Kjære Økokrim, verktøyet til bevisføring finnes

Det er ikke alltid hendelsen der og da som er alvorlig nok til å gå til anmeldelse, men det som bygger seg opp over tid, skriver Cato Hordnes som jobber i et IT-sikkerhetsfirma.

En artikkel den 4. august i digi.no om at Økokrim vil ha beviser når hacking er en realitet, tar opp flere interessante ting om dette emnet.

Les artikkelen her:


Økokrim vil ha beviser

Som Inger Marie Sunde nevner bør man samle opp mest mulig bevis og nettopp dette har man mulighet til med det rette verktøyet. Det er ikke alltid hendelsen der og da som er alvorlig nok til å gå til anmeldelse, men det som bygger seg opp over tid. Dette tyder også på at noen vil noe mer enn bare plage. Når tiden er inne etter nok angrep har man bevis på angrep over lengre tid. Da er det vanskeligere å påstå at det var en tilfeldighet at det aktuelle datainnbrudd fant sted.

Flere typer verktøy er på markedet og disse har til oppgave å oppdage innbrudd eller forsøk på inntrenging i nettverket og servere.På denne måten kan en virksomhet preventivt beskytte seg mot hacking, noen verktøy kan også automatisk resette en sesjon som angivelig kommer fra en hacker. Metodene finnes, men vi erfarer at de færreste virksomheter treffer tiltak etter at de er blitt hacket eller har hørt om tilfeller hos andre. Vi merker en vegring av beslutning for å treffe tiltak når man får lagt fram hva som kan gjøres.

Det er nok en budsjettsak hvor avsetning av midler til sikkerhet av denne type ikke har nok fokus. Det er lettere å sette av penger til en markedskampanje som koster 2,5 mill, enn 400.000 til å øke virksomhetens sikkerhetsnivå.

Bedriftsledere, IT-ansvarlige må bli flinkere til å sette kostnad for IT-sikkerhet opp mot det reelle trusselbilde.

Hva om de stiller seg følgende spørsmål:

Hvordan vil min virksomhet tåle :

- et negativt reklameoppslag på bakgrunn av hacking (tagging som Inger Marie Sunde nevner).

- beskyttet informasjon kommer på avveie (helse, finans, kundedatabase)

- tap av allmenn/offentlig tillit ved lengre forstyrrelser av den daglige drift.

Et gjennomtenkt og ærlig svar vil som oftest dokumentere at om det inntrer en av de hendelser jeg nevner, vil skaden være betydelig og med uante økonomiske konsekvenser.

Når uhellet er ute vet de færreste hvordan de skal forholde seg. Sunde nevner dårlig eller ingen dokumentasjon, og dette har mye av sin årsak i at mange rett og slett ikke vet hvordan de skal forholde seg når de er blitt hacket eller har mistanke om det.

Med enkle forholdsregler kan mye av dette bli meget bedre, men krever at man har gjort en del tankearbeid på forhånd og at virksomheten har prosedyrer for hvordan man skal forholde seg

Dette er noen headlines jeg vil anbefale:

Eget team.

Det er viktig at man bygger opp et internt team som kan handle effektivt om ulykken skulle være ute. Teamet skal handle på bakgrunn av prosedyrer som er godkjent fra ledelsen.

Myndighet

Forståelsen for et slikt team er viktig. Det må derfor forankres høyt oppe i ledelsen. Teamet må ha beslutningsmyndighet til å foreta handlinger der og da.

Sammensetning

Teamet er sammensatt av ressurspersoner fra en eventuell kompetansegruppe.

Varsling

Prosedyrer skal da følges om hvordan og hvem som kalles inn.

Bevisføring

Ved alvorlige hendelser skal denne gruppen vite hvordan man sikrer bevis for eventuell anmeldelse.

1. isolere maskin fra nettet. (eks TCP resett av mistenkt sesjon.)

2. brutalt, men trekke ut nettverkskabel mot internett.

3. lukke logger på en riktig måte slik at viktige spor ikke slettes.

4. kontakt ISP for frysing av logger.

5. kontakte Økokrim, ha tlf. nr. klart.

Sunde kommer inn på at det er ofte helt ferske bedrifter det dreier seg om. Det er ikke uten grunn fordi mange av disse har kun sin kunnskap utfra en helt fersk lærdom i IT faget. De er naturlig svært opptatt av forretning og bygger opp sin ASP eller ISP med svært lite kjennskap til elementær datasikring og langt mindre de trusler som kommer fra Internett. Mange bedrifter legger faktisk sine servere ut til ASP-selskap som selv ikke sikrer seg godt nok i forhold til det de skal ivareta for sine kunder.

Svært mange norske virksomheter vil kunne øke sitt sikkerhetsnivå betraktelig selv med beskjedne investeringer og dette vil kunne hindre mye av de plager mange opplever i dag.

EventData AS er et IT-sikkerhetsfirma med spesialkompetanse innenfor innbruddsdeteksjon, og vil med artikkelen kommentere hvordan vi opplever norsk næringsliv og dets forståelse for IT-sikkerhet.

Til toppen