Denne artikkelen er produsert og finansiert av Sintef - les mer.
Alle blir angrepet før eller siden. Sørg for å ha cybersikkerheten i orden.
(Foto: Gorodenkoff / Shutterstock / NTB)
12 ting du må vite om cybersikkerhet
Risikoen for cyberangrep mot norske virksomheter har økt i løpet av koronapandemien. Her er det du må vite om cybersikkerhet og hacking.
I Sintef jobber noen av de fremste ekspertene på cybersikkerhet i Norge. Nå svarer de på et par store spørsmål om hva folk flest bør legge merke til:
- Hva må du vite om sikkerhet?
- Hva kan du gjøre for å sikre din virksomhet eller arbeidsplass mot cyberangrep?
De som har svart er: Forskningssjef Maria Bartnes, forskerne Per Håkon Meland, Martin Gilje Jaatun, Ravishankar Borgaonkar og Gencer Erdogan.
Alle svarene fra ekspertene er sammenfattet i 12 ting du bør vite, her:
1. Høyere risiko for cyberangrep
Koronapandemien har forsterket risikobildet for digitale angrep for norske virksomheter, ifølge Nasjonal sikkerhetsmyndighet. I takt med at digitaliseringen har økt, har mange av hackerne blitt permittert og hatt god tid til å utføre cyberangrep under pandemien.
2. Hackere er ikke lenger bare ungdommer på gutterommet
Nå er trusselaktørene mer profesjonelle og ofte organiserte som bedrifter, der hackerne sitter på kontorer og har vanlig arbeidstid. Det har forskere funnet ut blant annet ved å se på når på døgnet angrepene skjer.
3. Hjemmekontor har gjort systemene mer sårbare
Utstrakt bruk av hjemmekontor på grunn av koronapandemien har gjort systemene mer sårbare for angrep.
Årsaken er at man åpner opp digitale porter for å slippe inn ansatte på hjemmekontor og tar i bruk nye digitale verktøy i rekordfart. Da er det vanskelig å opprettholde sikkerhetsnivået man hadde tidligere.
4. Standardsystemer blir oftere hacket enn spesialtilpassede systemer
Hackere liker standardsystemer fordi de da bare trenger å finne én metode for å hacke seg inn i mange virksomheter. Men ikke tro at ditt spesielle system ikke kan hackes fordi det er sjeldent. Ta i bruk Kerckhoffs' prinsipp: Anta at fienden har tilgang til all informasjon om systemet ditt, unntatt krypteringsnøkler.
5. Motivet for de fleste hackerangrepene er økonomisk vinning
Løsepengevirus og kredittkortsvindel er svært utbredt, siden økonomisk vinning er motivet for de fleste trusselaktørene. Bransjer som forvalter store verdier er mest utsatt, men alle kan rammes.
6. Hackernes metoder blir stadig mer sofistikerte
I 2019 tapte Hydro nærmere 800 millioner kroner da de ble utsatt for et løsepengevirus, som ble sendt gjennom en helt legitim e-post med et vedlegg en ansatt i Hydro ventet på og dermed åpnet. Det omfattende Solarwinds-angrepet ble gjort via falske programvareoppdateringer som var behørig signert med nøkler fra produsenten.
Tilsvarende metode ble benyttet av Dragonfly-kampanjen, som brøt seg inn på leverandørers nettsted og la inn falske oppdateringer som kunder i neste omgang lastet ned og ble infisert av.
7. Vær klar over at alt henger sammen
Et sikkerhetshull i et system hos en underleverandør kan utgjøre en stor sikkerhetsrisiko for ditt firma eller din arbeidsplass. Dingsen som styrer strømmen på hytta eller gjør at du kan sette på kaffetrakteren på vei hjem, kan utgjøre en sikkerhetsrisiko hvis ikke app-selskapet som har laget den, har sikkerhet tilstrekkelig langt oppe på prioriteringslisten.
Svært mange programvaresystemer er avhengige av et stort antall programvarebiblioteker som vedlikeholdes av en rekke ulike aktører - en sårbarhet i ett slikt bibliotek kan få fatale konsekvenser. Det skjedde da globale hackerangrep rystet verden i 2017.
8. Kritisk infrastruktur er koblet sammen med internett
Systemer som tidligere har levd i en isolert verden, som styringssystemer på en plattform eller i strømnettet, kobles nå sammen med internett. Dette åpner samtidig for flere angrepsflater.
Et cyberangrep mot for eksempel strømnettet, nødnettet, sykehus eller andre deler av helsesektoren, kan få enorme ringvirkninger og fatale konsekvenser.
Hele det digitale Norge er avhengig av at kritisk infrastruktur er utviklet på en sikker måte. I arbeidet med utbygging av 5G-nettet har beskyttelse mot potensielle cyberangrep fra internasjonale, statlige aktører stått høyt på agendaen etter debatten rundt bruken av kinesiske Huaweis baseutstyr.
Det er viktig at cybersikkerhet og nasjonal sikkerhet er tatt høyde for også i utvikling av all kritisk infrastruktur.
9. Ingen er fredet og alle blir angrepet før eller siden
Derfor er det viktig å planlegge for hva man skal gjøre under og etter et innbrudd. Kan du sette inn en reserveløsning som holder noen av hjulene i gang? Det kan for eksempel være skyløsninger, en alternativ server et annet sted i verden eller i verste fall penn og papir.
10. Sikre verdiene dine
Ta backup av alle data. Backup er også den beste beskyttelsen mot løsepengevirus, som er en type ondsinnet programvare som blokkerer brukerens tilgang til datamaskinen og krever at en pengesum blir utbetalt for å åpne opp tilgangen igjen.
11. Ledere og ansatte må øke bevisstheten rundt cybersikkerhet
Virksomheter må skape en sikkerhetskultur og ansatte må trene på cyberangrep for å finne sårbarhetene. Hvordan bevisstgjøring og trening innen cybersikkerhet skal utføres, avhenger av forkunnskapene og de ansattes rolle.
En HR-person uten forkunnskaper vil få best utbytte av bevisstgjøringskurs eller kampanjer for hvordan man skal beskytte seg mot ondsinnede e-poster.
Ansatte med tekniske roller derimot, som for eksempel programvareutviklere, vil få bedre nytte av cybersikkerhetstrening ved hjelp av såkalte Cyber Range-miljøer hvor angrep simuleres og deltakere aktivt må finne og fikse sårbarheter for å beskytte systemet mot pågående angrep.
I EU-prosjektet CYBERWISER.eu har Sintef utarbeidet både enkle bevisstgjøringskurs og praktiske treningsscenarioer for at bedrifter kan trene på å beskytte seg mot cyberangrep.
12. Utviklere må lære seg å tenke som en angriper
Programvaresikkerhet må være en obligatorisk del av grunnutdanningen til utviklere ved alle norske studiesteder. Og trusselmodellering må inn som en fast post i alle utviklingsløp i norske virksomheter. Utvikleren må som et minimum forsikre seg om at programvaren ikke inneholder noen av sårbarhetene i OWASP-top-10-listen.
Kilder: Seniorforsker/dr.gradsstipendiat Per Håkon Meland, forskningssjef Maria Bartnes, seniorforsker Martin Gilje Jaatun og forsker Ravishankar Borgaonkar ved Systemutvikling og sikkerhet i Sintef Digital, forsker Gencer Erdogan ved Programvare- og tjenesteinnovasjon i SintefDigital, Dagens Næringsliv og informasjonsdirektør Halvor Molland i Hydro til Ateas podcast Teknologi og mennesker.
Les også disse artiklene fra Sintef:
forskning.no vil gjerne høre fra deg!
Har du en tilbakemelding, spørsmål, ros eller kritikk? TA KONTAKT HER