Netsecurity

– Vi har aldri opplevd flere hackerangrep med katastrofalt utfall enn i år

Det norske IT-sikkerhetsselskapet forteller om raske angripere, og hvordan de forsøker å stanse dem. Pluss det faktum at de nå er blitt godkjent av NSM som leverandør av hendelseshåndtering.

Jan Søgaard i Netsecurity.
Jan Søgaard i Netsecurity. (Foto: Pressebilde)

Det norske IT-sikkerhetsselskapet forteller om raske angripere, og hvordan de forsøker å stanse dem. Pluss det faktum at de nå er blitt godkjent av NSM som leverandør av hendelseshåndtering.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Netsecurity AS tas inn på listen over leverandører som oppfyller kravene til digital hendelseshåndtering i regi av Nasjonal sikkerhetsmyndighet (NSM).

Fakta om NSMs kvalitetsordning

NSM etablerte i 2016 en egen godkjenningsordning for leverandører av tjenester innen håndtering av IKT-sikkerhetshendelser.

– I sin søknad dokumenterer Netsecurity at de har nødvendig kvalitet om IKT-sikkerhet og at de er en leverandør man kan stole på for å håndtere IKT-sikkerhetshendelser. Inkluderingen av Netsecurity betyr at Norge nå har fire meget gode leverandører som inngår i ordningen. Dette gir valgmuligheter for bedrifter som etterspør slike tjenester. Det bekrefter også ordningen som et relevant og etterspurt forebyggende sikkerhetstiltak for det norske samfunnet, sier direktør Kjetil Nilsen i NSM i en pressemelding.

Her går det også frem at Netsecurity vil inngå i ordningen frem til november 2022.

Slik status krever en omfattende søknad, også utover dokumentasjon om at de rent teknisk kan håndtere en hendelse.

De må også tilfredsstille definerte krav på ni ulike områder, blant annet organisasjon, prosess, kompetanse, verktøy og rapportering.

Siden NSM etablerte ordningen i 2016 har bare tre andre klart det samme. BDO Cert gikk i bresjen som første gjennom nåløyet, deretter Mnemonic og Atea.

Jan Søgaard, administrerende direktør i Netsecurity, ser på godkjenningen som en viktig anerkjennelse.

– Det er et kvalitetsstempel og en bekreftelse på at det vi gjør har den kvaliteten NSM forventer, sier Søgaard til digi.no.

Han leder et helnorsk IT-sikkerhetsselskap med 60 ansatte, som er flere størrelser mindre enn resten av firkløveret med godkjentstempel.

«SOC 2.0» mot kjappe hackere

Netsecurity har bygget opp et dedikert miljø rundt offensive strategier, herunder et «red team» som driver med oppdragsbasert etisk hacking, det vil si penetrasjonstesting.

De har også modernisert sin døgnbevoktede operasjonssentral. Netsecurity oppgir at de overvåker 50.000 endepunkter på vegne av rundt 400 kunder.

– Vi har bygget en SOAR-basert operasjonssentral (security orchestration automation and response), antakelig som første aktør i Norden, hevder Søgaard.

Kjerneteknologien er basert på XSOAR, tidligere kalt Demisto, som er en sikkerhetsplattform utviklet i Israel, som ble kjøpt opp av Palo Alto Networks i fjor. Maskinlæring og kunstig intelligens inngår for å beskytte mot stadig mer avanserte, og raske angripere.

– Det som har skjedd de siste årene er at angriperne bruker kortere og kortere tid på å ta kontroll over kundene. Nasjonsstater, for eksempel russiske hackergrupper, kan bruke ned mot 10 minutter på å oppnå fullstendig kontroll. Det betyr at man har stadig kortere tid på å reagere.

Manuell håndtering er ikke nok

Manuell håndtering kan ikke stanse hendelser som utfolder seg så raskt, mener Søgaard.

– Derfor har vi lagd en SOC (security operations center) som fullstendig kan automatisere både analyse og respons, for å redusere tiden fra et angrep blir oppdaget til det stanses. Noe av det vi har lagt stor vekt på er at vi kan snakke med ethvert system, både på API-nivå, data- og utvekslingsnivå. Der tror vi at vi er helt unike.

SOC-miljøet ble bygget opp fra scratch for fem år siden. Halvannet år er gått siden de begynte å utvikle det Søgaard kaller SOC 2.0.

– Vi begynte å levere på den automatiserte plattformen våren 2020.

Selskapet fanger opp såkalte indikatorer på uønskede hendelser. Her inngår noe de kaller avanserte «playbooks», hvor de ved hjelp av kunstig intelligens og maskinlæring gjør mange parallelle analyser. De ansatte er selvfølgelig ikke blitt overflødige.

– Det kan være vanskelige beslutninger som må tas. Kanskje må vi ta ned en vital maskin i et produksjonsmiljø. Da må vi typisk involvere kunden.

Les også

–Ingen strategi er et dårlig utgangspunkt

Så hender det ikke rent sjeldent at virksomheter ber om hjelp først etter at katastrofen har skjedd.

– Der er kunder rare. Mange forstår ikke at arbeidet man gjør, før man blir angrepet, er avgjørende for resultatet. En ting er å beskytte seg, ingen kan gi noen fullstendige garantier for det, men det å være forberedt på vellykkede angrep er avgjørende for hvor god hendelseshåndtering vi kan levere etterpå.

Hvor raskt man kan etablere en normal driftssituasjon, og muligheten for å sikre spor og beviser, henger klart sammen slikt forarbeid, mener han.

– Hvis du blir angrepet og ikke har noen strategier, så er det et dårlig utgangspunkt. Vi prøver å si til nye kunder at det er fint du kommer til oss nå, men de burde allerede hatt løsninger og etablerte rutiner på plass når en hendelse oppstår, sier Søgaard.

Servere i Norge

Selskapet er stolte av at de er norske. Det gjelder både virksomheten, eierne og operasjonssentralen, som er knyttet til et nyetablert datasenter på Støleheia utenfor Kristiansand, som er bygget opp av Bulk Infrastructure.

– Men vi kan også behandle data ute hos kundene, ved å plassere ut en tenant-server. Kraft, industri, olje og gass er eksempel på sektorer som har krav om ikke å eksportere data ut av kritiske miljøer.

– Aldri opplevd så mange fatale angrep

Netsecurity hevder at de aldri har hatt så mange oppdrag, som i år. Korona-våren har vært helt spesiell med stor etterspørsel.

– Vi har heller aldri hatt så mange oppdrag med katastrofalt utfall. Det er veldig mange kunder hvor utpresserne, det er stort sett pengeutpressing gjennom phishing vi ser, ender opp med full kryptering av kundens miljø. Det har vi sett mer av denne våren enn noen gang tidligere, sier Søgaard.

– Hvor ille kan det gå? Har du noen ferske og reelle eksempler fra Norge?

Svaret røper at flere velger å betale løsepenger til kriminelle, etter å ha opplevd at kritisk informasjon kan gå tapt for alltid.

– Vi har flere eksempler fra inneværende år fra kunder som ville ha gått konkurs, vært borte i dag, hvis de ikke hadde betalt løsepenger.

Har forhandlet med kriminelle

Summene som norske virksomheter blir forsøkt tvunget til å bla opp etter et cyberangrep, kan variere veldig, men trenger ikke å være ekstremt høye. Søgaard snakker om krav i størrelsesorden noen hundre tusen kroner.

Utrolig nok, vil enkelte kanskje mene, så går det ifølge Netsecurity-sjefen an å forhandle med angriperne, etter at de har infisert og ødelagt verdifulle data med sterk kryptering.

– Du kan ha dialog med skurkene. Som regel opptrer de ryddig med tanke på deadline for slike betalinger. Vi har ett tilfelle i sommer hvor kunden ikke ville betale løsepenger, inntil de innså at det ikke var mulig å rekonstruere data. Men innen de ombestemte seg, var det for sent.

Jan Søgaard understreker at han i utgangspunktet er helt enig med dem som mener at «det er idiotisk å fôre en kriminell industri gjennom å betale», men inntar samtidig en pragmatisk holdning.

– Hvis bedriften har et så dårlig forsvar kan løsepenger være det eneste alternativet.

Ingen kundegrupper utpeker seg spesielt. I dag er alle like utsatt for potensielt ødeleggende angrep med kryptovirus, også kalt ransomware, der kriminelle krever betalt for en nøkkel som kan låse opp filene dine.

Les også

Færre bokser, mer tjenester

Netsecurity har levert solide overskudd og pen vekst gjennom flere år. I fjor omsatte de for nærmere 127 millioner kroner med godt over 10 prosents bunnlinje.

Lønnsomheten fortsetter i 2020, som blir et år med fortsatt god vekst, hvis vi skal tro daglig leder.

– Det er en jevn utvikling også inneværende år. Vi er kommet dit at vi bygger mer strukturkapital, og må gjøre en del ting som ikke måtte gjøres som liten. Det innebærer en del kostnader som vi tar i forbindelse med vekst. Samtidig utvikler vi oss mot en stadig høyere tjenesteandel, sier Jan Søgaard.

Netsecurity har gjennom årene solgt tusenvis av maskinvareenheter, fysiske brannmurer og nettverkskomponenter. Det er et typisk lavmargin-område, som blir mindre viktig fremover.

– Det går den veien at tjenester, inkludert rådgivning og konsulentvirksomhet blir større og større. Det er nå en veldig stor del av butikken, forteller han.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen