Hvordan kan du sikre dine data for fremtiden?
2020 vil være det store katastrofe-året for noen. Januar startet med politisk uro etter drap på en iransk journalist, nedskyting av et Ukrainsk fly sørvest for Teheran, vulkanutbrudd på Filippinene, gresshoppe-invasjon i Afrika, og ikke minst hørte vi de første rapportene om et stort virusutbrudd i Kina.
Februar fulgte opp med flere naturkatastrofer, og i mars ble samfunnet stengt ned da virusutbruddet hadde utviklet seg til en pandemi.
For folk i IT-bransjen vil kanskje 2020 bli sett på som året da korona-pandemien tvang gjennom digitaliseringen; konseptet de fleste har hørt om, men ikke alle har klart å temme.
Digitalisering, eller «konvertering av analoge data til digitale data», har for mange vært et litt abstrakt konsept, mens andre har tatt det litt for bokstavelig. Det handler ikke bare om å scanne et fysisk brev og gjøre det om til en PDF, men det handler vel så mye om å innføre teknologi for å effektivisere og forenkle hverdagen for folk flest.
Tvungen digitalisering
For virksomheter har kriseåret 2020 gjort at de må forholde seg til sine ansatte på en helt annen måte enn tidligere, og det har fremprovosert nye plattformer som digitale arbeidsflater og virtuelle møterom.
For de ansatte har utfordringene også stått i kø. Vi må forholde oss til nye, strenge og stadig endrede smitteverntiltak, i tillegg til at vi blir tvunget inn i en arbeidssituasjon som for mange oppleves krevende. Flere av oss har byttet ut kontoret med kjøkkenbordet, kaffepraten er byttet ut med e-post og chat, og for mange er den daglige kontakten med gode kolleger byttet ut med energiske barn som krever sitt.
Kaffepraten er byttet ut med e-post og chat
Digitaliseringen i seg selv er en positiv ting for de fleste – poenget med det er å forenkle hverdagen. Problemet med tvungen digitalisering er at det ofte kan bli en reaktiv prosess som hasteinnføres i virksomhetene, i stedet for en proaktiv gjennomtenkt prosess med sikkerhet, brukervennlighet og tilpasninger i fokus.
Avhengighetsskapende
Digitalisering gjør at vi i mange tilfeller pålegger oss en avhengighet ovenfor skyleverandørene, en avhengighet som oftest ikke gjenspeiles i avtalene vi inngår med dem. Som konsumenter av en digital plattform forventer vi 100 prosent oppetid. Leverandørene kan ikke garantere dette, med mindre vi investerer store summer i tjenesten, samt like store summer i at tjenesten er redundant.
Dette så vi da Google fikk problemer med sine tjenester sent i 2020. Dagen begynte med at flere store virksomheter rundt om i verden rapporterte om problemer med IT-systemene sine – i noe som så ut som et stort og nøye planlagt angrep.I flere timer var flere Google-brukere uten tilgang til helt nødvendige dokumenter og verktøy for å få gjort jobben sin. Tjenestene som ble rammet var blant annet Gmail (e-post for bedrifter og privatpersoner), Google Drive (lagring av dokumenter) og Google Meet (virtuelle møterom).
Tilpasningsdyktige cyberkriminelle
Ved å ta i bruk nye plattformer og skytjenester åpner vi opp for nye angrepsflater for kriminelle som ønsker å stjele data eller låse ned systemene til virksomheter, og deretter kreve penger for å åpne de opp igjen.
For mange virksomheter som tar i bruk skytjenester, vil det å flytte data ut fra egne datarom til offentlige datarom, innebære at de må tenke sikkerhet på en helt annen måte. Ikke alle er forberedt, og alt for mange tror at ansvaret flyttes til skyleverandøren.
Realiteten er at virksomhetene er selv 100 prosent ansvarlig for sikring av egne data, og at skyleverandørene vil fraskrive seg alt ansvar hvis noe skulle gå galt. Det første som må være på plass når data flyttes er å vite hvordan sikkerheten skal implementeres. Dette er utfordrende og noe vi ikke kan ta lett på. Ved å flytte dataen beveger man seg inn i ett nytt landskap – som for mange vil være veldig fremmed, selv for de som har jobbet med sikkerhet i lang tid. Når dataen ligger lokalt er sikkerheten tilpasset og forbedret over lang tid, men ved å flytte dataen åpnes det opp for nye angrepsflater og nye utfordringer som kriminelle vil utnytte.
De kriminelle er, i motsetning til svært mange virksomheter, svært agile og tilpasningsdyktige. Allerede i februar 2020 hadde kriminelle aktører begynt med phishing-kampanjer med korona som tema, der de utnyttet folks frykt og behov for informasjon for å nå fram. Innholdet var alt fra hvordan nye retningslinjer for smittevern var, til hvor man kunne registrere seg for testing. En mengde personer klikket på lenkene og ble dermed offer for disse kriminelle . For en privatperson er kanskje ikke dette så kritisk, men for virksomheter kan dette være starten på slutten.
Ransomware, hvorfor være på vakt?
Globalt ble det rapportert om at kritiske virksomheter som sykehus ble rammet av ransomware, og at de mistet tilgang til systemene sine. For et sykehus kan dette være liv eller død. En del finansinstitusjoner ble også rammet, dog står ikke det om liv, men vi snakker om potensielle økonomiske tap på flere milliarder. Slike tap kan i verste fall føre kloden inn en flere finansielle nedgangstider, noe som igjen har innvirkning på hver og en av oss.
Her i Norge har vi også eksempler på vellykkede angrep, deriblant Stortinget – der flere e-postkontoer ble hacket. Cruiseselskapet Hurtigruten ble rammet av ransomware, og hvem glemmer vel angrepet på Hydro? Nå i senere tid er det også rapportert om angrep hos Østre Toten kommune, som lamslo en hel del offentlige tjenester, samt e-post til og fra kommunen.
Falske e-poster
Metoden de kriminelle ofte benytter for å nå fram til sårbare systemer er e-post, hvor de får uvitende personer til å trykke på en lenke. Lenken sender personen til en webside der det blir installert skadevare på maskinen, eller at de ber om brukernavn og passord for å kunne angripe i det stille. Skadevaren som blir installert, vil kunne «lytte» på det som foregår, loggføre tastetrykk, og i enkelte tilfeller vil det kunne kunne spre seg i nettverket du er koblet på.
De kriminelle finjusterer hele tiden sine metoder, og deres falske e-poster treffer bedre og bedre. Du har kanskje mottatt en e-post med dårlig norsk som ber deg om å logge inn i nettbanken? Eller at Netflix-kontoen har problemer med kortet du registrerte? Dette er e-poster vanlige folk enkelt kan anta kommer fra kjente og troverdige kilder, og dermed klikker på lenken uten å tenke seg om.
«Det skjer ikke oss»
Her i Norge lever vi i en liten boble der vi tenker at vi er for små for å bli angrepet, men cyberkriminalitet er big-business, og ofrene kan være tilfeldige. På verdensbasis blir en virksomhet angrepet hvert ellevte sekund, og skadene fra vellykkete angrep er estimert til å koste opp mot 20 milliarder dollar i 2021. Dette inkluderer nedetid, produksjonsstans, og ikke minst kostnader for å komme tilbake til normal produksjon igjen. Hydros tap etter at de ble rammet i 2019 har overskredet en halv milliard kroner. Virksomheter i alle størrelser er potensielle offer, og små virksomheter er sårbare. De er enkle å ramme, enkle å komme inn på og enkle å presse for penger. Dette fordi de ikke nødvendigvis har de rette verktøyene og prosessene på plass for å beskytte seg.
Hvorfor er ransomware så farlig?
Det er flere årsaker til at ransomware er så ødeleggende som det er. Ransomware i sin enkleste form klarer å snike seg inn i nettverket, og skadevaren kan ligge rolig i lang tid før den slår til. I mellomtiden vil de fleste kjøre normal backup, slik at backupen også blir infisert. Samtidig vil skadevaren bruke tiden på å formere seg, og dermed infisere så mange systemer som den klarer.
Dette kan være alt fra laptoper (hindrer arbeiderne i å jobbe), servere (lamslår hele firmaet) eller PoS (point-of-sale) -terminaler (hindrer normalt salg over disk).
Ransomware sniker seg inn i nettverket, og skadevaren kan ligge rolig i lang tid før den slår til.
De mer avanserte variantene av ransomware vil i tillegg aktivt gå ut og se etter backup-tjenester og backup-kataloger, for så å infisere disse. Konsekvensen er at virksomheten står uten fungerende laptoper og servere, og backupen er ubrukelig ettersom den er kryptert.
Skulle du være heldig å unngå at backup-filene er kryptert må du ta høyde for at backup’en i seg selv kan være infisert. Det vil si at om du kjører restore på hele serveren vil malware’en bli lagt tilbake og kan angripe igjen – dette er en nedadgående spiral med problemer.
Kan vi ta lærdom og samtidig se fremover?
Nå som digitaliseringen går hurtig fremover og våre data blir lagret forskjellige steder, står vi i fare for å miste oversikten over den digitale verdiskapningen i virksomheten. Vi må ha stålkontroll på hvor data blir lagret, hva som blir lagret, og vi må kunne agere raskt når vi blir rammet av angrep. Derfor er det viktig å ha et fundament som forenkler administrasjon av data, sikrer oss mot ransomware, er effektiv, og støttes av alle skyleverandører.
Hvordan kan du beskytte deg mot alle truslene, samtidig som du har kontroll over dataene, uten å bruke verdifull tid på administrasjon?
En løsning vil være å se etter produkter og produsenter som har en helhetlig portefølje – eller et produkt som kan dekke behovene, som har automasjon og integrering i fokus, og som samtidig gjør hverdagen enklere for IT-avdelingen.
Et slikt alternativ kommer fra Rubrik:
Utfordring #1: Beskyttelse mot ransomware
Rubrik tilbyr Immutable backups. Det betyr at når backupen er skrevet til disk, kan den ikke endres. Rubrik bruker sitt eget filsystem, og dette gjør at du har full kontroll over data som er skrevet. Uvedkommende kan dermed ikke aksessere din backup og kryptere den.
Utfordring #2: Oppdage ransomware
Radar (SaaS-tjeneste) benytter seg av metadata fra backupen du har tatt, og analyserer endringer i innholdet ved hjelp av machine learning og AI. Abnormaliteter blir flagget og rapportert til administrator.
Utfordring #3: Nedetid ved recovery
Nedetiden begrenses da backupen ligger lokalt i datasenteret ditt på en dedikert appliance med 10/25/40 GbE-tilkobling. Andre funksjoner, som for eksempel Live mount vil gjøre at server er oppe å kjøre på få
Utfordring #4: Manglende oversikt over egen data.
Rubriks Polaristjeneste inneholder også Sonar, som er en SaaS-tjeneste for klassifisering av data på tvers av lokasjoner.
Utfordring #5: Avhengighet av en skyleverandør
Polaris migrerer data på tvers av skyleverandører. Via automasjon kan du flytte servere og tjenester mellom lokasjoner og skyleverandører.
Les mer om Rubrik og kontakt oss her.
Blogginnlegget er skrevet av:
Kristian Wæraas
Technical Systems Engineer
Tlf: +47 905 18 751
E-post: kwaeraas@exclusive-networks.com
Definisjoner:
Malware (fra engelsk malicious software) er en samlebetegnelse på ondsinnet programvare som er laget for å skade. Eksempler på malware er Trojanere, ormer, ransomware, bakdører, rootkits og keyloggere.
Ransomware er en type malware som hindrer offeret i å benytte PCn/servere, ved at den låser ned systemet og deretter krever penger for å låse opp tilgangen. En annen form for ransomware er når angriperen krypterer visse filtyper på systemet, dette kan være dokumenter, PDF-filer eller excel-ark, og deretter krever penger for at de skal dekryptere dem.
Phising er en metode som kriminelle benytter for å «fiske» ut sensitiv informasjon hos offeret. Informasjonen de er ute etter er som regel brukernavn/passord, eller kredittkort informasjon. En vanlig fremgangsmåte ved phising er at man får tilsendt noe som tilsynelatende er en legitim epost fra noen du kjenner. Dette kan for eksempel være fra en bank. Eposten sendes ut i bulk og opplyser for eksempel at det er problemer med ditt kredittkort, og at du må logge inn for å rette opp i feilen. Du henvises da til en innloggingsside som ikke ligger hos banken din, men som ser identisk ut.