Indbrud: Hvad tog de? Hvor lang tid var de her?

Det er hørt i it-sikkerhedsbranchen, at der kun eksisterer to typer af virksomheder: Dem, der er blevet hacket – og dem, der ikke ved, de er blevet hacket! Hvis du som virksomhed er på nettet, vil du blive ramt før eller siden. Perspektiv har talt med direktør i TDC Sikkerhed, Carsten Challet, om hvad kan man gøre, når skaden er sket!

Du kommer hjem fra en tur i byen og opdager, at der har været indbrud i dit hjem. Det første du giver dig til, er at tjekke, hvad der mangler. Du skynder dig at lede efter dine mest værdifulde genstande, og samtidig prøver du at få overblik over, hvordan tyvene kom ind, og hvad de har gjort. Dernæst kontakter du politiet, forsikringsselskabet og låsesmeden for at få hjælp. Politiet leder efter spor, forsikringsselskabet kigger på erstatning, låsesmeden udbedrer skaderne på døren. Og du prøver at tænke over, hvordan du fremover kan sikre dig bedre. Processen ved et it-indbrud eller hackerangreb bør ikke være anderledes.

”Et forsvar mod cyberkriminalitet kræver en god proces for sikringen af systemerne,” siger Carsten Challet. ”Dette handler ikke kun om at sikre, at hackerne eller spioner ikke kommer ind i systemerne. Vi ved i dag, at det blot er et spørgsmål om tid, før virksomhederne bliver ramt. Vi bør være forberedt på, at skaden vil ske, og være i stand til at reagere hensigtsmæssigt, for at mindske konsekvenserne ved kompromittering af følsomme oplysninger,” siger han.

Kig efter unormale mønstre!

Angreb mod it-systemer bliver mere og mere sofistikerede, og vi er derfor nødt til at være mere på vagt. ”Det største problem vi oplever i dag, er at virksomheder opdager angrebene for sent. I gamle dage så vi tydeligt, når hackere havde været på besøg, som ”digitale graffitimalere” på hjemmesider eller ”script kiddies”, som kopierede vira, men i dag er hackerne langt fra lige så tydelige. Du skal holde øje med, hvad der foregår rundt om og inde i ”dit hus”. Er der datatrafik, som ikke er normalt? I bund og grund handler det om at kigge efter unormal adfærd eller afvigende mønstre i netværket,” forklarer Carsten Challet fra TDC.

Læs også: Cyberkriminalitet fra teenagehacker til industrispion

På samme måde, som man går til værks efter et indbrud i huset, bør man tilgå arbejdet med it-sikkerhedsangreb. Når du er blevet bekendt med, at der har været ubudne gæster i netværket, starter politiarbejdet med efterforskning, forsikringsarbejdet med genetablering samt gennemgang af mulige forbedringer. I USA anslår FBI, at 40% af alle hjem og virksomheder har været udsat for cyberkriminalitet i forskellig størrelsesorden. Det værende hacking, DDoS-angreb, afpresning eller virus. Hvis det samme gjorde sig gældende i fysisk kriminalitet over for virksomheder og private, ville alle nok bedre forstå alvoren, og i mindre grad lukke øjnene for risikoen, mener Carsten Challet.

”Det er vigtigt for virksomheder, uanset størrelse, at tænke it-sikkerhed som ’før, under og efter’ et angreb. På it-siden kan man følge en beredskabsmodel, der sikrer et solidt it-sikkerhedssetup. Samtidig skal man huske at kommunikere med de relevante interessenter, som kan være påvirket af et it-angreb. Her tænker vi især på myndigheder, samarbejdspartnere og medarbejdere,” påpeger han.

Et solidt beredskab til it-sikkerhed

Det handler om at være forberedt og vide, hvordan du skal forholde dig i tilfælde af, at uheldet er ude. Men det handler også om at lære af udfordringerne og bygge videre på de opnåede erfaringer. Her er fem relevante indsatspunkter, der giver en god rettesnor for it-sikkerhedsberedskabet:

  1. Forhindre angreb og indtrængen

Eks. på indsats: Gennemgang af hvem, der har adgang til hvilke data på netværket. Gør brug af brugervalidering, så kun legitime brugere får adgang til netværket (passwordpolitik og to-faktor validering ved fjernadgang). Opdatér firewalls og gør brug af VPN, kryptering og MDM.

  1. Opdag angreb og indtrængen

Eks. på indsats: Kig på intrusion detection og log-løsninger, samt monitorering af indkommende og udgående IP-trafik. Kend normale mønstre for datatrafik og reagér ved unormal adfærd!

  1. Bekæmp angreb

Eks. på indsats: Skab mulighed for at isolere kompromitterede enheder og/eller brugere. Segmentér netværk, så der kan laves en logisk adskillelse mellem f.eks. servere/datacenter og brugere. Krypter data, så de er sikret mod misbrug i tilfælde af sikkerhedsbrud.

  1. Reetabler betroet tilstand

Eks. på indsats: Rens computere. Reetabler systemer evt. via backup og test. Valider setup, herunder servere, infrastruktur og trafikmønstre efter hændelsen.

  1. Analyse af hændelsen

Eks. på indsats: Indsaml data. Foretag loganalyser samt rapportering, inklusiv beskrivelse af hændelsesforløbet og konsekvenser. Udform procedure for håndtering og sikring af eventuelt bevismateriale. Og sidst, men ikke mindst: Foretag ændringer i infrastrukturen, baseret på de opnåede erfaringer fra hændelsen.

Beredskabet skal kunne favne mange processer i virksomheden, og ikke alene fokusere på teknologi. Et optimalt beredskab indgår i risikostyringen i virksomheden og der skal bl.a. ses på, hvordan risikovurderinger er forankret. Men den største faktor er alligevel medarbejderne, påpeger Carsten Challet fra TDC.

”Mennesker er det mest yndede mål for hackere, fordi folk stadig i stor stil bliver narret til at gøre ting, som at klikke på links og vedhæftninger. Et kraftigt led i it-sikkerhedsberedskabet er også hvordan vi sikrer, at den ”menneskelige firewall” er opdateret,” afslutter han

Se flere artikler
Der er ikke flere artikler. Se alle aktuelle temaer

Skriv en kommentar

Skriv dit navn og e-mail (e-mail vises ikke) eller log ind via en af dine sociale profiler. Vi bruger kun navn og billede til visning af din kommentar.