(Bilde: H.Brombach)

Watchcom

Bedrifter øver på brann, men ikke på IT-angrep

– Et paradoks når vi er så avhengige digitale tjenester, mener Watchcom-sjefen.

OSLO/HAVNELAGERET (digi.no): Mange bedrifter arrangerer jevnlig brannøvelser, slik at de ansatte skal bli mer bevisste på branninstruksen og hva de skal gjøre dersom en virkelig krise oppstår på arbeidsplassen.

Mange bedrifter har også en instruks eller plan for hva som skal gjøres dersom bedriften utsettes for IT-angrep. Men langt færre øver på dette.

– Når angrepet faktisk skjer, blir det mye armer og bein i alle retninger. Ingen vet hvor planen er, og kontaktpersonen som er oppført, sluttet kanskje for to år siden, sier Eivind Utnes, senior sikkerhetskonsulent og sikkerhetssjef internt hos Watchcom Security Group, til digi.no.

Øvelse gjør mester

Dette er erfaringen selskapet har fått gjennom det de kaller for «Red Team»-øvelser, hvor de ansatte i Watchcom gjennomfører målrettede angrep hos kunder for å avdekke sikkerhetshullene. Ofte ser man en klar forbedring andre gangen en slik øvelse arrangeres hos en virksomhet.

– De som har vært på en slik stressituasjon greier seg ofte bedre totalt sett når det gjelder skadevirkninger, sier Nils Johan Brede, administrerende direktør hos Watchcom.

Dette skyldes ifølge ham at man har fått policyer og prosedyrer på plass, og fått se hva de faktisk skal brukes til.

– Det er et paradoks at vi er så avhengige av digitale tjenester, men øver så lite på det. Man har dessuten gjerne skilt mellom fysiske og digitale angrep, men nå ser en stadig oftere en hybrid type angrep, hvor det startes med digitale angrep for å få fysisk tilgang. Det er derfor falsk trygghet bare å øve på fysiske angrep, sier Brede.

Watchcom har også observert en trend hvor bedrifter blir angrepet fra innsiden, av utro ansatte med høyt tilgangsnivå.

– Dette kan blant annet handle om maktkamper internt. Den økte digitaliseringen gjør at fristelsene øker, mener Brede.

Inn i HMS

Brede mener at IT-sikkerhet må bli en del av hverdagen i virksomhetene, som en del av HMS-arbeidet, hvor sikkerhet allerede er et område.

– Det handler ikke om annet enn HMS og internkontroll, hvor det er et krav om at alle virksomheter skal ha vurdert risiko, sier han.

Ifølge Brede er det ofte slik at ansvaret for sikkerheten er plassert nær IT.

– Det er vanskelig å få toppledelsen til å ta dette ansvaret. I stedet pekes det ofte på sikkerhetssjefen. Men sikkerhetssjefen er mest av alt en veileder. Det bør være legitimt for en sikkerhetssjef å si til ledelsen at man har avdekket noen utfordringer. Sikkerheten angår hele virksomheten, inkludert styret. Dersom elementer ikke er på plass, er det svikt i internkontrollen. Dette gjelder også dersom det ikke gjøres øvelser, sier han.

– Vår oppgave er å kommunisere dette til ledelse og styre, men vi har ikke vært flinke nok til dette, innrømmer Brede.

Likevel forteller han at han stadig oftere blir fortalt av toppledere at IT-sikkerheten har kommet opp på agendaen.

De små er utsatt

Heller ikke hos mange småbedrifter tas IT-sikkerheten på alvor. Ofte handler det om manglende kompetanse. Brede tar til orde for å skape mer bevissthet rundt dette, både gjennom utdanningssystemet – helst allerede i grunnskolen – og som en startpakke i form av kurs og seminarer, inkludert Nasjonal sikkerhetsmåned, som allerede er etablert.

– Det handler om å begynne å bygge opp en bevisst sikkerhetskultur. Dette er spesielt sensitivt for små bedrifter fordi de ofte ikke har gode nok økonomiske rammer til å tåle et angrep, sier Brede.

– Inntil man har fått tall på hva tapene koster, så er IT-sikkerhet et rent rødt tall i regnskapet, legger Utnes til.

Det er ikke nødvendigvis så mye som skal til. Watchcom har noen små, enkle råd å komme med, i tillegg til å seg litt kursing og å innlemme IT-sikkerheten i HMS.

– Vær litt mer årvåken når man er på jobb, og tenk gjennom hva man kan klare selv og ikke, dersom det skjer noe, sier Fredrik Bugge Lyche, informasjonssikkerhetskonsulent hos Watchcom.

Backup

Det mest grunnleggende rådet, som mange har lært på den harde måten i det siste på grunn av utpressingsvare, handler om å sikre de verdifulle dataene.

– Selv for små bedrifter er det enkelt å få til automatisk backup, sier Utnes.

– Ransomware har endelig ført til at backup er noe alle gjør, legger han til.

Watchcom mener at nesten uansett hvor godt kringvern man har rundt bedriften, gjennom brannmurer og annen teknologi, så vil angrepet skje. Nettopp fordi kringvernet ofte er så godt, rettes angrepene mot de ansatte i stedet.

Etter angrepet

– Du kan ikke garantere en 100 prosent trygghet. Den menneskelige faktoren må man leve med. Den kritiske fasen er den som kommer etter at angrepet har skjedd, sier Brede.

– Det vil alltid være noen som angriper, og det er alltid en eller annen som klikker. Det avgjørende da er hvor fort man oppdager det og hva som er gjort for å bremse angrepet, sier Utnes.

– Bruker man et flatt nett, er det gjort på et minutt. Med flere hindringer, som streng segmentering av nettet, tar det lenger tid, forteller han.

En annen faktor er den interne kommunikasjonen i bedriften.

– Vi har sett i testene våre at etter at en ansatt i bedriften har blitt kompromittert, fortsetter andre ansatte i bedriften å gå på de samme phishing-eposten en halvtime etter at den første ble oppdaget. De har ikke hatt god nok varsling, sier Lyche.

I tillegg har Watchcom erfart mange bedrifter ikke informerer de ansatte om vellykkede angrep som faktisk har skjedd.

Watchcom legger også vekt på at det er viktig at ingen blir hengt ut, selv om de er den direkte årsaken til at angrepet har vært vellykket.

– Det handler om holdninger i bedriften, at det er greit å fortelle at man har klikket. Vi ser en økning i slike varsler i etterkant av øvelsene, sier Lyche.

Angstdempende

Han tar samtidig et aldri så lite oppgjør med deler av sikkerhetsbransjen, hvor det kan virke som at noen forsøker å skape et verre bilde av situasjonen enn det egentlig er, gjerne for å selge flere produkter og tjenester.

– Det er mye skremselspropaganda. Vi vil heller se på mulighetene og forsøke å fjerne engstelsen som rår, sier Lyche.

– Det er viktig for oss å være angstdempende, legger Brede til.

– Ansatte med angst eller stress øker risikoen. Det er viktig vise at man kan mestre situasjonen selv om man gjør feil, sier han.

Red Team-øvelser er ifølge Lyche relativt nytt i Norge, men har vært populære i utlandet lenge. Watchcom har hentet mye kunnskap om slike øvelser fra USA, for å anvende dette i Norge.

Øvelsene starter gjerne med at Watchcom kartlegger så mye informasjon som man greier å finne gjennom åpne kilder som Facebook, LinkedIn og bedriftens egne websider.

– Mange bedrifter lister hele ledelsen med kontaktinformasjon og annet. Dette er veldig nyttig når man vil bygge en profil av et angrepsmål, forteller Utnes.

– Deretter ser man på det som er eksponert, blant annet e-postadresser til ansatte eller spesialkontoer, som HR. Så bruker vi en del hjemmelagde ting for å få fotfeste i nettverket, forklarer han.

Dette lykkes Watchcom faktisk med i ti av ti tilfeller, opplyser selskapet.

Kundene

På spørsmål om hvem som faktisk bestiller slike øvelser, forteller Lyche at det ofte er virksomheter som allerede har gjort et bevisst arbeide innen sikkerhetskultur allerede.

Bank og finans er nok teten, men også andre bransjer har kommet med forespørsler til Watchcom om slike øvelser. Dette gjelder både selskaper som ser at de kan bli angrepet av konkurrenter, men også virksomheter som er eksportrettet og har kontorer i flere land. Shippingbransjen nevnes som eksempel på dette.

Brede forteller at det også har vært en oppvåkning på dette området innen offentlig sektor, spesielt innen energiforsyningen.

Til toppen