SolarWinds-angrebene: Virksomheder bør dele ud af deres erfaringer med sikkerhedsbrud
Angrebene på Danmarks Nationalbank og flere danske energiselskaber viser, at behovet for et værn mod de såkaldte supply chain-angreb næppe kan undervurderes.
Omfanget af SolarWinds-angrebet, som fandt sted i december 2020, vokser stadig og omfatter nu også nogle af hovedpulsårerne i det danske samfund; Nationalbanken og flere energiselskaber.
Angrebet gjorde det muligt for hackere at få adgang til mange af den store softwarevirksomhed SolarWinds kunder, som ifølge amerikanske medier inkluderer 425 ud af de 500 virksomheder på den amerikanske Fortune 500-liste, de 10 største amerikanske teleselskaber, alle grene af det amerikanske militær, Pentagon, amerikanske ministerier og tusindvis af internationale virksomheder, deriblandt flere danske.
Angrebet var et såkaldt Supply Chain-angreb, dvs. angreb, hvor hackere laver et virtuelt indbrud ved at angribe et led i virksomhedernes forsyningskæde.
Hos SolarWinds inficerede hackerne en opdatering af programmet, Orion (som bruges til netværksovervågning) med ondsindet software, og da opdateringen efterfølgende blev sendt ud til SolarWinds kunder, gav det hackerne mulighed for at få adgang til virksomhedernes it-systemer.
De fleste virksomheder er afhængige af eksterne it-leverandører og mange outsourcer hele eller dele af it-driften. Dermed bliver de afhængige af it-sikkerheden hos deres leverandører og samarbejdspartnere. Denne afhængighed gør virksomhederne sårbare, fordi de fleste virksomheder ikke har reel mulighed for at kontrollere og verificere sikkerheden hos deres leverandørers produkter, inden de tages i brug.
Det virker urealistisk, at vi efter årtier med stigende globalt samarbejde skal stoppe med at outsource og bruge eksterne software-leverandører, og derfor bør vi prioritere at udvikle metoder, hvormed vi kan dæmme op for Supply Chain-angreb.
I Danmark såvel som i resten af verden mangler vi imidlertid viden om, hvordan vi gør it-forsyningskæderne mere modstandsdygtige – og ikke mindst hvordan vi sikrer, at de softwarevirksomheder, som har garanteret sikkerheden i deres produkter, lever op til deres ansvar, og de kan stilles til ansvar for det.
Meget tyder på, at vi i Danmark ikke kender det fulde omfang af SolarWinds-angrebet, hvilket leder hen til endnu en it-sikkerhedsudfordring, som ikke kun handler om angreb på forsyningskæder: Når virksomheder bliver hacket, er de sjældent villige til at dele deres erfaringer med sikkerhedsbrud.
Men i forhold til at få gjort noget ved problemerne, er det altafgørende, at de folk, som arbejder med it-sikkerhed, får kendskab til disse konkrete eksempler. Dette er specielt vigtigt i forhold til Supply Chain-angreb, som alt tyder på, vil blive et voksende problem. Derfor afsluttes denne klumme med en opfordring til virksomhederne om mere åbenhed således, at f.eks. forskere kan udvikle metoder baseret på virkelighedsnære udfordringer.
Carsten Schürmann og Jari Kickbusch