MEGET HØJ. Så stor er truslen mod myndigheder og private mål for at blive udsat for cyberkriminalitet og ditto spionage – ifølge Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. En stor del af truslen kommer fra Rusland. Men selv om Center for Cybersikkerhed helt bogstaveligt taler med store bogstaver, er organisationers bevidsthed om faren middelmådig – og viljen til at investere er tøvende.
| Executive summary: |
|
Cyberspionage og cyberkriminalitet er en meget stor trussel mod danske virksomheder og organisationer.
Det kan ske for enhver – selv de største. Og i en 2017-rapport taler Forsvarets Efterretningstjeneste med store bogstaver, når det handler om både alvor og risici.
Det skriver Center for Cybersikkerhed
- Cyberspionage mod offentlige og private mål udgør fortsat den alvorligste cybertrussel mod Danmark.
- Der er tale om en meget aktiv trussel mod danske interesser.
- Truslen kommer især fra fremmede stater.
- Truslen fra cyberspionage mod danske myndigheder og private virksomheder er MEGET HØJ.
- Truslen fra cyberkriminalitet er stigende i omfang og kompleksitet, bl.a. fra organiserede kriminelle.
- Truslen fra cyberkriminalitet mod danske myndigheder og private virksomheder er MEGET HØJ.
Uddrag af rapporten: ‘Cybertruslen mod Danmark, Center for Cybersikkerhed, Forsvarets Efterretningstjeneste, februar 2017.[1]
Modern warfare: General Gerasimovs doktrin
I et ganske omtalt essay, der blev offentliggjort i 2013 i den russiske Voyenno-Promyshkennyy Kurir, beskriver den russiske general Gerasimov, hvordan moderne krig har ændret sig. Essayet har undertitlen ‘Nye udfordringer kræver en gentænkning af form og metoder til at udføre kamphandlinger.
En af dets vigtigste pointer er, at brugen af militærkraft ikke længere står alene, men nu er suppleret af politiske, diplomatiske, økonomiske og andre ‘ikke-militære metoder’ – noget, der i mange tilfælde har større kraft end militære handlinger.
I essayet skriver Gerasimov at dette suppleres med skjulte militære operationer inklusiv at udføre informationskonfliktshandlinger og informationshandlinger.
Og hvordan giver dette sig så til udtryk i virkeligheden?
Putin og piraterne
Allerede dronning Margrethe den 1. blev beskyldt for at alliere sig med pirater til at genere fjenden og opnå sine mål, da hun lå i strid med Hansestæderne.
Meget tyder på, at Putin benytter dronningens pirat-taktik. Men fuldstændig ligesom det aldrig blev bevist, at Dronning Margrethe stod bag pirateriet i Østersøen, kan det naturligvis heller ikke bevises, at det faktisk ER Putin og co, der orkestrerer nutidens pirater og deres konstante indblanding i andre staters affærer… selv om indicierne er stærke.[2]
De fleste har hørt om hvordan russiske hackere blandede sig i det amerikanske valg. Men det går meget tættere på.
London calling: russiske angreb på engelske medier, telekommunikation og energisektorer
I England har chefen for landets National Cyber Security Centre for nyligt bekræftet, at ‘russisk indblanding’ inden for det seneste år har inkluderet angreb på
- engelske medier – Twitter har bekræftet mere end 400 falske twitterprofiler med russisk oprindelse, der blandede sig i Brexit-debatten.
- telekommunikation
- og energisektorer.
“Rusland prøver på at underminere det internationale system, så meget står klart.” sagde chefen for NCSC, Ciaran Martin, den 15. november til avisen The Guardian.
Russere hackede sig ind i det danske forsvars emails
CFCS har kendskab til gentagne forsøg på cyberspionage mod Udenrigsministeriet og Forsvarsministeriets myndighedsområde.
Som et konkret eksempel på hvordan truslen fra Rusland rækker ind over Danmark, kan nævnes, at en hackergruppe med tætte forbindelser til den russiske stat i 2015 og 2016 ulovligt hackede sig ind mailkontoer tilhørende specifikke ansatte i det danske forsvar.
I den forbindelse udtalte forsvarsminister Claus Hjort Frederiksen sig til Berlingske Tidende:
“Det er meget kontrolleret, det der foregår. Det er ikke små hackergrupper, der gør det for sportens skyld. Det er knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre, og det er en evig kamp for at holde dem væk,” sagde forsvarsministeren.
Læs Center for Cybersikkerheds rapport om de vedholdende angrebsforsøg her.
Kinesiske hackere gør sig mest i industrispionage
Hvor truslen fra russiske hackere (og deres regering) mest handler om til dels destabilisering, til dels økonomisk kriminalitet som f.eks. ransomware, står Kina/kinesiske hackere især for truslen om industrispionage.
“Kina råder over omfattende muligheder for at udføre cyberspionage. Flere kinesiske myndigheder, herunder det kinesiske militær, er i Vesten blevet offentligt kritiseret for at stå bag omfattende spionage via internettet mod en lang række mål i udlandet. Kina bruger sine cyberkapaciteter til at indhente informationer af økonomisk, politisk og militær betydning,” skriver CFCS.
Sådan opridses truslerne mod private og offentlige aktører
Det er ikke kun offentlige aktører men også private organisationer, der er målet for hackerne. Industrispionage eller berigelseskriminalitet gør også private aktører udsatte for angreb.
Sådan opridser Center for Cybersikkerhed truslerne, offentlige og private aktører er udsat for, kort fortalt:
- cyberspionage
- aktiemanipulation/læk af insiderviden
- afpresning/destruktive angreb
Hvad siger Troels Ørting
Troels Ørting er tidligere chef for Europols European Cybercrime Centre – nu chef for sikkerhedsafdelingen hos den internationale storbank Barclay’s.
“Der er tre faktorer, man kigger på, når man er kriminel. Det er: Hvad er risikoen, hvad er profitten og hvad er investeringen? Og her er profitten høj, risikoen er lav, og investeringen er overkommelig,” sagde han til en konference om it-sikkerhed arrangeret af Ingeniørforeningen i september ifølge it-mediet Version2.
Cybercrime har ifølge Troels Ørting fuldstændig ændret det traditionelle billede for kriminalitet, hvor både offer og kriminel er at finde inden for grænsen eller politiets territorium.
“Så de normale ressourcer, vi har med grænsebomme og lignende – det virker ikke. Og fordi samarbejdet mellem myndigheder, dels internt, dels i Europa og dels globalt, er så elendigt, som det er, er det faktisk risikofrit at være cyberkriminel. Politiet fanger en håndfuld om året, og det er normalt nogle store fisk – men generelt set er det risikofrit. Jeg ved, hvor vi bliver angrebet fra – de taler dog som regel russisk – og jeg har ikke nogen at give sagen til,” sagde Troels Ørting Jørgensen ifølge Version2.
Og når man først begynder at grave, så opdager man, hvor man egentlig er under angreb:
“Jo mere, man investerer, jo mere ser man,” sagde han på konferencen.
Fire tænkbare scenarier
Hvad er nogle tænkbare scenarier i forhold til danske virksomheder?
1) Man kan forestille sig, at aktør Y gerne vil overtage firma X via et hostile takeover.
Hackergruppe Z angriber firma X via et phishingangreb og foranstalter via et datalæk at aktiekursen synker. Den lavere aktiekurs gør det enklere for aktør Y at gennemføre det fjendtlige takeover.
2) Man kan forestille sig at, at Aktør B spekulerer, i at aktiekursen for firma C vil falde (shorthandler). Hackergruppe D angriber firmaet via et overbelastningsangreb og gør dem ude af stand til at levere den ønskede service til sine kunder i fem dage. Aktiekursen falder og Aktør B kan hjemtage sin gevinst.
3) Man kan forestille sig at firma M er i en konkurrencesituation med firma L. Via et phishingangreb udført af hackere kan firma M følge med i firma Ls produktudvikling og lancere et konkurrerende produkt hurtigere.
4) Man kan forestille sig at, at Aktør H hacker sig ind i firma Js mailkorrespondance og overvåger den. Ved at udgive sig for at være direktør K, får man derefter narret bogholderiet til at udføre en stor betaling til en illegitim modtager, såkaldt CFO-fraud.
| “We can confirm that Maersk IT systems are down across multiple sites and business units. We are currently assessing the situation.” Maersk på Twitter kl. 5.21 den 27. juni 2017. |
Højt trusselsniveau, middel bevidsthed om farerne
Men på trods af det klare trusselsbillede er virksomheder og myndigheder ikke tilstrækkeligt overbeviste om truslerne.
En global undersøgelse hos it-professionelle[3] fra december 2015 viser et alvorligt misforhold mellem truslerne, som it-professionelle oplever dem – og den viden, der bliver givet til topledelsen samt de beslutninger, der bliver truffet i topledelsen:
- 60% mener, den virksomhed, de arbejder i, kan blive sikkerhedsmæssigt kompromitteret.
- 75 % angiver budget som den største hindring mod god sikkerhed
- 53% af CEOer træffer beslutning uden at tage hensyn til cybersikkerhed.
- 1/3 af CEOs modtager ikke regelmæssigt briefinger om cybersikkerhed
- 43% af management teams modtager ikke sikkerhedsrapporter
Det er gået fremad siden da – dog ikke tilstrækkeligt:
I PwCs Cybercrime Survey 2017[4] – har 250 danske og 100 norske virksomhedsledere, it-chefer og it- og sikkerhedsspecialister delt deres syn på forskellige forhold i relation til cyberkriminalitet.
Undersøgelsens hovedpointer:
- 77 % af respondenterne har været udsat for såkaldte phishing-angreb.
- 74 % af de adspurgte er mere bekymrede for cybertruslen nu, end de var for 12 måneder siden.
- MEN kun 32 % svarer, at de mener, at topledelsen i høj grad har fokus på at opnå den rette balance mellem de trusler, organisationen står over for, og virksomhedens investeringer i cybersikkerhed.
- Respondenterne forventer dog en gennemsnitlig budgetforøgelse på 25 % i budgetterne til cyber- og informationssikkerhed – et lyspunkt i mørket.
Samtidig har General Gerasimov og hans kolleger befæstet deres positioner og forbedret deres virkemidler.
Kig på Estland
Estland er et europæisk foregangsland når det handler om nationale, organiserede tiltag, der skal forbedre cybersikkerheden – og oplagt at lade sig inspirere af.
For at styrke den kritiske infrastrukturbeskyttelse har Estland sammensat kommisioner med sektorspecifikke eksperter, og organiseret adskillige øvelser – herunder realistiske cybersikkerheds-øvelser for private og offentlige operatører for at øve samarbejdet og identificere mangler – øvelser, der har involveret mere end 20 organisationer. [5]
Hvilke tiltag bør man overveje på direktionsniveau?
Helt konkret kan virksomhederne implementere følgende tiltag
- avanceret overvågning og analyse af al netværkstrafik
- kryptere egne data
- arbejde målrettet med styring af sikkerhedskopiering og disaster recovery
- indføre 2-faktor-logon metoder på alt, man kan have to-faktor på – et password er ikke længere godt nok! (Og har ikke været længe).
- gennemføre full scale sikkerhedsøvelser, hvor man f.eks. lukker systemet ned umotiveret.
Jeg vil i næste blog indlæg beskrive de 5 ovenstående punkter i detaljer. Tilmeld dig Ligas nyhedsbrev for at modtage den næste artikel når den udkommer. Du tilmelder dig i bunden af siden.
Hvis du gerne vil deltage i debatten så hop over på LinkedIn: linkedin.com/pulse/har-du-en-russer-i-nettet-bjarke-alling
[2] Adskillige eksempler er beskrevet her.
[3] Hele undersøgelsen kan læses her.
[4] Læs mere om PWCs undersøgelse her.
[5] Læs mere om Estlands beredskab her.
Vil du vide mere om cybersikkerhed og Identity Management?
Så tøv ikke med at kontakte Bjarke Alling på ba@liga.com eller på +45 40 13 91 05 eller se mere om Liga her.
Bjarke Alling er grundlægger af Liga ApS og Liga Software ApS og har flere års erfaring med Enterprise IT services i Norden.