Eskpertpanel: Fokus på dataangrep

1. Hva angår dataangrep, hvordan ser situasjonen ut i Norge i dag, sammenlignet med fjoråret?

NorSIS observerer at dataangrep rammer både enkeltpersoner og norske bedrifter. Vi kjenner til at mange bedrifter blir utsatt for direktørsvindel og løsepengevirus. Enkeltpersoner blir også utsatt for løsepengevirus og annen datakriminalitet der de lider økonomiske tap, eller de kan bli utsatt for dataangrep som fører til utpressing, uthenging og hets på nettet. Vi ser også en utvikling der befolkningen oppfatter bruk av nettbank og offentlige tjenester på nett som mer risikofylt enn før. Fra 2015 til 2017 har de som anser bruk av nettbank som risikofylt økt fra 13 til 21 prosent, mens de som anser bruk av offentlige tjenester på nett har økt fra ti til 17 prosent.

2. Hvordan kan man forebygge og sikre seg mot dataangrep? Spesielt i kjølvannet av WannaCry- og NotPetya-angrepene?

For bedrifter handler det om å få på plass en god sikkerhetsstyring, og å ha fokus på sikkerhetskunnskap og sikkerhetskultur. Informasjonssikkerhet har en naturlig plass i styrerommene, og de som innser dette har et godt utgangspunkt. Det må naturligvis være gode tekniske sikkerhetsmekanismer på plass, men dette er ikke nok. Svært mange dataangrep krever en viss interaksjon med personen foran datamaskinen. Når en tenker robusthet mot slike angrep, er det derfor viktig å huske på at menneskene er en del av forsvaret.

 3. Hvilke konsekvenser kan et angrep, både i offentlig og privat sektor ha, dersom man ikke har forberedt seg godt nok?

Konsekvensene for bedriftene kan være svært store, alt fra små bedrifter som taper beløp på ti-talls tusen, til store konsern som kan ha tapt milliarder (Moller-Maersk). De direkte kostnadene er relativt enkle å beregne, men de indirekte kostnadene er langt vanskeligere å slå fast. Tapte muligheter og digitaliseringseffekter som uteblir kan utgjøre svært store fremtidige tap. En må heller ikke glemme de samfunnsmessige konsekvensene. Når den enkelte lar være å sikre ”Internet of Things”-enhetene i hjemmet sitt, kan disse brukes til å bygge opp store botnett som kan angripe samfunnskritisk infrastruktur (for eksempel Mirai-botnettet). Da handler konsekvensene også om vår trygghet, ikke bare økonomiske tap.

1. Hvordan ser situasjonen med dataangrep ut i dag i Norge, sammenlignet med fjoråret?

Cybertrusselen har generelt vært høy de siste årene. Den største endringen ligger i at angrepsverktøyene (skadevaren) som brukes av ikke-statlige aktører, er mer sofistikert. Årsaken til det er blant annet at statlige aktører har mistet kontroll over sine cybervåpen, og at angrepskoden ligger tilgjengelig for nedlasting og modifisering på internett. Kriminelle aktører får tilgang til tilsvarende gode verktøy som nasjonalstater har hatt tilgang på. Dette er bekymringsverdig.

2. Hvordan kan man forebygge og sikre seg mot dataangrep i kjøvannet av WannaCry/NotPetya angrepene?

Svaret på dette spørsmålet er svært sammensatt. Fra et bedriftsperspektiv handler det om at ledelsen ser cybertrusselen som et virksomhetsproblem og ikke et teknisk IT-problem. Ledelsen må forstå verdien av data og de digitale verdikjedene forretningen er bygd på. Bevisste og nysgjerrige ledere kan sette retning for sikkerhetsarbeidet i alle deler av organisasjonen. For å forebygge sikkerhetstrusselen må virksomheter se på samspillet mellom menneske, organisasjon og teknologi. Det er dessverre begrenset tilgang på god IT-kompetanse generelt og sikkerhetskompetanse spesielt. På teknologiområdet vil det derfor være et godt alternativ å søke støtte hos en tiltrodd partner med et godt sikkerhetsregime for tjenesteleveransene.

3. Hva kan konsekvensene av et mulig angrep være i offentlig og privat sektor, dersom man ikke har forberedt seg godt nok?

Det er spennende å se på hva som foregår i industrien. Mange snakker om sikkerhetsutfordringer med "Internet of Things" (IoT) hvor lyspærer, TV-er, kosebamser og andre ting kobles til nett. I industrien er "tingene" erstattet med slikt som vindmølleparker, maritime fartøyer, industriroboter og vannrenseanlegg. Et cyberangrep mot de industrielle "tingene" kan påvirke den fysiske verden også, ikke kun på digitale tjenester. Vi får en cyber-fysisk sammenkobling som også kan påvirke miljø, helse og menneskelige liv. God forberedelse og gode sikringsstrategier er helt avgjørende for å lykkes.

1. Hvordan ser situasjonen med dataangrep ut i dag i Norge, sammenlignet med fjoråret?

Blant våre kunder i Norge har vi sett en økning i antall dataangrep i 2017. De fleste norske virksomheter har sluppet unna de store internasjonale angrepene, slik som WannaCry, NotPetya og BadRabbit. Ransomware er allikevel den type angrep vi har sett mest av i 2017, og kilden er vanligvis phishing-epost til ansatte. Vi ser også en økende trend i antall målrettede phishing-epost sendt til ledelsen i norske virksomheter med instrukser om å betale falske fakturaer. Et annet vanlig angrep i 2017 er angrep mot Office365 og webmail uten tofaktorautentisering hvor angriperen gjetter passord til ansatte og bruker denne kontoen til å sende phishing-epost til offerets kontaktliste.

2. Hvordan kan man forebygge og sikre seg mot dataangrep i kjøvannet av WannaCry/NotPetya angrepene?

Det viktigste er å sette informasjonssikkerhet på agendaen og å ha en strategi for sikkerhetsarbeidet som er forankret i ledelsen og som også involverer de utenfor IT-avdelingen. Både WannaCry og NotPetya-angrepene utnyttet en kjent sårbarhet, noe som viser viktigheten av å holde systemene sine oppdatert og å alltid installere de seneste sikkerhetsoppdateringene så fort som mulig. I tillegg kan man redusere angrepsflaten ved å unngå å eksponere tjenester som ikke er nødvendig, både mot internett og internt i nettverket. Selv om man gjør en god jobb med å forebygge angrep vil et vellykket angrep før eller siden finne sted, så rutiner for å håndtere et angrep må også være på plass.

3. Hva kan konsekvensene av et mulig angrep være i offentlig og privat sektor, dersom man ikke har forberedt seg godt nok?

Den vanligste konsekvensen av et vellykket angrep, både i offentlig og privat sektor, er produktivitetstap. Vi har sett mange eksempler på at ransomware-angrep fører til tap av arbeid samt at de ansatte ikke får gjort de vanlige arbeidsoppgavene sine før man har gjenopprettet fra backup. Direkte økonomisk tap kan også være en konsekvens av et angrep, for eksempel ved svindel eller i form av bøter ved tap av persondata. Industrispionasje er også et aktuelt scenario, noe som kan føre til at konkurrenter får fortrinn eller at forskningsarbeid blir stjålet.​