Alle elsker flødeboller – især hackere
Læsetid i minutter: 3
FXA DK - Artikler 19. august 2024 14:01:02 CEST
Af Christoffer Bech, Director for Incident Response og Technical Cyber Risk Advisory, itm8
Vi har i mange år levet med et højt trusselsniveau, og det ser ikke ud til at ændre sig. Jeg ved godt, at det mest interessante er at tale om statssponsorerede hackergrupper, som spionerer mod danske virksomheder eller saboterer vores infrastruktur. Men sandheden er, at IT-angreb rammer helt almindelige, danske virksomheder hver eneste dag.
Mindset fra Middelalderen
Nogle virksomheder føler sig sikre, fordi de har investeret i dyre firewalls og antivirus. Det svarer til, at man har samme mindset som middelalderens borgherrer, der skal beskytte deres ridderborg. Når ydermurene er stærke, voldgraven dyb, så kan kun dem med den rette nøgle komme ind.
Den mentalitet bør man lægge bag sig, for der er stor risiko for, at medarbejdere mister deres nøgler, at voldgraven ikke er dyb nok, eller ydermurene måske ikke er så tykke og sikre, som man går og tror.
Når først hackerne er inde i borgen, så vinder de hurtigt de kampe, der skal kæmpes for at trænge helt ind i skatkammeret. En sikker skal fjerner ofte fokus fra det indre, der derfor ofte ender som en blød og ubeskyttet midte – ligesom en flødebolle.
Tillid er godt – test og kontrol er bedre
Blandt virksomheder med en god ”skal-sikkerhed” har jeg hørt mange dygtige ledere melde ud, at de gerne påtager sig rest-risikoen for virksomhedens sikkerhed.
Det er meget modigt – men ikke særlig smart. Man bør ikke stole blindt på maskiners data eller tro på medarbejderes udmeldinger om tilstanden af sikkerhedsniveauet.
Tillid er en vigtig og positiv del af kulturen på danske arbejdspladser. Men når det kommer til IT-sikkerhed, så er tillid godt, men test og kontrol langt bedre.
Du har en kæmpe hjemmebanefordel
Når vi laver en hackertest, er netop flødebollestrukturen og borgen et problem. For i det øjeblik vi har et brugernavn og password på en almindelig bruger, så ejer vi alt.
Det giver langt mere mening at sammenligne sin virksomhed med en ubåd med flere sektioner med vandtætte skotter imellem. I tilfælde af at der kommer vand ind i én sektion, kan skotterne lukkes. På den måde kan båden stadig sejle, dog for nedsat kraft, indtil den kommer sikkert i havn.
At sikre sin IT-infrastruktur og virksomhedens data er desværre ikke en øvelse, der er overstået på en weekend. Det tager flere år, og jo højere sikkerhedsniveau man når, jo mere er der at vedligeholde, udvikle og overvåge. Lidt en ond cirkel, men en nødvendig ond cirkel. Du er nødt til at have øjne og øre på alt. Du kan ikke beskytte noget, du ikke kender tilstanden af.
Heldigvis er det sådan, at virksomhederne har en kæmpe hjemmebanefordel. De kender næsten altid deres eget netværk meget bedre, end hackerne gør. De kender også til normalbilledet. Samtidig har de magten til at kontrollere, hvem i virksomheden, der skal have små, store eller den helt store administrator-nøgle.
Kom i gang med lavpraktisk sikkerhedstræning
Gennem tiden har jeg hørt mange forklaringer på, hvorfor virksomheder ikke rigtig er kommet i gang med at lave grundig og omfattende IT-sikkerhed. Den klassiske er altid, at sikkerhed er i konkurrence med virksomhedens andre opgaver, eller at der ikke er nok budget eller medarbejdere til at varetage opgaven.
Det er næsten gratis at træne virksomheders kriseberedskab. Det kan gøres meget lavpraktisk. Det handler om at sætte de rigtige mennesker omkring et bord og stille spørgsmålet: “Hvad vil vi egentligt gøre, hvis vi for eksempel bliver ramt af ransomware-angreb? Har vi en plan for, hvem gør hvad og hvornår? Og er vi afhængige af, at nogen kommer og hjælper os?”
Alle virksomheder skal desuden spørge sig selv, hvad de har, som er vigtigt at beskytte, og hvad det er værd?
Svaret på disse spørgsmål bør afspejle det sikkerhedsniveau, virksomheden pålægger sig. Det er nemlig meget omfattende at have sikkerhed fra den øverste hylde, for slet ikke at tale om den tid, det kræver at implementere og vedligeholde.
Compliant? Eller stoppe hackerne?
Det vigtige spørgsmål er, om man vil være compliant eller stoppe hackerne? Det er godt at være compliant – og for nogle virksomheder er det er sektormæssigt krav, og det sikrer et højt IT-sikkerhedsniveau.
Men det har også en kæmpe værdi at kunne stoppe hackerne. Og dette kan man ikke alene ved at være compliant og sætte ”check marks”. En papirmæssig efterlevelse af eksempelvis det aktuelle NIS2-regulativ, hvor man blot forsøger at overholde regulativet billigst muligt, stopper ikke nødvendigvis hackere. En effektiv, teknisk implementering kombineret med den governance-mæssige efterlevelse af NIS2-kravene vil helt sikkert øge dine muligheder.
Compliance er en stor mundfuld, og mange er tilbøjelige til at give op på forhånd. Hvis hackerne vil ind, så skal de nok komme det. Men vi skal ikke lade kriminelle og hackere vinde så nemt!
Find det relevante complianceniveau for netop din virksomhed. Udvælg de relevante, tekniske løsninger, beskriv politikker, planer og processer og træn dine medarbejdere. Kæmp for din virksomhed dag for dag, bit for bit!