Beskytt virksomheten din mot digital utpressing
Av Sjefingeniør John Bothner. Denne kronikken sto først på trykk i Digi.no fredag 21. januar 2022
Nasjonal sikkerhetsmyndighet (NSM) opplever ofte at norske virksomheter blir utsatt for digital utpressing (løsepengeangrep). NSM har flere råd som norske virksomheter oppfordres til å ta bruk.
Et samfunnsproblem
Digital utpressing er dataangrep som har som formål å hindre virksomheten i å bruke sitt eget IT-system, slik at virksomheten presses til å betale angriperen for å komme seg ut av situasjonen. Det gjøres som oftest ved å låse/kryptere tilgangen til virksomhetens filer. Dette kan gi alvorlige konsekvenser for virksomhetens forretningsprosesser.
Digital utpressing øker stadig i omfang. NSM varsler regelmessig om at man må forvente slike angrep, ikke minst under tider med redusert beredskap som helger og høytider.
Alle norske virksomhet bør forbedrede seg på digital utpressing. Virksomhetsledere og styremedlemmer bør derfor forsikre seg om at virksomheten etablerer tilstrekkelig beredskap - og har øvelser - samt sikkerhetstiltak som kan fjerne eller redusere konsekvensene. Det siste går mye på det å fjerne grupper av sårbarheter.
Samme sårbarheter utnyttes i de fleste av angrepene
De fleste angrepene benytter de samme sårbarhetene som dessverre finnes i mange virksomheters systemer.
De vanligste generelle tekniske sårbarhetene er a) Manglende sikkerhetsoppdatering av programvare for sluttbrukermaskiner og servere. Særlig uheldig er det at mange fremdeles forsøker å utfører manuell oppdatering av servere. I dag vil nok risiko med å ikke være oppdatert raskt være større enn en tradisjonell bekymring for mulig ustabiliteter. Videre er b) passord for datamaskiner og tjenester alt for lette å gjette, c) tjenester (bl.a. epost-servere) har manglende nettverkssikkerhet mot internett (eller tjenesten har unødvendig internett-tilgang eller til og med er en unødvendig og glemt tjeneste) og det er d) manglende sikkerhetskonfigurasjon av maskiner og tjenester.
Ofte er det også svak systemovervåkning (og logging), som er et viktig grunnlag for teknisk beredskap.
Mange overfokuserer kanskje litt på det første punktet, og overser for lett andre typer og ofte mer alvorlige sårbarheter. Det er viktig å forstå bredden av grupper av sårbarheter. De fleste norske virksomheter har i større eller mindre grad sårbarheter, og kan derfor rammes av digital utpressing.
Tiltak for beskyttelse
Slike sårbarheter går igjen ofte i forbindelse med mange av de vellykkede dataangrep. Følgende tiltak er ofte en bra start.
For alle datamaskiner (sluttbrukermaskiner og servere) og tjenester bør man 1) aktivere automatisk sikkerhetsoppdatering av all programvare, slik at systemene slipper å vente på menneskelig intervensjon i en krise (ikke minst f.eks. epost-servere). Videre 2) må man avslutte bruk av enkle passord og migrere mot flerfaktor autentisering, bl.a. for driftskontoer. Alle datamaskiner må også 3) beskyttes bedre mot internett. Skal tjenester benyttes utenfor virksomhetens nett (f.eks. epost) så må man ta i bruk VPN eller gjerne mer moderne erstatninger. Til sist og ikke minst så 4) må man endre alle passord som fulgte med programvare- og maskinvare-produktene.
For spesielt sluttbrukermaskiner bør man som minimum 5) fjerne administrator-rettigheter til de fleste vanlige sluttbrukere (også eksterne brukere fra potensielt sårbare systemer), samt 6) få kontroll på mulighetene for ondartet programvare inne i dokumenter, bl.a. makroer – flere kosteffektive muligheter nevnes på NSMs webside.
For øvrig bør man 7) fase ut eldre IT-produkter som ikke lenger støttes med oppdateringer og som ofte mangler moderne sikkerhetsfunksjonalitet. Og så må man 8) ikke bare ta backup av data men helst også etablere evne til å gjenopprette både data og systemer. Sikkerhetskopier må og sikres mot angripers tilgang, disse angripes gjerne først.
Det er naturligvis mer man helst bør gjøre, men slike tiltak kunne ha stoppet, eller redusert konsekvensene av, mange slike angrep. Disse tiltakene er det ofte lurt å gripe tak i først.
Merk at noen av de nevnte tiltakene først og fremst krever omkonfigurasjon av eksisterende IT-produkter, samt forbedret styring av rettigheter og tilganger. Det er derfor ikke nødvendigvis alltid at forbedret sikkerhet må bli så dyrt. NSM mener at det absolutt går an å beskytte seg bedre mot slike og andre typer dataangrep. Men man bør forstå sine sårbarheter og dertil effektive mottiltak.
NSMs websider
NSM har nylig opprettet en samleside for å hjelpe norske virksomheter med å stoppe digital utpressing. Vi håper dette kan hjelpe flere virksomheter med å beskytte seg bedre. Det er ulike sider med informasjon for ulike roller i virksomhetene. Hovedartikkelen beskriver tilsammen over 40 tekniske tiltak primært rettet til sikkerhetseksperter, IKT-arkitekter og driftsledere. Tiltakene i avsnittene over er her beskrevet nærmere. Ellers er det egne sider om akutt nødhjelp for de som opplever et dataangrep, en side rettet spesielt mot virksomhetsledere, samt en sjekkliste som kan være nyttig for de som skal revidere sikkerhetstilstanden i en virksomhet. NSM håper flere norske virksomheter vil ta i bruk disse og gjerne andre tiltak for å beskytte seg. Les mer om dette på www.nsm.no/digitalutpressing i dag. Lykke til med virksomhetens sikkerhetsarbeid!