Vårt delingshjørne
Kristin
Bjerke
8. februar 2023
Jeg er i utgangspunktet en teknisk oppegående person. Jeg har vært prosjektleder for systemutviklingsprosjekter i mange år og jeg har en teknisk bakgrunn som elkraftingeniør. Men likevel har jeg aldri egentlig forstått IT-sikkerhet.
Jeg har vært borti IT-sikkerhet – absolutt. Gjennom folk som har krevd bitlocker på PCen min, personer som har pushet på meg sikkerhetsoppdateringer, og folk som har krevd at jeg bruker 2-faktor innlogging.. altså, ikke bare ett passord, men to. Et som gjerne er generert av en app eller som kommer på SMS. Jeg har hørt om hackerangrep, men jeg har aldri vært i en situasjon hvor det har skjedd med et system som jeg har vært ansvarlig for, eller i en organisasjon jeg selv har jobbet i, eller blitt hacket selv, for den saks skyld.
Hvorfor er det så vanskelig å forstå hva IT-sikkerhet er og handler om? Kanskje fordi noen vanlig dødelige aldri har satt seg ned for å prøve og forklare det, etter å ha slitt i lang tid med å forstå det selv?
Det er nettopp det jeg skal prøve meg på nå. Det skal jeg gjøre ved å besvare følgende spørsmål:
Hva er egentlig hacking?
Hva burde man være redd for?
Hvem blir utsatt for hackere og hvorfor?
Hva kan man gjøre med det?
Hva er egentlig hacking?
Kort forklart er hacking at noen prøver å bryte seg inn i IT-systemene dine. Det er flere måter man kan gjøre det på.
Du kan prøve å komme deg inn utenfra – da går du rundt huset for å se om det er noen åpne dører eller vinduer. Eller så bryter du deg inn med litt kraft.
Du har skaffet deg en nøkkel, låser opp og går inn.
I husanalogien så er jo disse tingene ganske åpenbare – du reiser ikke fra huset ditt med dører og vinduer åpne, og du unngår å gi bort nøklene dine til fremmede.
I IT-verden er imidlertid disse tingene mindre åpenbare, og det er vel det som gjør at IT-sikkerhet føles så vanskelig å forstå.
For det første har du ikke noe fysisk sanntidsbilde av hvordan «IT-huset» ditt ser ut – om du har husket å låse dører og vinduer, eller for så vidt glemt å lukke en vegg underveis i byggingen. I tillegg skjer det ofte endringer i IT-huset – av og til ukentlig eller månedlig. Endringer som kan ha konsekvenser for om nye vinduer og dører åpner seg. I tillegg så kommer det hele tiden nye måter å finne åpninger inn i IT-huset, som gjør at åpninger som man ikke kunne vært klare over før, plutselig oppstår. – Du har plutselig et gapende hull i veggen på stua.
Penetrasjonstesting hjelper selskaper å få kartlagt bildet av hvordan «IT-huset» egentlig ser ut. Men det skal jeg skrive mer om til slutt.
Hva burde man være redd for?
Ok, så da vet vi omtrent hva hacking er. Noen bryter seg altså inn. Hva så? Hva kan skje da?
Når man har innbrudd i huset sitt, så kan ting bli stjålet. Jeg har inntrykk av at de fleste skjønner det, også når det kommer til IT. Hvis man blir hacket så kan ting bli stjålet. Kundelister, persondata, verdisaker som oppskrifter, forretningshemmeligheter og annen informasjon som ikke burde komme i hendene på andre.
For noen selskaper vil dette absolutt være krise. Noen selskaper er til og med lovpålagte å sørge for at informasjon de sitter på ikke blir eksponert. Dette gjelder særlig sensitive data som persondata eller sikkerhetsgradert informasjon. Det finnes også selskaper som sitter på veldig hemmelige forretningshemmeligheter, som oppskrifter, formler og annet, som det ville vært krise om ble kjent for andre.
NOEN SELSKAPER ER TIL OG MED LOVPÅLAGTE Å SØRGE FOR AT INFORMASJON DE SITTER PÅ IKKE BLIR EKSPONERT.
De fleste bedrifter faller imidlertid ikke inn under den nettopp nevnte kategorien. For veldig mange selskaper går det greit om informasjon blir stjålet. Det er kjipt, men det går greit.
Men i motsetning til i innbrudd i hus, så er ikke de fleste ute etter å stjele tingene dine når de hacker deg. I økende grad er de interessert i å ta huset ditt og tingene dine som gisler, og dermed få deg til å betale for å du skal få huset tilbake. Det er det som kalles som «Ransomeware angrep» eller et «Løsepengeangrep».
Da har de som oftest brutt seg inn i huset ditt for ganske lenge siden. Du har vært hjemme, sett TV, lekt med barna, mens noen i bakgrunnen har tatt kontroll over huset. Etter noen uker, mens du aner fred og ingen fare gjør de en kontrollert nedstengning av hele greia, og kanskje har de også slettet alt du har av sikkerhetskopier. Plutselig kommer du deg ikke inn i huset ditt mer, nøkkelen din funker ikke, vinduene er forseglet og du står på utsiden. Da sier de – «betale meg $1 000 000 og ikke anmeld oss, så skal vi gi deg kontrollen tilbake». «Anmelder du oss koster det $5 000 000 å få kontrollen tilbake.»
DETTE er derimot en veldig mye verre situasjon for mange selskaper. Å miste totalt kontrollen over IT-systemene sine. For veldig mange betyr det at de ikke greier å utføre de daglige oppgavene som selskapet må utføre for å være produktive. Produksjon stopper opp, logistikk stopper opp, man får ikke sett avtaler man har, man får ikke tilgang på informasjon om kundene sine, og man får ikke tilgang på helt standard funksjonalitet som e-post og teamsmøter.
I dagens samfunn, hvor tilnærmet all kommunikasjon foregår elektronisk og alle er avhengige av IT-systemene sine, er dette på mange måter den ultimate krisesituasjonen for mange selskaper.
Men det er en ting til som KAN skje når noen bryter seg inn i IT-huset ditt. Det er nok mindre vanlig enn både å stjele informasjonen, eller å ta huset ditt som gissel, men for noen selskaper så kan det være krise.
Hackerne, eller innbruddstyvene som vi har kalt dem, kan nemlig også endre ting i huset ditt. Kanskje du har et medisinbrett som hjemmehjelpen kommer med og putter riktig medisindose i – da kan innbruddstyven bytte om i medisinbrettet, øke dosen eller kaste viktig medisin i søpla. De kan koble fra kaldtvannet sånn at det bare kommer glovarmt vann fra springen.
Slike angrep er ofte mer ondsinnede og ute etter å ødelegge helt spesifikt for noen. Det er skumlere med tanke på krigføring. Du vil ikke at en ondsinnet hackergruppe skal kunne styre hva drikkevannet inneholder. Du vil ikke at en ondsinnet hackergruppe skal ta over kontrollen av kjernekraftverket ditt og så videre.
Dette er noe det er greit å vite om – men det er nok ikke det de fleste norske selskaper trenger å være mest redde for.
Hvem blir utsatt for hacking og hvorfor?
Vi har vært inne på hva man burde være litt redd for, som selskap. Hva som egentlig kan skje. Men hvem skjer det egentlig med?
Svaret her er litt kjipt. Svaret er at det egentlig er ganske tilfeldig.
Det er gode penger å tjene på hackerangrep, dessverre. Det gjør at hackere kontinuerlig skanner etter sårbarheter på internett. Altså, nabolaget der «IT-huset» ditt er. Veggene til IT-huset ditt står nemlig i internett. Og der skanner hackere kontinuerlig etter hull.
MEN, de gjør en ting til – de fisker etter nøkkelen også! Det er det som kalles «Phishing». De sender ut e-poster, SMSer og av til ringer de også, for å prøve å få folk til å gi fra seg nøkkelen.
Nøkkelen til IT-huset ditt er brukernavn og passord.
Av og til trenger de imidlertid ikke å prøve å lure ut av folk brukernavn og passord, fordi de greier å gjette det! Fordi folk har passord som «passord», «12345678», «Sommer22», eller vanlige ord som man lett kan finne i ordboka. Da kjører man bare mailadressen og gjetter på noen millioner standard passord, og vipps så er man inne i huset.
Dette er grunnen til at alle maser om sikre passord! Og dette er grunnen til at mange vil du skal ha to. Da har du en ytterdør med to låser, én for nøkkelen, og en du må åpne med mobilen.
Noen har det altså som jobben sin å skanne etter sikkerhetshull, og å fiske etter brukernavn og passord. Så selger de pakker med tilgang til sårbare IT-hus.
De selger disse pakkene med tilganger til hackere, som vil prøve å tjene enda mere penger på å ta kontroll over systemer, stenge dem ned, og kanskje tjene nok på løsepenger til å bli rike.
Det gjør at mange hackerangrep er ganske tilfeldige. Ingen var «ute etter akkurat ditt selskap». Ingen tenkte spesielt at de skulle ta deg, men du hadde hull i IT-hus-veggene dine, eller du hadde kollegaer som fikk brukernavn og passordet sitt «fisket», eller så hadde dere brukernavn og passord som var alt for enkle å gjette.
DE SELGER DISSE PAKKENE MED TILGANGER TIL HACKERE, SOM VIL PRØVE Å TJENE ENDA MERE PENGER PÅ Å TA KONTROLL OVER SYSTEMER, STENGE DEM NED, OG KANSKJE TJENE NOK PÅ LØSEPENGER TIL Å BLI RIKE.
Hva kan man gjøre med det?
Det korte og enkle svaret er rett og slett å gjøre en jobb for å sikre at du har kontroll på at IT-huset ditt har lukkede vegger, vinduer og dører.
Det kan være en enkel jobb, om du har bygget IT-huset ditt på en god måte, og en vanskelig jobb, om du har bygget IT-huset ditt på en dårlig måte.
I bunn og grunn kan det være lurt å ta en sjekk – og det er det vi kaller en sikkerhetstest eller penetrasjonstest.
Da skaffer du deg et sanntidsbilde av hvordan IT-huset ditt ser ut utenfra. Du skaffer deg oversikt over hvor innbruddstyver kan komme inn, og hva de da får tilgang på. Og du får anbefalinger om hvordan man lukker de hullene som er funnet.
I tillegg kan det vært lurt å gi folk trening i å ikke gi fra seg nøklene sine – altså gjennomføre «phishingtester» i organisasjonen din. Når man gjennomfører phishingtester utsettes de ansatte for flere «liksom angrep» for å se om de gir fra seg brukernavn og passord. Dette er ikke for å henge ut de som feiler på testen, men det er en god måte å gi praktisk opplæring til de ansatte i et selskap, og gjøre de mer forberedte på phishingangrep utenfra om det skulle komme.
Hvordan påvirkes virksomheten din?