Kinesisk cyberspionage via Microsoft truer danske virksomheder

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Nu er indsatsen endnu engang blevet hævet, når det kommer til cyberspionage.

En sårbarhed i Microsofts cloud-platform tillod kinesiske hackere at kapre regeringsmails og opretholde deres adgang i mere end en måned. Angrebet rejste nye bekymringer om udenlandske magters offensive cyberkapaciteter og også om sikkerheden ved cloud-baserede tjenester.

Men selvom det var et alvorligt angreb, bør de danske virksomhedsledelser ikke træffe nogen forhastede beslutninger om at annullere deres cloudmigrering. Og ligeledes kan it-sikkerhedsbranchen kan heller ikke bebrejde Microsoft for noget, som ingen leverandør er immun overfor.

De statsstøttede kinesiske angribere formåede at bryde ind i omkring 25 organisationers data, herunder regeringsorganer, ved hjælp af forfalskede signeringsnøgler. De udnyttede en sårbarhed, der først blev identificeret af amerikanske myndigheder og senere rettet af Microsoft. Det er ikke banale sårbarheder, men de statsstøttede og målrettede angreb af denne art er ikke begrænset af økonomiske eller tekniske ressourcer og kan derfor være intense i deres angreb – både i styrke og tid.

Desværre er det derfor ikke overraskende, at selv en stor teknologivirksomhed med den mest avancerede sikkerhed til rådighed kunne bruges som indgangspunkt for den seneste spionoperation.

Toppen af isbjerget

Der er ikke meget, der tyder på, at det er sidste gang, vi hører til sådan et angreb. I cybersikkerhedskredse har vi i nogen tid advaret om en stigning i kinesisk statsstøttet aktivitet, da både geopolitiske spændinger mellem USA Kina – og indtil videre i mindre grad også mellem Kina og Europa – fortsætter med at stige.

Til at begynde med er det vigtigt at huske, at kinesisk hackeraktivitet ikke er økonomisk – modsat hvad vi eksempelvis ser fra mange af de østeuropæiske. Det fokuserer på spionage, som egner sig til langsigtet og skjult indtrængen med det formål at stjæle information til det kinesiske styre. Det er vigtigt at se hele billedet af hændelsen i lyset af det igangværende teknologiske kapløb mellem Kina og USA, især med fremkomsten af AI. Det er afgørende, at forsknings-, udviklings- og regeringsdata beskyttes mod uautoriserede øjne, da AI fremstår som den nye slagmark for en teknologisk kold krig.

Derfor skal virksomheder nu tage deres cloud-sikkerhed endnu mere alvorligt end nogensinde før. Mens den gennemsnitlige virksomhed sandsynligvis vil bekymre sig mere om at blive afpresset af en ransomware-bande, er det vigtigt at overveje de igangværende forsyningskædeangreb og langsigtede trusler fra Kina.

Selv en tilsyneladende ubetydelig tredjepartsudbyder kan være værktøjet til indtrængen og indsamling af efterretninger. Der er flere eksempler på, at angreb gennem softwareforsyningskæden er ødelæggende, herunder SolarWinds-angrebet i 2020, som kompromitterede data fra tusindvis af virksomheder, og i sommeren 2021 blev hundredvis af Coop-butikker i Sverige tvunget til at lukke, da POS-systemer blev slået ud af inficeret software fra Kaseya, et firma to trin op i forsyningskæden.

Bliv i de offentlige skyer, men…

Den lektion, som virksomhedsledere kan tage med sig fra angreb som disse, er ikke straks at skifte til en privat sky, men at fortsætte med dine offentlige cloud-tjenester. Få i stedet hjælp fra etablerede sikkerhedsfirmaer til at sikre cloudinfrastrukturen og eliminere risikoen for potentielt ødelæggende konsekvenser: Jo færre angrebsflader, jo bedre.

Regeringsstøttede angrebsteknikker kan ændre sig næsten natten over, så det giver ingen økonomisk mening at holde trit med deres nyeste taktik ved blot at købe nye sikkerhedsværktøjer hver uge.

Virksomheder bør i stedet indse, at eget forsvar kun er så stærkt som den mindst sikkerhedsbevidste medarbejder og derfor arbejde på at hæve det laveste niveau af organisationens sikkerhed. En anden vigtig løsning er at investere i cyberforsikring, som kan yde support i tilfælde af en hændelse og også hjælpe med at opbygge en sikrere organisation fra bunden.

Grundlæggende sikkerhedskontroller, herunder multifaktorgodkendelse, korrekte adgangskoderegler og samarbejde med et internt eller eksternt SOC (Security Operations Center) for at få overvågning døgnet rundt, er eksempler på yderligere foranstaltninger, der kan understøtte en organisations forsvar.

Endelig kan opretholdelse af en god sikkerhedskultur for alle brugere betyde forskellen mellem en mindre hændelse og en alvorlig hændelse. Forfalskede identiteter og stjålne loginoplysninger spredes konstant på den mørke side af internettet, og det er vigtigt straks at lappe selv den mindste sårbarhed.

Det er ledelsens ansvar at lægge grundlaget for sikkerhedskulturen gennem regelmæssige tests og øvelser og at uddanne medarbejderne i sikkerhedsbevidsthed på alle niveauer i organisationen.

Selvom din egen virksomhed ikke er det reelle mål for en it-kriminel, skal ledelsen være opmærksom på, at virksomheden kan bruges som et værktøj til kriminel aktivitet online, hvad enten det er til økonomiske eller cyberspionageformål.

Den internationale situation i dag med krigen i Ukraine, koran-afbrændinger og voksende spændinger med Kina understreger vigtigheden af, at virksomhedsledelsen aktivt gennemgår sikkerhedsarbejdet og sikrer, at den fastholder en stærk position til at beskytte sine kunder og netværk.