetshullene før de kriminelle finner dem.
- Etabler sikkerhetsovervåking FØR hendelser inntreffer.
- Gjennomfør nettfiskeøvelser for å øke bevisstheten rundt datainnbrudd, og tren ansatte i å gjenkjenne og rapportere angrepsforsøk og vellykkede angrep.
- Gå til anskaffelse av en endepunktsløsning som beskytter mot nye former for skadevare. Gratis antivirus er ikke nok.
- Sørg for at kritisk informasjon og systemer blir sikkerhetskopiert jevnlig.
- Test at gjenoppretting av data fra sikkerhetskopier fungerer.
- Begrens brukerrettigheter og blokker kjøring av uautorisert programvare.
- Sørg for å ha gode oppdateringsrutiner.
- Sørg for å ha oppdaterte signaturfiler fra antivirus-leverandør, og sørg for at antivirus-løsningen er operativ.
- Blokker e-poster som har vedlagt kjørbare filer (.exe).
- Blokker e-poster med Office-dokumenter som inneholder makroer og kommer fra ukjente avsendere.
- Sørg for at e-poster med filer som har spesielle filendinger rutes/åpnes i en applikasjon som ikke kjører filen (f. eks. Notepad i Windows).
- Lær opp ansatte og eksterne brukere til å være oppmerksomme på mistenkelige e-poster og nettsider.
Råd til virksomheter som har blitt rammet av løsepengevirus/ransomware
- Få god oversikt over situasjonen og hvilke systemer/maskiner som er rammet.
- Isoler berørte systemer/maskiner for å hindre at filområder krypteres. Enkelte løsepengevirus har også egenspredningsevne, som gjør at skadevaren spres automatisk til flere maskiner. Det er derfor viktig å koble berørte maskiner fra nettverket.
- Begrens tilgang til felles filområder for å forhindre kryptering av filer lagret på disse områdene.
- Installer sikkerhetsoppdateringer på alle systemer som ikke er berørt av løsepengeviruset.
- Start opprydding og reinstallasjon av berørte systemer (eventuelt gjenoppretting fra en sikkerhetskopi før tidspunkt for kompromittering) så fort situasjonen er kartlagt. Husk sikkerhetsoppdateringer!
- Den generelle anbefalingen er å ikke betale løsepenger. Det er ingen garanti for at du får igjen filene dine.
Hvordan kan vi bistå?
- Ta gjerne kontakt dersom det skulle være noe du lurer på eller besøk våre nettsider her.
- Videre kan du også møte bloggforfatteren på Risikokonferansen 2019. Les mer og finn påmelding her.