• Digitalt
Blogg:

Digitale trusler, utfordringer og løsninger

31. mai 2018

Brekkjernet har aldri vært sett på som trusselen – det er bare et verktøy. En person med brekkjern i hånda, luskende rundt stedet hvor vi oppbevarer gullbarrene våre, vil vi derimot raskt identifisere som en potensiell trussel.

Risikoforståelsen er basert på empiri, og det er helt naturlig at vi forstår den fysiske verdenen mer intuitivt enn den logiske. Dette fører i mange tilfeller til et gap mellom oppfattet risiko og faktisk risiko. Stadig større digitale verdier står på spill. Vi blander verdener ved å alltid være tilgjengelige. Vi er private på jobb og jobber på privaten. Vi lagrer mer og mer data. Økonomiske transaksjoner, kommunikasjon med kunder og leverandører, styring av industriprosesser og kritisk infrastruktur, behandling av personopplysninger og annen sensitiv informasjon – alt dette skjer digitalt. Alt skal være tilgjengelig – helst også bekvemmelig. Vi kan ikke akseptere gapet mellom oppfattet og faktisk risiko i en verden som blir stadig mer digital.

I BDO benytter vi «trefaktormodellen» for å illustrere risiko og faktorene som virker inn. For å vurdere risiko trenger vi kunnskap om verdiene, truslene og sårbarhetene. Dersom vi mangler kunnskap om en av faktorene, er vi nødt til å la usikkerheten komme til uttrykk for å unngå selvbedrag.

Verdier

Vi hører altfor ofte at virksomhetsledere hevder at de ikke har verdier – selv etter at det er bragt på det rene at virksomheten har blitt utsatt for digital spionasje. Ofte kan det virke som verdibegrepet hos de fleste reflekterer utelukkende økonomiske verdier. Dette er åpenbart ikke riktig. På engelsk snakker man om «assets». La oss kalle det «ting» i mangel av et bedre ord. Til tingen kan vi knytte en verdi. Denne øvelsen kalles verdivurdering, og kan være en ren formalitet, eller en tilnærmet umulig oppgave. Verdien av en gullbarre er enkel å fastslå. Verdien av informasjonen lagret på en harddisk kan være enormt mye større, og ikke minst vanskelig å anslå.

Det kan være enkelt å finne ut hva produksjonsstans koster per dag, men hvordan setter man en prislapp på omdømmetap? Hva med neste gang, og tredje gang? Noen virksomheter vil ha vanskeligere for å takle et omdømmetap enn andre, og kan ha bedre forutsetning for å beregne kostnaden av tapet. Uansett hvilken «ting» man vurderer, er det viktig å ikke undervurdere verdien. Stor usikkerhet bør som oftest trekke i retning av større verdi.

Eksempler på verdier («ting») med digitale grensesnitt som må vurderes opp mot behov for beskyttelse inkluderer omdømme, operativ evne, personopplysninger, kundedata, know-how, produksjonsmetoder, markedsstrategier, forskning og utvikling, kontraktsforhandlinger, konkurransefortrinn, sikkerhetsgradert informasjon, informasjon om kritisk infrastruktur, relasjoner til andre virksomheter med verdi, produksjonssystemer, kommunikasjonsløsninger, websider, sosiale medier, kundedatabaser, saksbehandlingssystemer og finansielle verdier – for å nevne noen. Har din virksomhet verdier?

Sårbarheter

Når du velger rom for oppbevaring av gullbarrene dine, forstår du intuitivt at det er en god idé å sørge for at gullbarrene ikke er synlige for forbipasserende. Videre forstår du at lettveggen må forsterkes, døren må være solid og ha bakkantbeslag, og låsen kan med fordel byttes ut med en hakereilelås. Kanskje ønsker du å få alarm hvis noen tar seg inn i rommet, og kanskje ønsker du å overvåke rommet for å kunne verifisere eventuelle alarmer. Rommets sårbarheter er åpenbare for deg, og svarer ikke til din appetitt for risiko og verdien du planlegger å lagre.

Hvordan står det til med de digitale verdiene du har identifisert? Hva vet du om sårbarhetene som omgir dem? Hvis infrastrukturen din, som de fleste andres, er basert på Microsoft Windows, er ikke sikkerhetsoppdateringer et ukjent fenomen for deg. Kanskje har du systemer som sikrer regelmessige og automatiske oppdateringer. Da er du nok også kjent med begrepet «Microsoft Patch Tuesday» – den andre tirsdagen i hver måned – når Microsoft utgir de siste sikkerhetsoppdateringene sine. Mange har opplevd å våkne opp til et kaos av kritiske sikkerhetsoppdateringer denne tirsdagen. Kvelden i forveien kunne man selvbedragersk slå seg på brystet og si «jeg er fullpatchet, jeg er sikker». Selvbedraget svinner hen mens man jobber på spreng for å på nytt lukke sårbarheter og sikre verdiene.

Den nakne sannheten er at du ikke ble sårbar over natten. Du var faktisk sårbar i lang tid. Sårbarhetens livssyklus er ikke åpenbar og fordrer en nærmere forklaring.

Det starter med at en trusselaktør med motivasjon og kapasitet leter etter programvaresårbarheter som kan utnyttes til å få kjørt skadevare på offerets datamaskin. Når en egnet sårbarhet blir funnet, starter arbeidet med utvikling av programkode som tillater praktisk utnytting av sårbarheten. Deretter vil trusselaktøren utnytte sårbarheten i angrep mot sine mål. Avhengig av hvordan trusselaktøren gjennomfører sine operasjoner, kan utnyttelse av sårbarheten passere under radaren i lang tid. Når en sikkerhetsanalytiker omsider oppdager aktiviteten, og forstår at det dreier seg om utnyttelse av en ukjent sårbarhet, rapporterer han funnet til produsenten av programvaren.

Programvareprodusenten gjennomgår deretter rapporten og verifiserer funnet. Arbeidet med å oppdatere programvaren starter.

Programvareoppdateringen gjennomgår testing for å sikre at endringen faktisk tetter sikkerhetshullet, og at oppdateringen ikke har bivirkninger som kan skape problemer for kundene deres. Etter at testingen er fullført, tilgjengeliggjøres oppdateringen i tråd med programvareprodusentens rutiner og oppdateringssyklus. Endelig er det din tur – du har blitt gjort kjent med sårbarheten, og sørger for å installere oppdateringen uten opphold.

Sårbarhetens livssyklus kan strekke seg fra uker til måneder og år. Dette forteller oss at det er stor usikkerhet knyttet til digitale sårbarheter. Anti-virus og andre kontrolltiltak som skal redusere sårbarhetene, gjenspeiler i stor grad den samme syklusen og usikkerheten. Vi har simpelthen ikke mulighet til å vite sikkert hva status til enhver tid er.

Trusler

Vi må spole tilbake til innledningen. Vi er enige om at brekkjernet ikke utgjør noen trussel, og at det er personen med brekkjern vi ønsker å sikre verdiene mot. I den fysiske verden har vi en fordel av at vi i mange tilfeller vet hvor og hvordan trusselaktør vil slå til. Vi kan til og med ha en klar formening om hvem trusselaktøren er og hvilke ressurser det er sannsynlig at denne har til rådighet.

I det digitale lendet er usikkerheten ofte mye større. Trusselaktører kan befinne seg hvor som helst, og fortsatt nå oss. De kan tilsynelatende utgi seg for å være hvem som helst, og i en digital verden full av sårbarheter, kan de på Matrix-lignende vis bryte og bøye sikkerhetsbarrierer og tilegne seg informasjonsverdier. De er motiverte og har ressurser. De velger selv tid og sted, og har et langtidsperspektiv for å nå målene sine. Det er derfor åpenbart at det er knyttet stor usikkerhet til trusselfaktoren så vel som sårbarhetsfaktoren.

På tide å gi opp?

Nei da, vi skal selvsagt ikke gi opp. Det er på tide å stoppe selvbedraget, sørge for å bedre informasjonstilfanget og situasjonsforståelsen, og å gjennomføre kontinuerlige og gode risikovurderinger.

Du må kjenne verdiene dine – ikke bare slik de fremstår for deg, men også for andre. Videre må du erkjenne at du selv kan representere verdi ved at du kan brukes som inngangsport til andre. Du må forstå at du har sårbarheter, og finne ut hvordan du på best mulig måte kan redusere dem. Du må utforme klare kriterier for hvilken restrisiko du er villig til å akseptere. Du må forstå at smarte angripere krever smarte forsvarere.

100% sikkerhet finnes ikke. Du trenger synlighet for å skape situasjonsforståelse og oppdage når noe trenger igjennom sikkerhetsbarrierene i systemene dine. Det er først når du oppdager trusselaktøren at du kan starte håndteringen, kaste ham ut, og begrense verditapet.

BDO CERT tilbyr operative IT-sikkerhetstjenester innenfor BDOs tjenesteområde sikkerhet og beredskap sin helhetlige tankegang. Det betyr at vi leverer mer enn bare deteksjon av dataangrep og hendelseshåndtering av disse. Våre sikkerhetsanalytikere jobber kontinuerlig med informasjonsinnsamling og etterretning for å sikre kundenes digitale verdier. Disse aktivitetene bidrar til tidlig varsling, hendelseshåndtering basert på god situasjonsforståelse og konkrete forslag til konkrete tiltak – når kunden trenger det.

Samtidig sikrer våre strategiske analytikere at den tekniske informasjonen foredles og løftes opp til et nivå som sikrer ledelsen og styret informasjonsgrunnlag og beslutningsstøtte. Det er tross alt disse beslutningstagernes arbeid i dag som styrer informasjonssikkerheten i mange år fremover.

Ønsker du å bestille publikasjonen Innsikt: Sikkerhet og beredskap? Send en e-post til marked@bdo.no