Fagblogg | NetSecurity

Potensielle konsekvenser av dataangrep

Skrevet av Netsecurity | 3. oktober 2018 10:54:09 Z

Dagens digitale trusselbilde endrer seg raskere enn virksomheter makter å respondere. Datakriminalitet har blitt en tjeneste (Crime-as-a-Service – CaaS).

Mørketallsundersøkelsen 2018, utført av Næringslivets sikkerhetsråd, viser at norske bedrifter har liten oversikt over organisatoriske følger og kostnader knyttet til angrep og uønskede sikkerhetshendelser. Kostnadene er estimert til et titall milliarder kroner hvert år.

I rapporten Trusler og trender 2017–18, utgitt av Norsk senter for informasjonssikring(NorSIS), pekes det på de 6 alvorligste truslene norske virksomheter står overfor i det digitale rom. Vi ser nærmere på disse truslene, og konsekvensene de kan få for bedriftene som rammes.

 

1. Informasjonstyveri

Målet utsettes for tyveri av virksomhetskritisk informasjon.

Metoden er typisk datainnbrudd og nettfisking (phishing), falske apper og nettsider. Til og med søppelsnoking (fra avhendede eller stjålne digitale enheter) og hacking av tredjeparts tjenesteleverandører er faktorer som berører bedrifter i dag.

Konsekvenser

Konsekvensene kan være store når den stjålne informasjonen benyttes i ulike typer angrep, så som direktørsvindel og utpressing (løsepengevirus).

Virksomhetsinformasjon på avveie øker sannsynligheten for angrep, og for å miste materielle og immaterielle verdier. Ofte kan det være vanskelig å vurdere det eksakte tapet av verdier.

Dersom sensitive personopplysninger blir frastjålet bedriften, kan dette også utgjøre en potensiell risiko for privatpersoner.

 

2. Vanvare

En selv utsetter bedriften for risiko. Vanvaren består typisk i ubetenksomhet og uheldige valg/vurderinger, bl.a. som følge av for lav bevissthet eller manglende kunnskap om digitale trusler. For eksempel at man som ansatt tar i bruk ny teknologi uten å sette seg inn i konsekvensene dette har for bedriftens IKT-sikkerhet.

Eksemplene er mange på at utilsiktede feil fører til innbrudd og tap for bedrifter. Et typisk scenario er at ny teknologi er satt i produksjon, men at den er feilkonfigurert og tillater angripere en direkte vei inn i systemene.

Konsekvenser

Konsekvensen kan være at ulike trusselaktører lettere får gjennomført sine angrep mot bedriften. En annen sannsynlig konsekvens er at informasjon blir utilgjengelig, endret eller kommer på avveie.

 

3. Løsepengevirus

Målet presses for penger, som oftest etter at filer krypteres og gjøres utilgjengelige, med trussel om å offentliggjøre informasjon og/eller ødelegge data. Det kreves løsepenger for å låse filene opp igjen. I noen tilfeller blir ikke bare filene kryptert, men hele serveren.

Metoden er spredning av skadevare, typisk via falsk e-post eller pop-ups på nettsider. Noen ganger utnyttes sikkerhetshull i programvare, eller forsøk på å misbruke brukerkontoer som har dårlig passord, for å spre skadevaren.

Konsekvenser

Konsekvensen vil først og fremst være økonomisk tap, eller tap av data. For virksomheter kan tap av data ha negativ innvirkning på tilliten i markedet. Tillitstap som følge av svekket omdømme kan i ytterste konsekvens føre til varig tap av markedsandeler, og konkurs. Spesielt i tilfeller hvor bedriften ikke har offsite backup, kan løsepengevirus ha katastrofale konsekvenser.

Les også: Hvilke typer dataangrep finnes det?

 

4. Direktørsvindel (CEO fraud)

Målet (ansatte med betalingsfullmakter) svindles for penger, ved at de kriminelle utgir seg for å være en toppsjef (direktør eller økonomidirektør) som gir instruks om en rask utbetaling til et oppgitt kontonummer som tilhører svindlerne.

Metoden er særlig falsk e-post og/eller SMS, med kartlegging av virksomhetens ledelse, interne rutiner og sosial manipulering av en betrodd medarbeider.

Direktørsvindel har blitt enda mer sofistikert og målrettet i det siste. Bakmennene gjør seg mer flid med å kartlegge roller og relasjoner i bedriftene før de iverksetter angrepet. De bruker faktura med riktig format og grafikk, og dessuten bruker de domenenavn som ser ut til å ha opphav fra noen som oppriktig forventer utbetalinger fra selskapet.

Konsekvenser

Konsekvensen avhenger både av hvor mye penger som tapes, og hvordanbedriftens omdømme påvirkes. Svindelen kan forårsake store økonomiske tap, i verste fall konkurs.

 

5. Industrispionasje

Målet utsettes for tyveri av sensitiv forretningsinformasjon, enten av kriminelle, konkurrenter eller andre nasjoner. En angriper vil søke informasjon som har stor strategisk og kommersiell verdi for din bedrift.

Metodene kan være de tradisjonelle veiene inn, med spyware og sosial manipulering, men industrispionasje benytter seg i større grad også av én eller få insidere. Innsidere er betrodde medarbeidere som får betalt av de kriminelle for å røpe informasjon eller tillate dem tilganger til systemer og nettverk. Og så er underleverandører av den aktuelle bedriften brukt som bro inn mot målet.

Dersom verdien av informasjon er høy nok, kan tyveri også skje i fysisk form, ved at for eksempel noen planter falske minnebrikker eller sikrer seg ulovlig tilgang til datarom.

Konsekvenser

Konsekvensene kan være svært alvorlige for en bedrift. Den kan påføres store økonomiske tap, og alvorlig tap av tillit og anseelse. Det finnes eksempler på norske virksomheter som har tapt titall millioner som følge av at kontraktsforhandlinger har blitt kompromittert. I verste fall viser ikke konsekvensene seg før flere år etter angrepet.

Man kan også se for seg konsekvensene av at sensitive plantegninger eller annen sensitiv forretningsinformasjon kommer på avveie. Et slikt tap kan være vanskelig å vite om, og konsekvensene kan ha ekstrem effekt i årene etterpå. Konkurrenter skaffer seg for eksempel plutselig et konkurransefortrinn som kan være vanskelig å forklare, men som egentlig skyldes industrispionasje.

6. Sabotasje

Gjennom digitale angrep utsettes målet for fysisk eller digital sabotasje, i den hensikt å ødelegge eller påvirke. En slik type angrep kan være vanskelig å forsvare seg mot, og de kriminelle sikrer seg maksimal effekt ved å utføre det på tidspunkter som er verst mulig for målet deres, for eksempel ved ferieavvikling eller i forkant av pressemeldinger.

Metodene kan være distribuerte tjenestenektangrep (DDos) og spredning av skadevare.

Konsekvenser

Ved tjenestenektangrep gjøres tjenestene til virksomheten utilgjengelige. Konsekvensene for virksomheten kan være alvorlige, ved at den kan lide store økonomiske tap, i tillegg til tapt anseelse og tillit.

 

Oppsummert

Ofte trenger ikke angrep å være målrettet mot din bedrift for at du skal bli utsatt. Mange av dagens digital trusler skjer mot det svakeste leddet, og ikke nødvendigvis målrettet mot deg. De svakeste leddene identifiseres gjennom angriperens automatiske script og roboter, og konsekvensene fra det er tydelig.

Potensielle konsekvenser er ...

  • Tyveri av informasjon og bedriftshemmeligheter
  • Sabotasje
  • Forstyrrelser/stans i forretningen
  • Tapt arbeidstid
  • Gjenopprettingskostnader
  • Tapt omsetning

En enda verre konsekvens for bedriften på lang sikt er tap av omdømme – tillit og anseelse.