De cyberkriminelle kan ikke lukkes ude: Fokusér på, hvad de gør inden for muren
Den seneste tids ransomware-angreb er en advarsel til dansk erhvervsliv. Kun 9 ud af 10 virksomheder holder øje med angribernes digitale fingeraftryk. Det kan ellers forhindre nedbrud og forkorte nedetiden efter et cyberangreb.
For nyligt kunne man her på Finans og i Jyllands-Posten læse om ransomware-angrebet på danske AK Techotel, som udbyder en booking-platform til hoteller. Virksomheden lærte på den hårde måde, at nedetid er en kostbar affære, og at manglende salg eller produktion i en periode kan betyde store tab.
I dette tilfælde gik det ikke kun ud over AK Techotel, men også deres flere end 700 kunder blandt danske og udenlandske hoteller, som er dybt afhængige Picasso-bookingplatformen og i forvejen kæmper for at komme sig ovenpå corona-pandemien.
AK Techotel blev ramt af et såkaldt ransomware-angreb, som er en afpresningssoftware, der låser filer eller systemer for derefter at kræve løsepenge for at frigive dem. Vi ser en stigende tendens til, at de cyberkriminelle efterspørger større løsesummer for at låse op for de krypterede filer, simpelthen fordi de kan se, at flere virksomheder er villige til at betale løsesummen. Det er en ond spiral, og AK Techotel måtte også betale løsesummen til hackerne for at få genetableret deres systemer.
CNA Financial, et af de største forsikringsselskaber i USA, betalte angiveligt for nogle måneder siden kr. 250 mio. for at få adgang til deres data og gendanne driften, hvilket vil være en af de største løsesummer hidtil. Til sammenligning er kr. 250 mio. markant mere, end hvad selv store danske virksomheder har i hele deres it-budget, for ikke at tale om it-sikkerhedsbudgetterne.
I Danmark har vi også set eksempler på de ekstremt høje omkostninger, der er forbundet med ransomware-angreb, hvis man vælger ikke at betale løsesummen men i stedet reetablerer systemerne. ISS blev ramt i februar 2020, og ifølge selskabets årsregnskab kostede angrebet omkring kr. 800 mio. Vi har også set store omkostninger i forbindelse med angrebene på William Demant (kr. 650 mio.) og Mærsk (kr. 2 mia).
Hackernes forretningsmodel styrkes
Tendenserne betyder, at forskellen mellem evnerne og incitamentet hos angriberne på den ene side, og omkostningerne hos virksomhederne på den anden side, stiger i et højt tempo. Økonomien bag de cyberkriminelle er enorm. Mange af de cyberkriminelle grupper er organiseret som rigtige virksomheder. De er velfinansierede og stærkt motiverede til at udvikle deres teknologi og angrebsmetoder, og deres indtægtskilde kommer ikke kun fra løsesummer.
Der eksisterer et helt ransomware-økosystem derude, som udnytter de vellykkede angreb. Der findes grupper, som sælger adgange til platforme, som leverer plug-and-play ransomware-services, som andre kan bruge. Andre grupper lever af adgangen til virksomhedens netværk, og vil ikke aktivt forstyrre driften eller kræve en løsesum – de sælger blot adgangen videre til andre cyberkriminelle. Og økosystemet udvider sig hele tiden.
I de seneste 15 år har it-sikkerhedsbranchen i høj grad fokuseret på at opbygge en tæt, digital mur rundt om virksomhedens it-systemer. Resultatet er, at mange virksomheder har en omfattende portefølje af avancerede sikkerhedsteknologier. Teknologierne er dyre og komplekse at bruge og svære at integrere med hinanden – det sidste lykkes desværre sjældent, og det er med til at gøre de mange investeringer i it-sikkerhed omkostningstunge.
Der er altid et hul
Jeg mener, at virksomhederne skal flytte fokus væk fra ”muren”. Det er på tide at anerkende, at man ikke kan undgå, at de cyberkriminelle kommer ind. I stedet er virksomhederne nødt til at sikre sig et bedre indblik i, hvad der foregår inden for muren. Det gør man ved logning af virksomhedens data - dvs. registrering af alle de aktiviteter, der foregår i virksomhedens netværk og it-systemer.
Sat på spidsen betyder det, at 9 ud af 10 danske virksomheder ikke ved, hvad der foregår i deres it-systemer.
Men den nye rapport om logning fra Center for Cybersikkerhed, som meget sigende har titlen ”Ingen logs - intet indbrud”, er uhyggelig læsning. Den konkluderer nemlig, at mindst 75 pct. af danske virksomheder ikke har styr på deres logning. Og ifølge centerets direktør, Thomas Lund-Sørensen, er det tal i virkeligheden nok nærmere 90 pct.
Sat på spidsen betyder det, at 9 ud af 10 danske virksomheder ikke ved, hvad der foregår i deres it-systemer. Det betyder, at cyberangreb ikke kan undersøges og imødegås, simpelthen fordi man ikke ved, hvad der er sket og endnu værre - hvad der sker lige nu.
Udover, at logs er livsnødvendige for at finde ud af, hvad der er sket, kan bedre logning også være med til at forhindre et cyberangreb og minimere skader. Indsamlingen af de digitale fingeraftryk, som de cyberkriminelle sætter i virksomhedens logs, kombineret med effektiv analyse i realtid, gør det nemlig muligt at beskytte virksomheden og forhindre et angreb.
Mit opråb til landets virksomheder er derfor i første omgang at få bedre styr på, hvad der foregår inden for de digitale mure. Når man har fået styr på det, skal man bruge den viden aktivt, når man opdager uregelmæssigheder: til at forhindre cyberangrebet, eller til at genoprette systemerne, hvis virksomheden bliver ramt, på en hurtigere og effektiv måde.
Logs er ikke bare information, der skal indsamles, lægges på lager og bruges ved obduktionen af patienten. De skal bruges aktivt med det samme, så de cyberkriminelle får kamp til stregen. Hvis virksomhederne ikke styrker deres logning og analysen af de digitale fingeraftryk, vil antallet af angreb tage til og beløbet på løsesummen kun stige.
Jesper Zerlang