Blogg

LA KROKODILLENE SULTE!

Ransomware har raskt blitt mer sofistikert, og har fått økt angrepshastighet i løpet av de siste par årene, til det punktet hvor det representerer den mest umiddelbare og potensielt mest ødeleggende trusselen for organisasjoner og individer. Dette har vært kjent for sikkerhetssektoren i et tiår eller mer, men på grunn av den økte effektiviteten i å omgå eksisterende sikkerhetsprotokoller er det et umiddelbart behov for å ta grep. Richard Foulkes, konsulent på cybersikkerhet, mener at økt opplæring er en nøkkelfaktor i å vinne krigen mot disse opportunistiske kriminelle foretakene.

Næring til flammene
Tidligere var ransomware mer som et DDOS-angrep, med ett spesifikt mål i sikte. Der hvor angrepet var mer spredt, ble også effektiviteten redusert. Disse angrepene var mer av irritasjon, og ikke spesielt utbredte, så den generelle advarselen i selskaper var å unngå mistenkelige nettsider og e-poster. Kort fortalt var ryktene og oppfatningen av slike angrep verre enn selve angrepet. Det som har endret seg nå er teknologien brukt i angrepene og angripernes muligheter for anonym inntjening.

  • Ankomsten av CryptoLocker bragte kryptering på banen, med ødeleggende effekt for noen.
  • Ankomsten av Tor (The Onion Router), opprinnelig utviklet for bruk i hemmelig etterretning, samt utviklingen av Bitcoins, har gitt kriminelle det de setter mest pris på – anonymitet. Evnen til å operere og bli belønnet anonymt har fungert som bensin på bålet.
  • Siden kriminelle ikke legger ære i det, har spredningen av ransomware aksellerert gjennom deling av teknologi –  til en fast pris kan en ikke-hacker få verktøyene til å starte et angrep, med et garantert minimums-utbytte. Det har blitt en “as a service”-operasjon, og gjøres mulig gjennom anledningen til å være anonym.

Disse tre akselleratorene har endret det som tidligere var et minimalt problem, til dagens “inferno” av trusler mot selskaper og individer, og dette har skapt en situasjon som vil bli enda mer alvorlig dersom den ikke håndteres nå.

VI LÅNER EN SITAT FRA NELSON MANDELA
Overskriftene om angrep er mange, og alle organisasjoner kan potensielt bli berørt. Mens antallet berørte fortsatt er relativt lavt, så har mange av disse måttet betale seg ut av uføret. Det er selskaper innen SMB-segmentet, multinasjonale selskaper eller individer – angrepene diskriminerer ikke. Det trengs bare en liten åpning i rustningen for å lykkes med et angrep – en uerfaren resepsjonist på vikaroppdrag, f.eks. Et par faktorer må være fremst i tankene:

Den potensielle trusselen er enorm og mange kan være sårbare. De nye angriperne vokser raskt i antall, har stor rekkevidde og bryr seg ikke om den “normale angrepsmåten”, med foregående undersøkelser og planlegging – de kaster seg i det og håper de har flaks. Muligheten for å angripe er billigere og enklere nå enn noen sinne, så det er stadig flere “krokodiller som jakter på gnuflokken”.

I følge FBI har mer enn 40 % av organisasjoner utsatt for angrep betalt seg ut av det, og med det er de med på å drive hele det kriminelle foretaket videre. Det er også de som mener at det å betale en liten sum løsepenger er det beste for alle. Hvis de kriminelle får enkel tilgang til pengene har de en tendens til å holde løftet sitt og frigi dekrypterings-nøkkelen, og dermed holdes løsepengesummen lav. Dette er ikke et synspunkt vi deler.

Å slåss mot en slik “bransje” krever en endring i adferd – sikkerhetsadferd og brukeradferd. Den mest sårbare sektoren er kanskje SMB-sektoren, da de mest sannsynlig ikke har ekspertisen, evnene og kunnskapen til å skjønne risikoen og faren, samt vite hvordan de skal respondere på den. For å endre adferden, gjør som Nelson Mandela sa:

“UTDANNING ER DET STERKESTE VÅPEN DU KAN BRUKE FOR Å ENDRE VERDEN” – KUNNSKAP GIR TRYGGHET
Opplæring er den viktigste, men likevel mest oversette faktoren i kampen mot angrep. Kun ved å forstå hva man slåss mot kan man håndtere det korrekt teknologisk og adferdsmessig innen selskapet – hva gjør man idet man blir angrepet? Et omfattende, koordinert opplæringsprogram er påkrevd, da ransomware for det meste er opportunistisk. Ved å fjerne muligheten flytter man trusselen til et annet sted, og ved å gjøre det kollektivt fjerner man den globale trusselen. Krokodillene må gå sulten hvis gnuflokken finner seg en ny plass å krysse elven.

Det er flere aspekter ved opplæringen man må ta hensyn til, for å bli motstandsyktig mot angrep:

  • Opplæring av forretningseierne om realiteten av hva som kommer, og behovet for å styrke sikkerhetsteamet, slik at de kan agere i henhold til fastsatte planer, uten å måtte få godkjenning av hvert steg på veien.
  • Opplæring av sikkerhetsteamet om neste generasjons sikkerhet og hvorfor behovet for strategier i flere lag nå er en realitet. Tankegangen må være “når” angrepet skjer, i stedet for “hvis” angrepet skjer, og dermed ha planene klare.
  • Opplæring av brukerne på hvordan de skal opptre på en årvåken og bevisst måte og rollen de spiller i å beskytte organisasjonen. Det er på tide med et skikkelig opplæringsprogram for ansatte, hvor de lærer hvordan f.eks. phising-epost ser ut. Det holder ikke lenger med gode råd over en kaffekopp.

Øk forståelsen og opplæringen internt, og skaff en tilstrekkelig god løsning for forsvar – motstandsdyktigheten og sikkerheten til organisasjonen blir bedre. Med IoT og et stadig økende antall endepunkter vil neste generasjons malware bli enda mer avansert og man må ta grep nå.

Vårt CARM-rammeverk setter våre partnere i stand til anbefale de riktige løsningene til sine kunder, slik at de kan møte angrep på en sikker måte. CARM setter kundene i stand til å beskytte seg og agere korrekt når angrep skjer, og sikrer den rette løsningen for alle organisasjoner, alle budsjetter og alle situasjoner.

Det er på tide å la krokodillene sulte!

Vi i Exclusive Networks har erfaring på ransomware og har store ressurser og kunnskaper som vi kan dele for å hjelpe alle med å bli oppmerksomme på, motstandsdyktige mot og trygge fra ransomware-angrep.

Exclusive

GDPR: Tvinger fram en stor endring i tenkingen rundt informasjonssikkerhet

Det nye EU-regelverket rundt databeskyttelse, GDPR (General Data Protection Regulation) er nå vedtatt og vil tre i kraft i mai 2018. Det vil framtvinge et helt nytt tankesett rundt informasjonssikkerhet, for å kunne etterleve de nye kravene, beholde sitt gode rykte og unngå de kraftige bøtene man vil bli ilagt ved brudd på regelverket.

 

Hva er GDPR?

 

1. Standarder for databeskyttelse

GDPR krever at selskaper implementerer tekniske og organisatoriske tiltak som gir tilstrekkelig beskyttelse av persondataene de besitter. Når de skal bestemme seg for disse tiltakene må de også ta med art, omfang, kontekst og formål ved deres bruk av persondataene inn i vurderingen. Så langt ikke noe nytt egentlig. Det som er nytt er at GDPR klart uttrykker at disse tiltakene skal inkludere:

  • Pseudonymisering og kryptering av persondata
  • Tiltak for å sikre at systemene og tjenestene som prosesserer disse dataene er motstandsdyktige
  • Tiltak som gjør at selskaper kan gjenopprette tilgjengeligheten til datene i tilfelle et datainnbrudd
  • Hyppig testing av effektiviteten av sikkerhetstiltakene

Kort fortalt: med introduksjonen av GDPR forventes det at ansvarlige organisasjoner krypterer og innfører andre sikkerhetstiltak for å trygge dataene – ellers må de ta konsekvensen.

2. Krav til varsling om databrudd

GDPR introduserer en “gapestokk”, hvor selskaper må varsle datamyndighetene hvis de har hatt et databrudd som har påvirket integriteten, konfidensialiteten eller sikkerheten på persondata som de besitter. Hvis det er sannsynlig at databruddet kan resultere i diskriminering, identitetstyveri, svindel, økonomiske tap, skade på ens navn og rykte eller andre vesentlige økonomiske eller sosiale ulemper så skal selskapet varsle databruddet til den eller de som er berørt. Merk: det vil ikke bli nødvendig å varsle den eller de som er berørt dersom selskapet har implementert tilstrekkelige tekniske og organisatoriske sikkerhetstiltak med tanke på dataene som ble berørt av bruddet. Med andre ord: hvis dataen ble gjort uforståelig før databruddet – for eksempel ved kryptering – vil ikke selskapet være pålagt å varsle den eller de som er berørt av databruddet.

3. Den høye kostnaden ved sikkerhetsbrudd

EU har besluttet å håndheve disse reglene med heftige bøter:

  • Hvis et selskap ikke overholder sine datasikkerhets-forpliktelser i henhold til GDPR vil de kunne få bøter opp mot 10 000 000 EUR eller 2 % av selskapets totale årlige omsetning verden over, alt etter hvilket beløp som blir høyest.
  • Og enda verre: hvis et selskap har brutt andre forpliktelser i henhold til GDPR, kan bøtene komme opp i hele 4 % av selskapets totale årlige omsetning verden over.

Basert på dette kan man vel trygt forvente at datasikkerhet vil havne høyt oppe på agendaen hos mange selskaper.

Aksept er bedre enn forebyggelse
Data er “den nye oljen” for cyberkriminelle. Utsiktene til å kunne kompromittere, få adgang til og tjene penger på rådata er drivkraften bak de stadige angrepene på organisasjoner og bedrifter. Ingen data – ingen verdi – så enkelt er det. Med det enorme volumet av data som organisasjoner besitter vil også behovet for å beskytte dette enormt, og dette har drevet fram et konsekvent regelverk, som GDPR.

Vi har alle lest om datainnbrudd og hacking i media, spesielt i tiden rundt og etter valget i USA. Cyberkriminalitet er nå blitt en vanlig kriminell aktivitet, og etter hvert som mer data lages, lagres, deles og analyseres vil den potensielle verdien for en cyberkriminell stadig øke.  Det er behov for et paradigmeskifte i tenkingen rundt informasjonssikkerhet for å beholde data, og dermed også organisasjonene, beskyttet, sikkert og trygt.

Ved å forstå dataene forstår man også risikoen
Dette er imidlertid lettere sagt enn gjort, med tanke på volum, variasjon og ikke minst den stadige veksten og dynamikken innen feltet. Det å ta et steg tilbake og se på alle avdelinger og deres underliggende data er det vanskeligste og mest komplekse steget på veien mot å sikre data.

  • Type data (finansiell, personlig, forretningskritisk, operasjonell osv)
  • Hva er sensitiv data
  • Hvordan flyter den
  • Hvordan brukes den
  • Hvor er den lokalisert

Husk også på at en datarevisjon er det første, essensielle steget mot å sikre data, men også en stadig pågående og dynamisk prosess som ikke bør gjøres bare en gang, men hele tiden, i en digital verden i stadig endring. En dårlig forståelse av datalandskapet og mangel på relevant og passende datakontroll og -beskyttelse var en sentral årsak bak størsteparten av databruddene som har vært i det siste tiåret eller mer. Kjernen i det nye regelverket handler om å addressere risikoen for forskjellige typer av data og skape kontroll på konfidensialitet, integritet og tilgjengelighet. Hva er data, hvor er det og hva beskytter det? Hvis du får det på plass så følger du regelverket.

Datafortrolighet + kryptering og administrasjon av nøkler + autentisering = samsvar med regelverket
Når revisjonen av datauniverset er satt i gang, vil igangsettelsen av passende sikkerhetskontroll være relativt rett fram. Kryptering er nøkkelordet, og administrasjon av nøkler er enda viktigere! Kryptert data er verdiløs og det er nå enkelt å kryptere data, uansett hvor den ligger – på server, på lagring, på enheter, eller underveis på nettverket. Kryptering, uten evne til å dekryptere, er imidlertid poengløst, og tidligere har svakheten ligget i krypteringsnøklene. Oppbevar disse separat, sikkert og trygt og det blir ekstremt mye vanskeligere å få tilgang til å stjele dataene. Hvis man legger på adgangskontroll, som to-faktors autentisering, og innarbeider en sikkerhetskultur i organisasjonen, så vil man på kort tid etterleve de strenge men fornuftige reglene. Kriminelle vil sannsynligvis før eller siden klare å skaffe seg adgang til “hvelvet”, men hvis de likevel ikke får tak i juvelene vil de snu og gå etter noen som er mer sårbare.

Gjør noe nå og hjelp kundene dine med å komme i mål
Sammen kan vi alle påvirke sikkerheten i den digiale verden ved å tenke nytt rundt hva som er essensiell sikkerhetstenkning. La oss få våre felles kunder til å forstå at forebygging er viktig, men databeskyttelse er topprioritering i dag. Tenk på det; av de ca 700 millioner dataposter som ble stjålet i 2015 var kun 4 % av disse “sikre brudd” – det vi si at dataen var kryptert, og dermed verdiløs. Vi kan hjelpe våre kunder med å forstå sitt dataunivers, hvordan de kan kryptere det og hvordan de holder sine krypteringsnøkler trygge, samt hvordan de autentiserer og beskytter sine brukere – og dermed etterlever det nye regelverket.

En liten advarsel bare: det som krever mest tid er å forstå dataene – kundene må derfor starte sin prosess nå! Konsekvensen av å ikke gjøre noe trenger vi ikke å nevne.

Kontakt Exclusive Networks hvis du vil vite mer om løsninger for datasikring i henhold til GDPR.

Blogg