Til tross for at de fleste organisasjoner og virksomheter i dag har satt IKT-sikkerhet høyt på agendaen, har de blitt eller vil bli utsatt for cyberangrep og spionasje.
Som oftest skjer IKT-angrep uten at de blir oppdaget, eller at bevis blir sikret. Trusselaktørene utvikler sine metoder raskere enn bedrifter klarer å lansere og ta i bruk mottiltak. Angrepsmetodene og -vektorene som de kriminelle benytter, blir stadig mer avanserte og vedvarer gjerne over lengre tid.
De færreste bedrifter har ressursene og strategiene som skal til for å sikre virksomheten mot interne og eksterne trusler.
Ifølge Nasjonal sikkerhetsmyndighet (NSM) forverres risikobildet stadig, og de forventer at konsekvensene av cyberangrep og annen spionasje vil øke i årene fremover.
Digitalisering og IoT (Tingenes internett) – hvor stadig flere av bedrifters prosesser og styringssystemer kobles til nettet – gir mange nye muligheter for bedriftene. Men den økte åpenheten gjør dem også mer sårbare for malware, ransomware og datainnbrudd. Som følge av at digitale verdikjeder blir mer uoversiktlige, øker sårbarhetsflaten i store, komplekse IKT-systemer.
Faktisk anslår IT-selskapet Gartner at innen 2020 vil over 25 prosent av avdekkede angrep mot virksomheter involvere IoT.
Sikkerhetsmessige sårbarheter som kan utnyttes, er en forutsetning for at trusselaktørene skal nå sine mål.
En sårbarhet i en bedrifts IKT-systemer er et svakt punkt som potensielle trusselaktører kan utnytte til å bryte gjennom systemets sikkerhetsmekanismer. Slike svakheter finnes i de fleste systemer.
Som nevnt har fokuset på IKT-sikkerhet økt de siste årene, men samtidig har systemene blitt mer komplekse, sammenkoblede og homogene. Økt kompleksitet øker ofte risikoen for sårbarheter og uønsket tilgang, i og med at det blir vanskelig å få full oversikt over alle sikkerhetsutfordringene.
Større nettverk består ofte av datamaskiner og systemer som ikke er tilstrekkelig dokumentert, og som ikke oppdateres og vedlikeholdes i henhold til anbefalte rutiner. Mye gammelt og utdatert utstyr kjører i norske virksomheter uten at noen har oversikt over det.
Dessuten blir gjerne maskinparken veldig homogen, på grunn av at stadig flere systemer benytter samme operativsystem og programvare. Følgelig vil en sårbarhet som finnes i ett system, ofte forekomme i alle tilsvarende systemer.
Konsekvensen? Trusselaktører trenger kun å fokusere på et fåtall systemer, siden det er lite variasjon i systemene.
Sårbarheter utnyttes i flere faser, jf. Nasjonal sikkerhetsmyndighets vurdering av sårbarheter og risiko i Norge, Risiko 2017:
Trusselaktører begynner å gjøre undersøkelser om virksomheter eller ansatte gjennom åpne kilder, sosiale medier eller data fra tidligere innbrudd.
Innledende tilgang til systemet kan oppnås gjennom tre inngangsporter:
A) Fotfeste på brukerens klient
Trusselaktører bruker typisk en bruker som inngangspunkt til et nettverk. Kjøring av ikke-autoriserte programmer åpner døren for malware levert gjennom e-post eller vannhull. Dessuten er det gjerne enkelt å knekke brukeres passord, siden de som regel er veldig forutsigbare.
B) Sårbare nettjenester
Sårbare tjenester eksponert på internett kan utnyttes for å få tilgang innenfor virksomhetens nettverk. Alle standardpassord bør byttes før enheter settes i system i nettverket.
C) Fysisk tilgang til nettverksport
En trusselaktør kan finne tilgjengelige nettverkspunkter og koble seg til avgrensede eller lukkede nettverk i virksomhetens lokaler. Slike nettverkspunkter finnes ofte på utsiden av adgangskontrollert område, for eksempel i resepsjonsområder.
Trusselaktøren søker etter systeminformasjon, andre nettverkssoner, sårbare tjenester og nyttige datafiler. Nettverk med mangelfull filtrering av trafikk mellom maskiner internt gir store utnyttelsesmuligheter for en trusselaktør. Et dårlig segmentert nettverk gir manglende kontroll på trafikk som flyter på tvers av sonene.
Nå forsøker trusselaktøren å utvide sin tilgang gjennom å overta viktige brukerkontoer, administratorkontoer og tjenester. Derfor er det svært viktig at det ikke tildeles administratorrettigheter til sluttbrukere. Tjenester som blir avglemt, kan i fremtiden bli sårbare og brukes som del av et angrep mot andre tjenester i nettverket.
Ved å etablere bakdører for fremtidig bruk vil trusselaktøren prøve å opprettholde sin tilstedeværelse i nettverket. Manglende rutiner for logging og analyse av trafikk på nettverket gjør det vanskeligere å oppdage slik aktivitet.
Dersom IKT-sårbarheter blir utnyttet av kriminelle aktører, kan det få alvorlige konsekvenser for virksomheten: tyveri av informasjon, forstyrrelser/stans i forretningen og tapt omsetning.
En sårbarhet kan utnyttes på tre måter, ved at angriperen ...
Virksomhetene har selv ansvaret for å verne om sine verdier og bygge et forsvar mot cyberangrep.
For å unngå at kriminelle oppnår sitt mål, med de potensielt alvorlige følger det kan få for bedriften, er det avgjørende at man kan identifisere sårbarhetene, identifisere truslene i sanntid, og eskalere – slik at de mest kritiske kan fokuseres på.
Gjennom sårbarhetsanalyse (aktiv testing av nettverksnoder, tjenester og websider) får man avdekket kjente og ukjente sårbarheter som kan utnyttes av angripere eller på annen måte utgjøre en risiko for virksomheten.
Faren for at organisasjoner og virksomheter vil bli utsatt for cyberkriminalitet, vil øke i tiden fremover. Selv om digitalisering og teknologiutvikling bedrer sikkerheten, gir det økt sårbarhet, ved at stadig nye systemer og enheter sammenkobles.
Det er svært krevende å holde oversikt over sårbarheter gjennom hele verdikjeden, ettersom de forplanter seg raskt mellom leddene.
Sårbarheter som utnyttes, utgjør en stor risiko for hele virksomheten – med tap av omdømme, verdier, kunder og omsetning som resultat. For mange bedrifter vil dette kunne være katastrofalt. Derfor er det en god investering å bygge holistisk IKT-sikkerhet inn i hele virksomheten.