TDC Perspektiv - Tema om IT-Sikkerhed

TDC PerspektivViden du kan arbejde med # 01. 2015

TEMA

It-sikkerhed

TDC Perspektiv # 01. 2015

Vi har håndplukket en række centrale artikler skrevet af fagfolk for fagfolk. Emnet er it-sikkerhed, og artiklerne har tidligere været publiceret online på TDC Perspektiv, hvor vi løbende udveksler viden og præsenterer nye indsigter.

Vi har sat it-sikkerhed i fokus, fordi virksomheder i dag er af-hængige af adgang til data. Indtjeningen står og falder med en velfungerende it-infrastruktur, og sikkerheden er under pres. Problemstillingen er mere aktuel end nogensinde.

Derfor rummer temaet i dette nummer også en opfordring til at tænke nyt for at komme udfordringerne i forkøbet. It-trus-lerne kan komme fra mange sider, og det er vores håb, at artik-lerne giver dig en sikkerhedsviden, du kan arbejde videre med.

TDC Erhverv

Carsten ChalletAfd.dir. og Sikkerhedsekspert hos TDC Erhverv

” Trusselsbilledet har ændret sig markant, og it-sikkerheden skal følge udviklingen. Det betyder også, at alt det, vi i dag ved om it-sikkerhed, vil ændre sig, og at jeres it-mur måske allerede har huller…”

Tænk nyt for en sikkerheds skyld

2


UDSYN Kronjuvelerne skal bevogtesI dag kan sikkerhedsbrister ligge langt uden for virksomhe-dens normale indsatsområde. Ledelsen bliver nødt til at kigge ud over virksomhedens traditionelle grænser, når den skal sikre de vigtigste værdier. ...................................................Side 4

RISIKO It-sikkerhed må gerne være raketvidenskabHvor risikovillig er din organisation? Den problemstilling er så kompleks, at den kan minde om raketvidenskab. Og netop inden for dén disciplin kan man finde inspiration til, hvordan It-sikkerhed kan gribes an ...................................................Side 7

BYOD Jeres sikkerhedsmur har allerede hullerBYOD står for Bring Your Own Devices. Flere og flere medar-bejdere bruger private enheder sammen med deres arbejds-opgaver, og det kan resultere i sikkerhedsbrister. Læs her, hvordan du kan få et overblik ...........................................Side 11

DET SVAGE LED Mennesket kan også blive hacketDine medarbejdere kan udgøre en stor sikkerhedsbrist, hvis de bliver udsat for såkaldt social engineering. Denne artikel fortæller om hacking gennem mennesker og giver tips til, hvordan du kan undgå det. .............................................. Side 14

TEST Hvornår har du sidst testet din it-sikkerhed? Er din virksomhed blevet hacket for nylig? Mange virksomhe-der bliver udsat for it-kriminalitet uden selv at være klar over det. Læs her, hvordan en hacker paradoksalt nok kan hjælpe din virksomhed. ................................................................. Side 17

Vi samler udvalgte artikler fra TDC Perspektiv til dig. I artiklerne skriver fagfolk om aktuelle emner inden for it, tele og kommunikation. Vi hånd-plukker og samler teksterne i nogle temaer, der giver dig et overblik og en konkret viden, du kan bruge i arbejdet med at holde din virksomhed digitalt opdateret.

3


Eksempler på it-sikkerhedsbrister viser, at de kan have fatale forretningsmæssige konsekvenser. Det tvinger den øverste ledelse til at involvere sig. Iføl-ge en it-sikkerhedsekspert skal ledelsen i dag kigge ud over virksomhedens traditionelle grænser, når den skal sikre virksomhedens vigtigste værdier.

Røgen fra CSC-sagen, hvor bl.a. cpr-numre blev hacket i Rigs-politiets kørekort-register, har endnu ikke lagt sig. Og mens afsløringerne om NSAs aflytninger fortsætter, kaster Se & Hør-skandalen med tys-tys-kilden, der lækkede kredit-kortop-lysninger fra Nets’ og IBMs systemer, ny benzin på bålet. Tilliden til om virksomhederne er gode nok til at sikre data om borgere, kunder og firmaer er på spil. Det gør spørgsmålet om it-sikkerhed til et anliggende for den øverste ledelse.Den gode historie er imidlertid, at de nye sager giver ledelser-ne en åben platform til at skabe forbedringer. Men hvad der måske kan overraske er, at opmærksomheden ikke kun skal rettes mod virksomhedens indre linier.

Cyberrisikoen ligger udenfor virksomhedenIt-risici bliver vigtigere og vigtigere for ledelsen i virksomhe-derne. En undersøgelse foretaget af revisions- og konsulent-

4

Kronjuvelerne skal bevogtes


virksomheden PwC viser, at 61 % af forbrugerne ville stoppe med at bruge en virksomheds produkter eller tjenester, hvis et angreb resulterede i et sikkerhedsbrud. En anden PwC-un-dersøgelse afdækker, at 63 % af europæiske CEOs mener, at cyber-angreb vil få indflydelse på deres virksomhed i 2014. Derfor bruges der nu mere tid på it-sikkerhed i direktionsar-bejdet, forklarer Mark Hanvey. Han er it-sikkerhedsekspert i PwC. Som Cyber Security Director har han arbejdet som kon-sulent for bl.a. flere danske virksomheder.

På Dagbladet Børsens it-konference IT Value 2014 fortæller han, at der kommer flere eksempler på, at sikkerhedsbrud og angreb opstår i virksomhedens forsyningskæde:”Ofte koncentrerer ledelsen sig om, at det administrative net-værk til email, filer og webservere er sikret. Men på samme tid kan produktionssystemets netværk være helt uden sikker-hed. Leverandører og samarbejdspartnere har ofte dataop-koblinger til netværket, og dermed er der potentielt adskillige åbne adgange til netværket. Deres risiko er din risiko,” forkla-rer Mark Hanvey.

Pointen er, at sårbarhederne – eller cyberudfordringen, som Mark Hanvey kalder det, i dag rækker langt ud over virksom-hedens egne grænser. Derfor er det nødvendigt for ledelsen også at kigge på kilder til it-risici udenfor virksomheden.

Fokuser investeringen i it-sikkerhedMark Hanveys kollega, Christian Kjær, der har ansvaret for rådgivning om it-sikkerhed på PwC’s kontor i Danmark, opfor-drer til, at man tester og dokumenterer de systemer, som for-binder virksomheden med leverandørkæden. Tankegangen skal være end to end i processer og systemer. For it-kriminelle er ligeglade, hvor de trænger ind i netværket. Typisk tager de hellere den nemme vej end den svære.

It-sikkerhedstruslerne kan stamme fra så forskellige aktører som nationalstater, der udøver industrispionage, organisere-de it-kriminelle, der vil berige sig, cyberterrorister eller så-kaldte hacktivister med politiske motiver eller medarbejdere, der ubevidst gør virksomheden sårbar eller bevidst udnytter en betroet position.

Erfaringen er, at motiverne varierer, og at metoderne udvikler

5


sig løbende. Samtidig er der mange steder, man kan forsøge at beskytte sin virksomhed, og det kan være umuligt for en virksomhed at forudse, hvornår en sikkerhedsbrist vil blive udnyttet. Derfor er Christian Kjærs anbefaling klar:”Opgaven er at balancere værdien af virksomhedens aktiver med de ressourcer, man allokerer til at beskytte aktiverne. Men man kan ikke eliminere it-risici lige godt alle steder, så man er nødt til at fokusere sin investering. Det vigtigste at gøre først, er derfor at bevogte virksomhedens kronjuveler – det, der har størst betydning for forretningen,” lyder Chri-stian Kjærs råd.

Ledelsen kan starte med at stille sig selv disse spørgsmål• Har vi identificeret vores mest kritiske data-aktiver, og

har vi fuldstændig styr på, hvor de opbevares, og hvor de bliver sendt og modtaget?

• Kender vi værdien af disse data, og ved vi, hvad det bety-der for forretningen, hvis kritiske data bliver kompromitte-ret?

• Prioriterer vi at beskytte vores kronjuveler bedre end an-dre aktiver?

Mark Hanvey, Cyber Security Director, PwC UK

6


It-kriminalitet er det seneste år steget med 77 %. Omfanget gør, at it-sikkerhedsansvarlige er nødt til at tage stilling til, hvor risikovillig organisationen er. Det er kompleks og kan få det til at føles som raketvidenskab. Men faktisk kan netop dén disciplin hjælpe til, at man kommer videre.

Apollo 11-missionen sendte i 1969 de første mennesker til månen. Raketforskeren, der stod bag den komplicerede ud-vikling af raketten, beskrev, hvordan man kan blive tvunget til at forholde sig til virkelighedens vilkår: Du står og har behov for en ventil, som ikke lækker, og du gør alt, der står i din magt, for at udvikle sådan en ventil. Men den virkelige verden giver dig en ventil, der lækker. Så dét, du er nødt til at bestem-me dig for, er: hvor meget lækage kan du leve med?

Virksomheder, der i dag skal finde ud af, hvor meget og hvad de skal gøre for at sikre deres it, er overraskende nok i sam-me situation. I virkelighedens verden vil der altid være en risi-ko. Man kan blive ramt af angreb og sikkerhedsbrud, som ikke kan inddæmmes bag serverrummets metaldøre, men som i stedet sætter en kæp i hjulet på virksomhedens forretning.

7

It-sikkerhed må gerne være raketvidenskab


Hvor stor er vores risikovillighed?Efter en kraftig stigning på 77 % det seneste år i sager om databedrageri, som i politiets statistik dækker over it- og internetkriminalitet, har Rigspolitiet besluttet at oprette et nationalt center, der skal bekæmpe og forebygge cyber-kri-minalitet. Alvoren understreger, at ingen virksomhed kan se sig fri for hverken spammails, hacking eller potentiel industri-spionage via nettet.

Lars Højberg, der er teknisk sikkerhedschef i TDC, forklarer: ”Udfordringen for den enkelte virksomhed er: Hvad er sand-synligheden for sikkerhedsbrud, og hvad vil konsekvenserne være? Når dagen er omme, er enhver virksomhed derfor nødt til at stille sig selv spørgsmålet: Hvor stor er vores risikovillig-hed, når det gælder it-sikkerhed?”

Han medgiver, at det kan være svært at svare på. Det handler nemlig om, hvilken type angreb der bliver rettet imod virk-somheden, hvad angriberne går efter samt hvilken motivati-on angriberne har. I stedet for at prøve at sikre sig mod alle tænkelige angreb, bør virksomheder i stedet gøre sig klart, hvad der er vigtigst at beskytte for forretningen.

”Man skal for eksempel tænke over: I hvor høj grad er det per-sonfølsomme eller forretningskritiske data, vi arbejder med? Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser? Og så beskytte virksomheden ud fra det. Det er meget branche- og forretningsspecifikt, om man skal sætte stort ind på it-sikker-hed, eller om man kan klare sig med mindre,” forklarer Lars Højberg.

Ved vi nok om sikkerhed?Hver eneste dag bliver virksomheder tæppebombet med automatiserede angreb via mailsystemet. Snedige forsøg på at narre brugeren ind på ondsindede hjemmesider eller at give vores kontooplysninger fra os, via falske mails fra fx Skat eller banken, slipper igennem spamfiltre og antivirus. Og an-tallet af snydehenvendelser via især Facebook, hvorved man udsættes for ondsindet kode, er i stigning.

Det kræver derfor en stillingtagen til, hvorvidt man selv øn-sker og er i stand til at løfte sikkerheden, eller om man skal få

8


hjælp til opgaven ved hel eller delvis outsourcing. Grundlaget er en indsigt i det konkrete trusselsbillede, virksomheden står overfor.

Balancegangen kan være svær, især for den lille eller mellem-store virksomhed, der ikke altid råder over den nødvendige viden, kompetence og ressourcer inden for it-sikkerhed.

DDoSDDoS (Distributed Denial of Service) er en af de mest ud-bredte former for angreb. Metoden, som rammer alle typer af virksomheder, oversvømmer virksomhedens systemer med forespørgsler. Det får systemerne, som kan være kritiske for forretningen, til at bryde sammen, eller fylder internetforbin-delsen op, så kunderne ikke kan komme igennem.

”Disse angreb er særdeles lette at udføre, hvilket gør, at hvem som helst kan angribe din virksomhed,” fortæller Lars Højberg. ”Vi har kunder, der har været udsat for pengeafpres-ning, hvor der trues med DDoS-angreb, hvis der ikke betales. Der kan også være tale om politisk motiverede angreb. Det eneste, de it-kriminelle har brug for, er en internetforbindelse og kendskab til en af de web-sider på nettet, hvor man kan bestille DDoS-angreb,” fortæller han.

Sikkerhed i skyenCloud computing giver virksomhederne fordele mht. drift, kompetencer og økonomi. Igen bliver sikkerhed aktuelt, fordi virksomheden til en vis grad giver slip på sine data. Fokus bør derfor skifte fra kun at dække selve systemerne til også at ligge på indholdet af de data, man sender i skyen.

”Når man benytter cloud computing, er det vigtigt, at man opdeler data efter følsomhed og hvor kritiske de er for forret-ningen samt tænker over, hvilke landegrænser data passerer, hvor tilgængelige de er samt hvem der har adgang til dem,” forklarer Lars Højberg.

At få det rette overblik kan være en udfordring. Men med ra-ketvidenskaben i tankerne bliver det måske nemmere at finde ud af, ved at tænke over hvilke risici virksomheden kan leve med.

9


Hvad tager din virksomhed i betragtning, når I overvejer, hvilken risiko I er villige til at løbe? Hvilke risikoparametre kan man tage lettere på, og hvilke skal man være særligt opmærksom på i jeres branche?

10


Den kraftige udvikling i forbrugerelektronik bety-der, at medarbejderne tager private gadgets og vaner med på arbejde. Det udfordrer it-sikkerheden, og selvom I måske ikke er klar over det, er medar-bejderne i jeres virksomhed garanteret brudt igen-nem den digitale sikkerhedsmur.

”You are already compromised, you just don t́ realize it”. Sådan siger det anerkendte it-analyseinstitut Gartner, og Business Specialist Finn Villadsen fra TDCs datterselskab NetDesign er enig. ”I dag opfatter medarbejdere det som et decideret overgreb, hvis de ikke har adgang til Facebook, Twit-ter, Dropbox, Instagram og andre sociale medier, som i dag er naturlige, når de skal kommunikere og udveksle information. De vil have samme frihedsgrad, som de har privat. De vil kun-ne forfølge deres kreativitet. De vil kunne arbejde intuitivt. De vil kunne kommunikere effektivt. Og de vil ikke lade sig be-grænse af snærende it-sikkerhedsregler.

Så hvis virksomheden ikke kan levere en teknologisk værk-tøjskasse, der lever op til medarbejdernes forventninger, tager de blot deres egne mobile enheder med på arbejde. Det sætter virksomhedernes it-strategi under pres. Alt det, virk-

11

Jeres it-sikkerhedsmur har allerede huller


somheder i dag ved om it-sikkerhed vil ændre sig, og det er umuligt at it-sikre sig ved at bygge en sikkerhedsmur af regler, politikker og firewalls. Så selvom I ikke ved det, er I garanteret kompromitteret – dvs. har huller i virksomhedens it-sikkerhed.”

Åbning for nettet = åbning for forretningen -> huller i it-sikkerheden”Når virksomheden åbner op for nettets strøm af data og muligheder, øger det virksomhedens attraktion og dermed konkurrencekraft, fordi den tiltrækker innovative medarbej-dere. At åbne nettet åbner derfor nogle forretningsmæssige muligheder – herunder også muligheden for at kunne agere tættere med kunderne. Men det er ikke sort-hvidt som tidlige-re, hvor virksomheden tog beslutning om at åbne sin firewall for en bestemt applikation uden at overvåge, hvad der flød ind og ud af den port, de havde åbnet. Trenden bliver, at virk-somhederne arbejder strategisk med datasikkerhed ved at formulere en it-politik med konkrete retningslinjer, principper og værktøjer til at monitorere trafikken. Og den helt grund-læggende ændring vil være, at it-sikkerhedspolitikken ikke længere sætter kontrollen i centrum, men tager udgangs-punkt i medarbejderne og de individuelle jobfunktioner” forudser Finn Villadsen.

It-sikkerhed – hvor sårbare er I?”At åbne op for en given ting på nettet betyder ikke auto-matisk, at virksomheden også åbner op for alle de risici, det medfører. Men mange virksomheder har ikke skabt sig et overblik. Derfor har de heller ikke taget stilling til, hvad der kunne udgøre en risiko. Resultatet er, at de ender med ikke at gøre noget – eller at de implementerer mere eller mindre effektive begrænsninger. Konkurrencen vil tvinge virksomhe-derne til at gøre ting tilgængelige for medarbejderne. Så min anbefaling er at acceptere en åbning, der indebærer trusler, og bagefter minimere risikoen for kompromittering af sikker-heden. Det er ikke en opfordring til blot at give los og ukritisk tillade al datatrafik. Alt skal vurderes kritisk og præcist, for det er et faktum, at det kan være uhyre vanskeligt at iden-tificere de ting, der udgør en risiko – uanset om det er hob-by-hackere eller hardcore kriminelle” pointerer Finn Villadsen.

Læs også: TDC’s sikkerhedsleksikon

12

http://sikkerhed.tdc.dk/publish.php?id=24503


Fakta: Sådan tackler I risikoen for kompromittering“Glem målsætningen om at beskytte jer 100 %. Sæt jer i stedet som mål, at I vil kunne opdage, når I bliver kompro-mitteret og hav en beredskabsplan klar” lyder rådet fra Finn Villadsen, der understreger, at en brugerorienteret tilgang til sikkerhed er alfaomega. “Ingen kæde er stærkere end det svageste led. Tit skyldes kompromittering, at sikkerheden er blevet brudt gennem en intetanende bruger. Derfor skal den enkelte bruger konstant guides af intuitive pop-up sik-kerhedsadvarsler, som hjælper med at navigere uden om de sikkerhedstrusler, de daglige jobfunktioner indebærer. Fx, hvis medarbejderen er ved at sende filer med cpr-numre eller regnskabsfølsomme oplysninger ud af huset, eller hvis han er ved at åbne en forbindelse, der kolliderer med virksomhedens sikkerhedsprincipper.”

13


Når Thomas fra it-afdelingen ringer til dig og for-tæller, at din pc behøver backup, og han derfor behøver dit password – vil du så give ham det? De fleste siger nej, men virkeligheden er en helt anden.

Udnyttelsen af mennesker for at opnå adgang til en virksom-heds systemer hedder ”social engineering” – og kan kaldes for hacking af mennesker. De kriminelle manipulerer os til at bidrage med informationer eller udføre handlinger, som eksempelvis at klikke på links, svare på mails, installere mal-ware eller endda give dem fysisk adgang til virksomheden. Så selvom virksomheden måske er it-sikret, er det medarbejder-ne der i virkeligheden er sikkerhedsbristen.

“The weakest link in any security chain is always human”, Kevin Mitnick, sikkerhedskonsulent og tidligere verdensbe-rømt hacker.

Vi er for flinkeHacking er ofte forbundet med computere og teknik, men

14

Mennesket kan også blive hacket– lær at beskytte dig!


også mennesker kan blive hacket. De fleste medarbejdere er instrueret i at være hjælpsomme og servicemindede, og den indstilling kan de kriminelle udnytte til at skaffe sig adgang til ellers hemmelige oplysninger.

Et typisk forsøg på ”social engineering” kan være et opkald, hvor den kriminelle forsøger at lokke hemmelige eller per-sonfølsomme oplysninger ud af dig ved f.eks. at udgive sig for at være en anden medarbejder fra samme firma. Det kan være it-medarbejderen, der lige skal bruge nogle oplysnin-ger, økonomiafdelingen, der skal bruge nogle tal, eller noget helt tredje. Samme scenarie kan også foregå via såkaldte phishing-mails, hvor tilsyneladende troværdige mails vil narre dig til at videregive fortrolige oplysninger eller installere ska-delig software.

I disse digitale tider ligger rigtig mange oplysninger tilgænge-lige på nettet via hjemmesider og sociale medier. Med disse oplysninger kan hackeren spinde en troværdig løgn, når de vil narre oplysninger ud af offeret. Derudover kan de også manuelt undersøge affaldet og følge efter offeret for at skaffe sig yderligere oplysninger.

Pas på med at holde dørenDen sociale hacker kan også fysisk møde op på arbejdsplad-sen og skaffe sig adgang til ellers aflåste områder ved at føl-ge tæt efter de ansatte, bede dem holde døren el.lign. Alt der kræves, er blot en troværdig ’forklædning’ som medarbejder, rengøring, planteservice eller andet personale, der normalt har sin daglige gang i lokalerne.

Hvis først den kriminelle på den ene eller anden måde har fået adgang til arbejdspladsen, så er det ingen sag at lægge lidt lokkemad ud. Det kan være en USB, CD eller lignende, der tilsyneladende hører til virksomheden, men er blevet ’tabt’ et trafikeret sted i virksomheden. Med stor sandsynlighed vil en nysgerrig medarbejder samle lokkemaden op og sætte den i sin computer, hvilket automatisk installerer skadelig software.

Oplyste kodeord for en kuglepenScenarierne ovenfor virker måske ekstreme for nogen, men den menneskelige hacking finder sted i virkeligheden. I 2003 blev der foretaget en informations-sikkerhedsundersøgel-

15


se, hvor 90 % af deltagerne gav deres arbejdskodeord væk i bytte for en billig kuglepen. En del har ændret sig siden 2003, men lignende undersøgelser er siden blevet gennemført, hvor resultatet stort set var det samme. Så når Kevin Mitnick siger, at det svageste led i it-sikkerhedskæden er mennesket, så har han faktisk ret.

Sådan gennemskuer du et forsøg på social engineeringHvis du får en henvendelse udefra, kan du blandt andet se på om vedkommende:• Nægter eller tøver med at oplyse præcis hvem han/hun

er – og hvordan han/hun kan kontaktes. Specielt hvis du får at vide “Jeg kan ikke kontaktes i dag – jeg skal nok ringe tilbage til dig.”

• Har travlt eller skynder på dig• Bruger meget “name-dropping” – eksempelvis “Din chef,

Jens, har bedt mig om…” eller “Jeres it-mand, Simon, sag-de du skulle…”

• Forsøger at skræmme dig til at gøre noget. Eksempelvis “Hvis du ikke….., så kan du jo nok se, at vi ikke kan nå pro-jektet indenfor tidsplanen” eller “Nu må du tage dig sam-men, ellers er det dit job, der hænger i en tynd tråd”

• Kommer med mærkelige spørgsmål, der ikke passer ind i sammenhængen eller ind i virksomheden, du arbejder for. Staver eller udtaler navne forkert

• Beder om personfølsom eller klassificeret information

HUSK at social engineering ikke altid er ensbetydende med en direkte henvendelse fra en person. Du kan også blive narret til at give følsomme oplysninger i webformularer, mails, og på papir. Pas på hvad du smider i din papirkurv; klassificeret information bør makuleres.

Hvordan bliver du sikker – som medarbejder?1. Vær bekendt med virksomhedens sikkerhedspolitik2. Vær kritisk over for henvendelser fra personer, du ikke

kender – især hvis det handler om følsomme oplysninger3. Åbn links og vedhæftninger med omtanke – uanset hvor

officiel eller troværdig afsender fremstår

16


Er din virksomhed blevet hacket for nylig? Måske ved I det ikke selv. Mange virksomheder bliver ud-sat for it-kriminalitet uden selv at være klar over det. Derfor er der flere og flere virksomheder, der får hackere til at trykteste deres it-sikkerhed. Der findes forskellige metoder, så man kan sikre sig, at alle vinkler på it-sikkerheden bliver testet. Mød White-Hat hackeren Dion Jensen fra NetDesign, der er ekspert i at trænge igennem usikre sikkerheds-løsninger.

Dion Jensen er Security Solution Architect hos TDC, og hans daglige arbejde er blandt andet at forsøge at hacke sig igen-nem avancerede sikkerhedsløsninger. Og så bliver han oven i købet betalt af kunderne for at gøre det. Efterspørgslen på denne service er i øjeblikket så stor, at der sidder flere såkald-te White Hat-hackere hos TDC, som blandt andet forsøger at hacke sig ind i kundernes it-systemer. I modsætning til en Black Hat hacker, udfører White Hat hackere deres arbejde i den gode sags tjeneste.

Hvilke kunder bestiller typisk en test?– Man kan ikke branchebestemme de kunder, der ønsker en

17

Hvornår har du sidst testet din it-sikkerhed?


test. Ligesom der findes mange former for trusler, så findes der også forskellige niveauer af risici for forskellige virksom-heder. Det kan være meget videnstunge firmaer, der vil lide store tab, hvis deres data bliver stjålet eller ikke er tilgænge-lige, men det kan også være e-handelsvirksomheder, der har behov for konstant at være online. For en produktionsvirk-somhed kan det koste et flercifret millionbeløb, hvis systemet er nede, og maskinerne skal holde stille. På den anden side kan et ændret tal i et forskningsresultat betyde, at al den øvrige forskning må verificeres eller kasseres, da man jo ikke ved, hvor mange steder hackerne har været, eller hvornår i forskningsforløbet angrebet har fundet sted.

Hvordan mærker I den stigende efterspørgsel? – En generel fællesnævner for de kunder, som vælger at teste deres it-sikkerhed, er, at de allerede selv er rimeligt it-kyndi-ge. Hvilket måske ikke er så mærkeligt. Jo mere du ved om it, jo mere bevidst er du også om de trusler, der findes. Reelt er der mange flere virksomheder, der har behov for en test, men som ikke bruger det. Mange har ældre firewalls og for-søger sig selv med at justere på indstillingerne, hvilket kan gå rigtig galt. Men generelt kan vi mærke en stigning i antallet af kunder, der vælger en test. Mange har erkendt, at det er en næsten umulig opgave at være på forkant med de cyber-kri-minelle. Generelt kan man sige, at selv om der er investeret mange penge i it-sikkerhed, så ved du reelt ikke, om det virker, før det er testet.

Hvor ofte tester I så for kunderne?– Der findes flere forskellige typer tests. Men fælles for dem alle er, at de skal udføres med jævne mellemrum, så en del kunder har et abonnement, hvor vi tester op til fire gange om året. Andre bestiller en test, når de mener, at der er risiko for et angreb, enten fordi det er længe siden, de er blevet testet, de har læst om ny malware i medierne, eller de har måske en mistanke om, at de er, eller vil blive offer for et angreb. For eksempel oplever vi en markant stigning i antallet af fore-spørgsler på tests fra kommuner, når medierne skriver om et hacker-angreb på en kommune.

Hvordan tester I så for kunden? – Vi scanner for ’sovende’ virus. En virus kan sagtens ligge latent i mange måneder, før den pludselig aktiveres og for-volder skade på systemet. Det er der rigtig mange virksom-

18


heder, der ikke er klar over. Vi holder os hele tiden ajour med hackernes færden, og vi kender de metoder og redskaber som de cyber-kriminelle benytter. Vores styrke består blandt andet i, at vi har indblik i mange forskellige brancher, og de trusler, der rammer én branche i dag, kan blive virkelighed for en anden branche i morgen.

Hvad tester I normalt for?– Vi har typisk fire tests, vi benytter. Vi har en penetrations-test, hvor vi forsøger at trænge gennem virksomhedens firewall og ligesom de it-kriminelle leder efter huller i sik-kerhedsløsningen. Vi foretager også it-sikkerhedsanalyser, hvor vi kigger på al den trafik, der kommer ind og går ud af virksomheden. Derudover udfører vi malware scanninger af virksomhedens system. Her tager vi et skridt dybere ned un-der overfladen og undersøger, om der fx skulle findes ’soven-de’ virus. En virus kan sagtens ligge latent i mange måneder, før den pludselig aktiveres og forvolder skade på systemet. Endelig laver vi ofte såkaldte risikoanalyser for vores kunder. Ved en risikoanalyse kigger vi på den risiko eller de tab, der er forbundet med et angreb, målt op mod de omkostninger der er forbundet ved at sikre sig mod et angreb. Ved en risikoana-lyse gennemgår vi virksomheden og dens digitale aktiver bid for bid.

Hvad er dit bedste råd til den it-ansvarlige?– Man skal som it-ansvarlig være opmærksom på, at medar-bejderne også ud-gør en stor sikkerhedsrisiko – ofte udgør de faktisk den største risiko for uforvarende at komme til at ud-levere passwords, klikke på virusinficerede links, eller på an-den måde sætte virksomhedens it-sikkerhed over styr. Derfor er det vigtigt, at man har en god sikkerhedspolitik i virksom-heden. Det er desuden vigtigt, at huske på, at de it-kriminelle ikke nødvendigvis er sikkerhedseksperter. Alle kan i dag købe sig til et angreb på nettet. Det koster ikke ret meget og er relativt nemt at finde frem til. Man kan altså ikke regne med, at man ligger under hackernes radar, bare fordi man har et relativt lille eller ukendt brand. Måske bliver en tidligere ansat sur på virksomheden og ønsker at hævne sig. Eller en elev, der har fået dårlige karakterer, og ønsker at ændre dem. Det lyder måske lidt paranoidt, men man er nødt til at erkende, at nu hvor it-kriminalitet er blevet en forretning, kan alle poten-tielt købe sig til angreb online. Dermed er truslen relevant for alle.

19

TDC Perspektiv # 01. 2015 20

Vil du læse mere?Du kan fordybe dig yderligere i dette og mange andre temaer på TDC Perspektiv, hvor vi publicerer faglige artikler om rele-vante og aktuelle emner.

tdc.dk/perspektiv

Kontakt TDC Sikkerhed

44 35 80 00

http://perspektiv.tdc.dk

Documents

TDC Perspektiv - Tema om IT-Sikkerhed