Skip to main content

    Til tross for at de fleste organisasjoner og virksomheter i dag har satt IKT-sikkerhet høyt på agendaen, har de blitt eller vil bli utsatt for cyberangrep og spionasje.

    Som oftest skjer IKT-angrep uten at de blir oppdaget, eller at bevis blir sikret. Trusselaktørene utvikler sine metoder raskere enn bedrifter klarer å lansere og ta i bruk mottiltak. Angrepsmetodene og -vektorene som de kriminelle benytter, blir stadig mer avanserte og vedvarer gjerne over lengre tid.

    De færreste bedrifter har ressursene og strategiene som skal til for å sikre virksomheten mot interne og eksterne trusler.

     

    Økt risiko for IKT-angrep

    Ifølge Nasjonal sikkerhetsmyndighet (NSM) forverres risikobildet stadig, og de forventer at konsekvensene av cyberangrep og annen spionasje vil øke i årene fremover.

    Digitalisering og IoT (Tingenes internett) – hvor stadig flere av bedrifters prosesser og styringssystemer kobles til nettet – gir mange nye muligheter for bedriftene. Men den økte åpenheten gjør dem også mer sårbare for malware, ransomware og datainnbrudd. Som følge av at digitale verdikjeder blir mer uoversiktlige, øker sårbarhetsflaten i store, komplekse IKT-systemer.

    Faktisk anslår IT-selskapet Gartner at innen 2020 vil over 25 prosent av avdekkede angrep mot virksomheter involvere IoT.

    Sikkerhetsmessige sårbarheter som kan utnyttes, er en forutsetning for at trusselaktørene skal nå sine mål.

     

    Hva er en sårbarhet, og hvordan oppstår den?

    En sårbarhet i en bedrifts IKT-systemer er et svakt punkt som potensielle trusselaktører kan utnytte til å bryte gjennom systemets sikkerhetsmekanismer. Slike svakheter finnes i de fleste systemer.

    Som nevnt har fokuset på IKT-sikkerhet økt de siste årene, men samtidig har systemene blitt mer komplekse, sammenkoblede og homogene. Økt kompleksitet øker ofte risikoen for sårbarheter og uønsket tilgang, i og med at det blir vanskelig å få full oversikt over alle sikkerhetsutfordringene.

    Større nettverk består ofte av datamaskiner og systemer som ikke er tilstrekkelig dokumentert, og som ikke oppdateres og vedlikeholdes i henhold til anbefalte rutiner. Mye gammelt og utdatert utstyr kjører i norske virksomheter uten at noen har oversikt over det.

    Dessuten blir gjerne maskinparken veldig homogen, på grunn av at stadig flere systemer benytter samme operativsystem og programvare. Følgelig vil en sårbarhet som finnes i ett system, ofte forekomme i alle tilsvarende systemer.

    Konsekvensen? Trusselaktører trenger kun å fokusere på et fåtall systemer, siden det er lite variasjon i systemene.

     

    Slik kan sårbarheter utnyttes

    Sårbarheter utnyttes i flere faser, jf. Nasjonal sikkerhetsmyndighets vurdering av sårbarheter og risiko i Norge, Risiko 2017:

    Fase 1: Undersøkelser

    Trusselaktører begynner å gjøre undersøkelser om virksomheter eller ansatte gjennom åpne kilder, sosiale medier eller data fra tidligere innbrudd.

     

    Fase 2: Innledende tilgang

    Innledende tilgang til systemet kan oppnås gjennom tre inngangsporter:

      A) Fotfeste på brukerens klient

    Trusselaktører bruker typisk en bruker som inngangspunkt til et nettverk. Kjøring av ikke-autoriserte programmer åpner døren for malware levert gjennom e-post eller vannhull. Dessuten er det gjerne enkelt å knekke brukeres passord, siden de som regel er veldig forutsigbare.

      B) Sårbare nettjenester

    Sårbare tjenester eksponert på internett kan utnyttes for å få tilgang innenfor virksomhetens nettverk. Alle standardpassord bør byttes før enheter settes i system i nettverket.

      C) Fysisk tilgang til nettverksport

    En trusselaktør kan finne tilgjengelige nettverkspunkter og koble seg til avgrensede eller lukkede nettverk i virksomhetens lokaler. Slike nettverkspunkter finnes ofte på utsiden av adgangskontrollert område, for eksempel i resepsjonsområder.

     

    Fase 3: Rekognosering

    Trusselaktøren søker etter systeminformasjon, andre nettverkssoner, sårbare tjenester og nyttige datafiler. Nettverk med mangelfull filtrering av trafikk mellom maskiner internt gir store utnyttelsesmuligheter for en trusselaktør. Et dårlig segmentert nettverk gir manglende kontroll på trafikk som flyter på tvers av sonene.

     

    Fase 4: Utvide tilgang

    Nå forsøker trusselaktøren å utvide sin tilgang gjennom å overta viktige brukerkontoer, administratorkontoer og tjenester. Derfor er det svært viktig at det ikke tildeles administratorrettigheter til sluttbrukere. Tjenester som blir avglemt, kan i fremtiden bli sårbare og brukes som del av et angrep mot andre tjenester i nettverket.

     

    Fase 5: Opprettholde tilstedeværelse

    Ved å etablere bakdører for fremtidig bruk vil trusselaktøren prøve å opprettholde sin tilstedeværelse i nettverket. Manglende rutiner for logging og analyse av trafikk på nettverket gjør det vanskeligere å oppdage slik aktivitet.

     

    Fase 6: Trusselaktøren oppnår sitt mål: utnyttelse av sårbarhet

    Dersom IKT-sårbarheter blir utnyttet av kriminelle aktører, kan det få alvorlige konsekvenser for virksomheten: tyveri av informasjon, forstyrrelser/stans i forretningen og tapt omsetning.

    En sårbarhet kan utnyttes på tre måter, ved at angriperen ...

    • Gir seg selv høyere rettigheter (kan potensielt gi bruker anledning til å slette/endre data og ta kontroll på maskiner)
    • Skaffer seg tilgang til sensitiv informasjon, og deler/misbruker denne.
    • Forhindrer/forstyrrer autorisert tilgang til IT-systemer (gjøre kritiske tjenester utilgjengelige)

     

    Nødvendige tiltak mot utnyttelse

    Virksomhetene har selv ansvaret for å verne om sine verdier og bygge et forsvar mot cyberangrep.

    For å unngå at kriminelle oppnår sitt mål, med de potensielt alvorlige følger det kan få for bedriften, er det avgjørende at man kan identifisere sårbarhetene, identifisere truslene i sanntid, og eskalere – slik at de mest kritiske kan fokuseres på.

    Gjennom sårbarhetsanalyse (aktiv testing av nettverksnoder, tjenester og websider) får man avdekket kjente og ukjente sårbarheter som kan utnyttes av angripere eller på annen måte utgjøre en risiko for virksomheten.

     

    Konklusjon

    Faren for at organisasjoner og virksomheter vil bli utsatt for cyberkriminalitet, vil øke i tiden fremover. Selv om digitalisering og teknologiutvikling bedrer sikkerheten, gir det økt sårbarhet, ved at stadig nye systemer og enheter sammenkobles.

    Det er svært krevende å holde oversikt over sårbarheter gjennom hele verdikjeden, ettersom de forplanter seg raskt mellom leddene.

    Sårbarheter som utnyttes, utgjør en stor risiko for hele virksomheten – med tap av omdømme, verdier, kunder og omsetning som resultat. For mange bedrifter vil dette kunne være katastrofalt. Derfor er det en god investering å bygge holistisk IKT-sikkerhet inn i hele virksomheten.

    Oslo

    Drammensveien 288

    0283 Oslo

     

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Stockholm

    Kammakargatan 22

    111 40 Stockholm