Napoleon skal ha sagt at krig er 90 prosent informasjon, og det samme gjelder nok både cyberkriminelle og oss som skal forsvare oss mot dem, skriver Secure practice-gründer Erlend Andreas Gjære i denne kommentaren.
- Erlend Andreas Gjære, gründer av sikkerhetsselskapet Secure Practice.
- Tidligere Security Manager i Signicat, tidligere IT-forsker i SINTEF.
- Mastergrad i informatikkstudier ved NTNU.
Det norske programvareselskapet Visma har denne uken fortalt i media hvordan en såkalt «avansert trusselaktør» har gjort datainnbrudd i deres systemer. Selskapet har også offentliggjort en detaljert rapport med nytteverdi som går langt ut over deres egen virksomhet.
Selv om de færreste har ressurser på linje med Visma, er likevel standarden satt for hva potensielle enhjørninger bør strekke seg etter.
Her kommer fem læringspunkter om digital sikkerhet basert på hendelsen.
1. Alle kan bli hacket
De færreste bedrifter er like attraktive angrepsmål som Visma, og det kan være lett og behagelig å tenke at «det skjer ikke oss».
Men om målet er å bli en enhjørning, blir du garantert også et mål for hackerne. Og for alle andre er faktum at sannsynlighetsverdien for digitale angrep er like variabel som den bør være er enkel å forholde seg til:
Alle som driver virksomhet på Internett kan man bli rammet av digitale angrep, fordi det som oftest rammer ganske tilfeldig. Derfor må man bruke både teknologi og årvåkne hoder for å unngå at dette får negative konsekvenser. Vi kan ikke la frykt for cyberangrep føre til fornektelse eller handlingslammelse, men heller bruke erfaringer som dette til å bygge stein på stein for en robust virksomhet inn i framtida.
Fordi Visma opplever flere angrepsforsøk enn de fleste, var de allerede klar til aksjon da angriperne hadde fått en fot innafør dørsprekken.
Alle som driver virksomhet på internett kan bli rammet av digitale angrep, fordi det som oftest rammer ganske tilfeldig.
2. Informasjon er verdifullt
Senest i forrige uke lanserte regjeringen, med både statsminister og fire statsråder på talerlisten, en ny nasjonal strategi for digital sikkerhet. Her står det blant annet at «for å beskytte det digitale samfunnet må privatpersoner, virksomheter, sektorer og nasjoner se utover seg selv».
Dersom hackerne hadde lyktes uten å bli oppdaget, kunne de i neste omgang ha misbrukt Visma sine systemer for å angripe kundene deres. De kunne naturligvis også ha solgt denne informasjonen til andre. Napoleon skal ha sagt at krig er 90 prosent informasjon, og det samme gjelder nok både cyberkriminelle og oss som skal forsvare oss mot dem. Rapporten som Visma har offentliggjort beskriver detaljert i både tid, verktøy og handling hvordan angriperne har funnet en vei inn.
Fordi Visma fortalte om denne hendelsen kan vi enklere forstå hvordan de cyberkriminelle arbeider, slik at vi kan ta tilbake informasjonsovertaket, og forberede oss enda bedre.
3. Bygg sikkerhet i flere lag
Det er sagt at man aldri skal kaste bort en god krise. Når man vet hvordan manglende datasikkerhet kan føre til svært negative overraskelser, er det enda større grunn til å lære av andre sine lærdommer. Selv om de færreste har ressurser på linje med Visma, er likevel standarden satt for hva potensielle enhjørninger bør strekke seg etter. Dette inkluderer både bevissthet og struktur i sikkerhetsarbeidet, og at man kontinuerlig arbeider med tiltak som øker vanskelighetsgraden for uvedkommende som vil prøve å bryte seg inn.
Vi må ha et bevisst forhold til hvor vi oppbevarer viktig informasjon, og hvilken risiko dette kan innebære for oss.
Logging er nødvendig for å finne ut hva som skjer eller har skjedd, og mange oppdager dessverre dette behovet for seint. Se også regjeringens ti anbefalinger som fulgte med deres ferske sikkerhetsstrategi, og råd fra Nettvett.no til små bedrifter.
Fordi Visma har flere lag med sikkerhetsbarrierer på plass var det mulig å oppholde angriperne inntil man fikk oppdaget dem, og deretter fikk stoppet dem før konsekvensene ble alvorlige.
4. Samfunnssikkerheten avhenger av samarbeid
Selv om Visma har 200 ansatte som jobber med sikkerhet, har de fått hjelp fra flere hold i denne saken. Blant annet har Nasjonal sikkerhetsmyndighet (NSM) bistått i etterforskningen, mens to eksterne sikkerhetsfirma har skrevet den nevnte rapporten med utfyllende funn fra to andre relaterte saker i internasjonal sammenheng.
Cyberangrep kan utgjøre en brikke i et større bilde som den enkelte virksomhet ikke kan se helheten av selv – til tross for at det vanligvis bare er snakk om simpel kriminalitet. Det koster både tid og penger å etterforske en hendelse som dette, og det enkleste hadde vært å satse på at hackerne gir opp og går videre til neste offer.
Selv om akkurat denne saken er spesiell, kan alle bidra med å dele informasjon og erfaringer fra sikkerhetsarbeidet med hverandre, inkludert med myndighetene.
Fordi Visma bidrar med å anmelde og etterforske cyberkriminelle langt utenfor våre egne landegrenser, bidrar de også til økt samfunnssikkerhet for alle.
Logging er nødvendig for å finne ut hva som skjer eller har skjedd, og mange oppdager dessverre dette behovet for seint.
5. Åpenhet skaper tillit
Åpenhet fører blant annet til større bevissthet om at cyberangrep faktisk er noe som kan ramme oss, også her i trygge Norge. Og ikke minst hvordan et slikt angrep kan utarte seg. Dersom de holdt tett, kunne derimot inntrykket forsterkes over tid at sånt skjer ikke med norske selskaper.
Derfor er det ikke uten betydning at nettopp Visma prioriterer oppgaven med digital sikkerhet på et nivå som overgår deres egen kommersielle interesse, isolert sett. Mange i sikkerhetsmiljøet vet også hvordan Visma har vært rause med å dele av sin betydelige innsikt ved flere anledninger tidligere, så dette er heller ikke noe unikt tilfelle.
Fordi Visma har brukt anledningen til åpenhet, kan også flere ha større frimodighet til å dele når noe skjer, og dermed hjelpe andre i neste omgang.
Det er ingen skam å bli hacket, men veldig skadelig dersom hackerne får gjøre seg rike og finansiere virksomheten sin videre på vår bekostning. Og akkurat her spiller også virksomheten din en rolle, når den står ansikt til ansikt med digital kriminalitet. Forhåpentligvis ikke i dag, men etter all sannsynlighet i fremtiden.
Les også: IT-folk mangler kunnskap om sikkerhet: – Et kraftig varsku, sier Tekna-president