Det er mulig å oppdage digitale angrep før de får konsekvenser

Dataangrep får store konsekvenser for de som rammes. Det er imidlertid mulig å redusere risikoen for slike angrep, det er mulig å oppdage pågående angrep før de får konsekvenser for virksomheten, og det er mulig å redusere konsekvensen om man blir rammet.

Fredrik Grindland

9 feb 2022

data protection and internet security concept, user typing login and password on computer, secured access

Artikkel av Fredrik Grindland, Rådgiver Bouvet Agder og Certified ISO 27005 Risk Manager

Det er stor sannsynlighet for at norske virksomheter har kriminelle i sine datasystemer de ikke har oppdaget, fortalte leder for Politiets nasjonale datakrimsenter (NC3) i et møte Næringslivets sikkerhetsråd arrangerte januar 2022. Målet for norske virksomheter må være å avdekke digitale angrep i en tidlig fase, før de får konsekvenser i form av datatyveri og kryptering. Det er mulig, for vi finner alltid spor etter de kriminelle når vi etterforsker sakene sier leder av NC3. Derfor bør alle virksomheter ha systemer som kan oppdage unormal aktivitet i datasystemene.

I «Nasjonalt digitalt risikobilde 2021» sier Nasjonalt cyber- sikkerhetssenter (NCSC) at de har observert en vesentlig økning i dataangrep med krypteringsvirus og økonomisk motivert kriminalitet, samtidig som de ser komplekse spionasjeoperasjoner mot norske mål. 

For å kunne redusere risikoen for at de kriminelle skal lykkes med digitale angrep, er det nyttig å forstå hvordan de kriminelle gjennomfører disse. Under beskrives ulike faser av slike angrep samt tips om hvordan man kan redusere risiko knyttet til den enkelte fase.

Fase 1: Kriminelle kommer seg inn i systemene

 De kriminelle benytter mange metoder for å komme seg inn i datasystemer, alt fra sosial manipulering med bruk av phishing eller Deepfake, identitetstyveri, nedlasting av skadevare via e-post, QR-koder, sårbarheter i skrivere og IoT enheter, eller via verdikjedeangrep hvor de utnytter sårbarheter hos virksomhetens kunder eller leverandører.

Nasjonal sikkerhetsmyndighet (NSM) sier at over 80 % av hendelsene de bistår med kunne vært unngått med grunnleggende sikkerhetstiltak. Ved å etterleve NSMs grunnprinsipper for IKT-sikkerhet, reduseres risikoen for at kriminelle kommer seg inn i datasystemene. Sikkerhetstiltak kan være bruk av trygge passord, flerfaktor autentisering og automatisk sikkerhetsoppdatering av all programvare. I tillegg vil utvikling av digital sikkerhetskultur i virksomheten bidra til at medarbeiderne forstår og ivaretar sikkerhetstiltakene

Fase 2: Fotfeste og rekognosering

Etter at de kriminelle har kommet seg inn i datasystemet, begynner de å rekognosere for å finne ut hvilken informasjon og hvilke systemer de har tilgang til. Ofte har de ikke umiddelbart tilgang til den informasjonen eller det systemet som er målet for angrepet, og vil fortsette rekognosering i andre deler av systemene. Noen ganger er ikke den aktuelle virksomheten målet med angrepet, men kundene eller leverandørene til virksomheten. Da vil de samle informasjon om virksomheten som er målet, etablere fotfeste og bakdør de kan utnytte senere, for så å trekke seg ut i denne omgang.

Rekognosering som beskrevet her er ofte vanskelig å oppdage, men aktiviteten kan identifiseres ved bruk av gode logge- og overvåkingssystemer, slik at angriperen kan stoppes før angrepet får ytterligere konsekvenser. I tillegg til å håndtere angrep som oppdages i denne fasen, bør man også involvere politiet.

En metode for å redusere risikoen for at kriminelle som har kommet inn i datasystemet skal kunne nå fram over alt, er å dele systemene i mindre segmenter. Man bør definere segmenter etter verdien og kritikaliteten løsningene og dataene har for virksomheten. For industribedrifter er det også vanlig å skille IT segmenter og Operational Technology (OT) segmenter. For hvert segment etableres unike autentiserings og autoriserings løsninger, slik at kun brukere, utstyr og applikasjoner som har behov for tilgang blir autorisert, basert på Zero Trust prinsipper.

Fase 3: Samler og stjeler informasjon

De kriminelle kan ha flere motiver for å laste ned/stjele data. Det kan være for å samle informasjon som ledd i industrispionasje, for å selge til andre, bruk til nye angrep, til digital utpressing eller for bruk til å destabilisere samfunnsfunksjoner. I tillegg til eksterne kriminelle som stjeler data, er det flere eksempler på at insidere, dvs utro ansatte eller innleide, laster ned data, enten for å ta med til ny arbeidsgiver, selge informasjon til konkurrenter, eller for ren sabotasje.

Akkurat som i fase 2 kan slik aktivitet identifiseres ved bruk av gode logge- og overvåkingssystemer. Det som skiller fase 2 og fase 3, er at de kriminelle begynner å laste ned data, noe overvåkings- og loggsystemene bør konfigureres til å varsle.

Også risikoen for stjeling av data kan reduseres ved Zero Trust prinsipper for segmentering og tilgangsstyring. Ved å granulere tilgangsstyringen både for brukere, utstyr og applikasjoner, kan man begrense hvilke handlinger de blir autorisert til å utføre samt begrense hvor lenge de har tilgang. Mange brukere har som regel kun behov for tilgang til et begrenset utvalg av data for å løse sine daglige oppgaver.

Hvis målet for angrepet er å stjele informasjon, stopper mange kriminelle her og trekker seg ut, etter at de har lagt inn en bakdør de kan utnytte senere.

Fase 4: Krypterer data

Dersom målet med dataangrepet er sabotasje eller digital utpressing, begynner de kriminelle å kryptere dataene etter at de har stjålet informasjonen de ønsket å samle. De begynner med å kryptere sikkerhetskopiene, som mange virksomheter har online for at de raskt skal kunne kopiere tilbake data ved behov. Ved først å kryptere sikkerhetskopiene, reduserer de kriminelle risikoen for å bli oppdaget, da de fleste virksomheter primært overvåker sine aktive data og systemer.

Når sikkerhetskopiene er kryptert, krypterer de kriminelle de aktive dataene. Da vil virksomheten oppdage at de har problemer og ikke lenger har tilgang til dataene sine. 
Virksomheter som er forberedt og har trent på dataangrep vil iverksette sin beredskapsplan for å håndtere hendelsen. Hovedtrekkene i en beredskapsplan vil innebære å stenge ned IT systemene, varsle aktuelle myndigheter, analysere og vurdere hendelsen og gjenopprette mest mulig normal drift.

Erfaring fra virksomheter som har opplevd dataangrep, er at det tar lang tid å gjenopprette normal IT drift, derfor vil man starte med å etablere midlertidig nøddrift. Kritisk for raskt å kunne etablere midlertidig drift, er om man har sikkerhetskopi av data og systemer som er lagret adskilt fra IT systemene eller ikke. Men selv med sikkerhetskopier lagret adskilt, må man skanne og analysere dataene for å lokalisere evt skadevare i disse. Det samme må man med servere, PCer og IT-systemer, før de kan tas ibruk igjen. Ofte vil det være både raskere og billigere å anskaffe nytt utstyr og installere IT-systemene på nytt, enn å skanne og rense gammelt utstyr og data.

For å redusere konsekvensen av at data blir utilgjengelig ved feks kryptering, må virksomheten forberede seg på slike hendelser ved å etablere beredskapsplan og øve på slike situasjoner. I tillegg må virksomheten etablere gode rutiner for sikkerhetskopiering og gjenoppretting fra sikkerhetskopier som er lagret fysisk adskilt.

Fase 5 Dobbel digital utpressing

De kriminelle vil ofte, etter å ha kryptert dataene, starte digital utpressing med krav om penger fra virksomheten som er offer for hendelsen. Dette gjør de som regel ved å presentere løsepengekrav på ansattes PCer, hvor de ber virksomheten ta kontakt med dem.
Stadig oftere skjer dette iform av dobbel utpressing, hvor de kriminelle både ber om betaling for å dekryptere dataene og for ikke å publisere dataene. Å true med å publisere dataene gjør de for å legge ekstra press på virksomheten til å betale.

Når virksomheten blir utsatt for digital utpressing, er det viktig at man på forhånd har tatt stilling til hvordan man vil håndtere slik utpressing.  NSM anbefaler at man IKKE betaler løsepenger, fordi å betale løsepenger:

  • ikke gir garanti for at utpresserne åpner systemene eller dropper publisering av informasjon
  • analyser viser at 80% av de som betaler blir angrepet igjen
  • det reduserer ikke kosten for opprydding, bytte av infrastruktur og tapt inntekt
  • det vil motivere kriminelle til å fortsette

NSM har beskrevet en rekke tiltak som vil kunne redusere risiko og konsekvens av dataangrep (se lenke under) og som vil være effektive både mot digital utpressing, digital spionasje og digital sabotasje.  

Det er et lederansvar å redusere risiko og konsekvens av digitale angrep

Virksomhetens ledelse må ha oversikt over IKT-systemene og hvilke virksomhetsprosesser som benytter hvilke systemer og data, og de må sikre at virksomheten har oppdaterte risikovurdering(er) og at risikoreduserende sikkerhetstiltak blir gjennomført. De må også utvikle en digital sikkerhetskultur i virksomheten slik at medarbeiderne forstår og ivaretar sikkerhetstiltakene. 
Under er det lenker til websider som kan gi virksomhetens ledelse og IKT enhet mere informasjon om hvordan redusere risiko og konsekvens av dataangrep.

NSM artikkel om hvordan man kan redusere risiko og konsekvens av dataangrep:
nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/skadevare/sikkerhetstiltak-mot-digital-utpressing-og-andre-angrep

NSMs grunnprinsipper for IKT-sikkerhet:
https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/grunnprinsipper-ikt

Næringslivets sikkerhetsråd Nødplakat for digitale angrep: 
https://www.nsr-org.no/uploads/documents/Publikasjoner/nodplakat-for-digitale-angrep-v1.pdf

Om forfatter

Artikkel av Fredrik Grindland, Rådgiver Bouvet Agder og Certified ISO 27005 Risk Manager