Digital utpressing for virksomhetsledere
Nasjonal sikkerhetsmyndighet (NSM) ser ofte at norske virksomheter blir utsatt for digital utpressing (løsepengeangrep). Konsekvensene kan bli store og alvorlige for virksomheten. Slike konsekvenser kan ofte reduseres, og i mange tilfeller også forhindres, dersom virksomheten gjør de riktige grepene på forhånd.
Denne artikkelen er spesielt rettet mot virksomhetsledere og ikke-teknologer.
Hva er konsekvensene for virksomheten med slike angrep?
NSM observerer mange virksomheter som blir rammet av slike angrep. Dette kan skade mange av virksomhetens forretningsprosesser. Det er potensielt en rekke ulike konsekvenser for en virksomhet ved slike dataangrep:
-
Virksomheten mister adgang til sine data, sine maskiner og sine tjenester.
-
Sensitive data som dokumenter, e-poster, databaser, mm. blir stjålet og a) solgt til andre kriminelle, b) lekket til mediene, c)publisert for alle på nett, d) brukt av konkurrenter, eller e) brukt av etterretningstjenester. I de tilfeller det dreier seg om at personopplysninger blir kompromittert, kan virksomheten risikere gebyrer på 4% av virksomhetens globale omsetningen (GDPR). Man kan også risikere å miste kundenes/innbyggernes tillit.
-
Man kan ikke lenger stole på eget datautstyr, og ender opp med å måtte kaste kostbart utstyr, og anskaffe nytt. I en tid med globale leveranseutfordringer kan dette ta tid.
Enkelte virksomheter har gått konkurs som følge av første punkt. De fleste andre rammede virksomheter har brukt svært lang tid på å komme tilbake til normaltilstanden. Det viser seg i de fleste tilfeller at det tar mye lengre tid enn man trodde på forhånd, og man måtte bruke store summer på det.
Et slikt angrep kan ramme mer enn bare en enkelt virksomhet; det kan få skadefølger for underleverandører, kunder, en samfunnssektor eller i verste fall hele nasjonen. Virksomheten kan risikere å bli stilt helt eller delvis ansvarlig for skade på andre virksomheter.
Eksempelvis har kritiske kraftleveranser i andre land blitt sabotert. Det er ikke umulig at dette også kan skje i Norge.
Ledere bør vurdere om
-
hvor lenge virksomheten kan virke uten tilgang til sine data.
-
virksomheten tåler at data kompromitteres til uvedkommende eller offentligheten.
-
man i det hele tatt klarer å gjenopprette virksomhetens systemer. Kompleksiteten er som regel mye større enn man er forberedt på.
Hva er digital utpressing (løsepengeangrep)?
Digital utpressing utføres med en variant av ondartet programvare som benyttes av en angriper med et bestemt formål. Angripers formål er som oftest å hindre virksomheten i å bruke sitt eget IT-system, slik at virksomheten presses til å betale angriperen for å komme seg ut av situasjonen. Det gjøres som oftest ved å låse/kryptere tilgangen til virksomhetens filer. Det kan også komme trusler om å publisere virksomhetens sensitive dokumenter og annen data hvis virksomheten ikke betaler.
En viktig forskjell på digital utpressing og andre varianter av ondartet programvare er at en angriper som utfører digital utpressing før eller senere «informerer» virksomheten om sin tilstedeværelse i virksomheten system, med sitt utpressingskrav. Annen ondartet programvare (for eksempel i forbindelse med digital spionasje eller digital sabotasje) vil kunne ligge uoppdaget i virksomheten system i årevis. Det er verdt å merke seg at sikkerhetstiltak mot digital utpressing også motvirker for eksempel digital spionasje.
Hvordan starter slike angrep vanligvis?
Ondartet programvare kommer ofte til virksomhetene via e-poster som forsøker å lure mottageren til å aktivere ondartet innhold i vedlegg, dokumenter eller web-lenker.
Den andre hovedveien inn, er at angriper logger seg inn i virksomhetens systemer med en gyldig brukerkonto til en av virksomhetens tjenester eller til en av de ansattes datamaskiner. Dette er mulig fordi mange virksomheter lar tjenestene og datamaskinene sine være åpent tilgjengelig fra internett, altså uten nettverksbeskyttelse. Dette kombineres dessverre ofte med en annen sårbarhet, nemlig at det er for lett å gjette passordet til en gyldig brukerkonto, kanskje til og med en brukerkonto som benyttes til drift av systemet. Slik gjetting av passord blir ekstra lett hvis ansatte har brukt samme passord på jobben som på kompromitterte internett-tjenester brukt i privatlivet (forekommer i stort omfang).
Hvordan bør en virksomhet forberede seg?
Digital sikkerhet er et viktig topplederansvar, for konsekvensene ved et dataangrep kan bli alvorlige for virksomheten. Som et minimum bør virksomhetsledere
-
initiere en kartlegging av hvilke konsekvenser digital utpressing kan ha for virksomheten og da spesielt for virksomhetens viktigste verdier og tjenester.
-
tydelig vise organisasjonen at de er opptatt av sikkerhet med sin interne kommunikasjon, og bør selv gå frem som gode eksempler.
-
bestille en plan for hvordan virksomheten skal beskytte og forberede seg mot digital utpressing og andre dataangrep.
-
måle virksomheten på gjennomføring av planene, herunder at planlagte sikkerhetstiltak blir iverksatt.
Det er krevende å sikre seg helt mot slike dataangrep. Det er ikke nok med ett enkelt sikkerhetstiltak. Man bør ha flere lag med sikkerhetstiltak for å vanskeliggjøre oppgaven til angriperne. Da øker virksomheten sin egen motstandsevne og robusthet, og man hindrer eller reduserer konsekvensene av slike angrep. NSM har gitt ut en liste med anbefalte tiltak mot skadevare og digital utpressing. I tillegg har «NSMs Grunnprinsipper for IKT-sikkerhet» mange råd som hjelper mot slike dataangrep.