Nylig publiserte NRKbeta en artikkel som dekker det siste datainnbruddet på Stortinget.
Å finne måter å forebygge slike datainnbrudd på vil beskytte ikke bare offentlige tjenester i Norge, men også virksomheter rundt om i hele landet — og det trengs nå mer enn noen gang.
Denne artikkelen inneholder konkrete risiko- og konsekvensreduserende sikkerhetstiltak som møter trusselbildet vi står ovenfor i 2021.
Når trusselaktører skyter gullfuglen
Antallet virksomheter som er rammet av datainnbruddet mot “on-prem” Microsoft Exchange er for høye.
En suksessfaktor er at angrepene inneholder totalt fire hittil ukjente sårbarheter (!), såkalte “0-dags sårbarheter”, som ble utnyttet for å gjennomføre datainnbruddene. Å tette ett hull raskt kan være utfordrende nok i seg selv for en programvareleverandør — en kan forestille seg hvor vanskelig det er å håndtere fire samtidig.
10 viktige prinsipper for sikkerhetsdesign
Mye tyder på at den kinesiske hackergruppen “Hafnium” står bak og hadde som opprinnelig mål å ramme USA, men at angrepet tok litt av da andre hacker-grupperinger ble med. Siden har omfanget av angrepet økt til global skala og truffet bl.a. Stortinget.
I en artikkel i E24 om datainnbruddet som bl.a. rammet Stortinget opplyste Nasjonal Sikkerhetsmyndighet (NSM) at de har skannet hele Norge og fant at:
"1.500 e-posttjenere kan være rammet av sårbarhetene."
hvorav:
"En fjerdedel av disse har ikke installert oppdateringene […]"
NSM begynte da å ta kontakt med virksomhetene direkte for å bistå.
Konsekvensene kan bli dyre
I følge NSM kan et slikt datainnbrudd som vi har sett mot Microsoft Exchange få store konsekvenser. Man risikerer bl.a. at:
- informasjon i e-poster og vedlegg har blitt lest
- brukerkontoer har blitt kompromittert
- falske e-poster har blitt sendt ut fra legitime e-postkontoer. F.eks. til svindel og skadevare.
I tillegg opplyser NSM om at det er risiko for at Exchange-tjeneren vil fungere som et brohode til å komme seg videre inn til virksomhetens andre IKT-systemer og ramme hele IKT-infrastrukturen med f.eks. løsepengevirus og kompromittering av data og tjenester.
Derfor sjekker ice om passordet ditt er lekka
Konsekvensene for en virksomhet som blir rammet er store og kan i verste fall true hele virksomhetens eksistens. Ifølge NRK anslår Halvor Molland (informasjonsdirektør i Hydro) at løsepengevirus-angrepet mot Hydro kostet rundt 850 millioner kroner.
Covewares rapport for løsepengevirus i 2020 sier at gjennomsnittlig nedetid forårsaket av løsepengevirus er på 16,2 dager. For Østre Toten gikk det utover innbyggerne ved at driften av et 10-talls tjenester i kommunen ble, og er fortsatt, berørt.
Politiet nevner også løsepengevirus i sin første åpne rapport om trusselvurdering for Norge:
"Det vil bli gjennomført flere vellykkede datainnbrudd med løsepengevirus mot norske virksomheter. Dette ses i sammenheng med en jevn økning i antallet hendelser de siste årene og mulighet for høy profitt. Virksomheter med samfunnskritiske funksjoner kan også bli utsatt for vellykkede datainnbrudd."
Best på digitalisering, øverst på listen til hackerne
At Norge er i verdensfronten på digitalisering, hvor skatteberegning/skatteoppgjør, legejournaler, NAV m.fl. beveger seg mot digitale løsninger, fører også med seg at vi blir eksponert for stadig flere trusler mot private og offentlige tjenester på nett.
- Den viktigste sikkerhetsjobben er det utviklerne som gjør!
I følge IBMs årlige X-Force Threat Intelligence Index 2021 er det trender på trusler som rammer, og etter høy sannsynlighet vil ramme, norske interesser fremover. Kaja Narum (nordisk ansvarlig i IBM Security) sier til TV2:
"Norge er blant landene som har kommet aller lengst i digitaliseringen, og er derfor ekstra sårbare for angrep. Norge er superattraktivt for angripere fordi det meste av data er tilgjengelig digitalt."
Og videre:
"Et av hovedfunnene i rapporten er at kriminelles bruk av løsepengevirus fortsetter i rask takt. Alle bedrifter kan bli utsatt for det, både store og små."
Vi er mer sårbare og utsatte nå enn tidligere, ifølge et meningsinnlegg publisert 16. mars i digi.no av tre fagpersoner innen sikkerhetsmiljøet i Norge:
"Det er denne utviklingen som nå begynner å treffe vårt samfunn, i kombinasjon med en sikkerhetspolitisk spenning som har gjort trusselbildet vesentlig mer krevende enn tidligere."
Test appen din med BurpSuite: - Mitt viktigste verktøy
Følg opp digitaliseringen med større fokus på sikkerhet
Vi må innse at for å fortsette å være best på digitalisering og beskytte de digitale løsningene vi lager, så må vi også bli best på å møte nye sikkerhetstrusler som følger etter.
Ulike tiltak må gjøres ut ifra ens egen risikovurdering og situasjon. Man må ha et forhold til hva en har av verdier, hvilke trusselaktører som er aktuelle å ta hensyn til og foreta en sårbarhetsanalyse med sannsynlighet og konsekvens per inntruffet scenarie.
Analysen kan bidra til å gjennomføre målrettede tiltak der det er høyest sannsynlighet for, og størst konsekvens ved, at et scenarie inntreffer.
10 forebyggende sikkerhetstiltak
For å møte risikobildet i 2021 har jeg sammenfattet en liste med konkrete tiltak som virker forebyggende mot et datainnbrudd og løsepengevirus. Listen er ikke fullstendig, men ment som et forslag til et sted å starte for å begynne å få opp sikkerhetsbevisstheten og mottiltak til det vi ser av trender på angrepsvektorer og -teknikker i 2021.
Ingrid-Alice (25) frykter hun ikke lærer nok om sikkerhet
Tiltakene er en sammenfatning av:
- NSMs rapport Risiko 2021 (NSM, 11.03.2021)
- NSMs Grunnprinsipper for IKT-sikkerhet (NSM, 26.08.2020)
- NorSIS’ Trusler og trender 2019–2020 (NorSIS, 2020)
- Microsoft og TietoEvrys webinarserie om “akutte tiltak for å stoppe løsepengevirus” og “strategiske endringer for å møte det nye trusselbildet” (Microsoft/TietoEvry, 09.03.2012/11.03.2021)
- Sårbarhetsanalyser og penetrasjonstester gjennomført av Bekk.
Tiltakene kan anses for å være likestilte, dvs. hvert punkt er selvstendig og har verdi å gjennomføre alene eller i kombinasjon med flere andre av tiltakene i listen.
- Ha jevnlig ansattopplæring i å gjenkjenne phishing.
65 % av løsepengevirus kommer via phishing, så å gjøre en innsats i opplæring vil kunne redusere klikk i utrygge e-poster. - Marker ekstern e-post.
Gjør det lettere for dine ansatte å forstå risiko bedre per e-post. En e-post med ekstern avsender vil oftere være phishing og spam enn interne. Ved å tydelig markere den som ekstern hjelper du mottager i å gjøre en risikovurdering av e-posten.
Dette er et godt eksempel på at et sikkerhetstiltak ikke trenger å være verken dyrt eller avansert for å kunne ha effekt, og i dette tilfellet kunne det kanskje hindret en direktørsvindel som skjedde mot et selskap i Stavanger:
"Et energiselskap i Stavanger-regionen skal i høst ha blitt svindlet for 150 millioner kroner ved direktørsvindel. — NorSIS (Trusler og trender 2019–2020)." - Ta backup!
“Hvilende data” (filer, data i databaser osv.) bør være sikkerhetskopierte men også krypterte. Sørg for å integritetssjekke dine backups for å unngå falsk trygghet. - Øv på gjenoppretting av backup.
Dette fordrer at du allerede gjør forrige punkt. - Ha et “Hack deg selv først”-tankesett.
Har du en bedriftskultur hvor det gjøres penetrasjonstester mot egne systemer, så finner du forhåpentligvis hull og sårbarheter før andre gjør det. Gjør som bl.a. Finn.no og Visma og ha et “bug bounty” program, hvor etiske hackere prøver å finne sårbarheter i dine tjenester før andre gjør det. - Gjør det lett å melde ifra om sårbarheter og sikkerhetssvakhete.
Implementer en security.txt for din virksomhet. Sørg for å ha en egen e-postadresse for både eksterne og interne til å melde ifra om sårbarheter og sikkerhetsrelevante hendelser. Jo enklere og tryggere det oppleves å melde ifra, jo større sannsynlighet for at det gjøres. - Unngå at hverdagsbrukerkontoen til de ansatte har administratorrettigheter.
Forstå hvorfor dine ansatte eventuelt har behov for høyere privilegier på sine brukerkontoer og finn tiltak som hjelper de i å fortsatt kunne gjøre sine arbeidsoppgaver. Utgangspunktet bør være at man ikke skal ha høye privilegier på vanlige hverdagsbrukerkontoer. - Vurder å flytte e-posttjeneren bak VPN.
Er det virkelig nødvendig at e-posttjeneren er tilgjengelig fra hele verden hvis din virksomhet er norsk og de ansatte jobber hovedsakelig i Norge? Kan tilgang til e-posttjeneren styres basert på geografisk lokasjon så kan man vurdere å begrense tilgang til Norge/Norden. Funksjonalitet i e-posttjeneren som er ment for administrativt oppsett og konfigurasjon kan kanskje flyttes bak VPN basert på en ja-liste med tillatte geografiske lokasjoner? - Installer oppdateringer i programvare jevnlig.
Datamaskiner kan bli instruert av en administrator til å oppdateres jevnlig og ansatte kan bli opplært i å selv holde programvare de bruker oppdatert. Slik vil man forebygge utnyttelse av kjente sårbarheter i ikke-oppdatert programvare. - Bruk flerfaktorautentisering der det er mulig.
Å bruke en 2-faktorløsning for autentisering av brukere har vært et anbefalt tiltak for å forebygge mot brukernavn- og passordhacking i mange år. Allerede i 2016 publiserte NSM “Helhetlig IKT-risikobilde 2016”, hvor 2-faktorautentisering er nevnt som et tiltak for sterkere autentisering.
Stortinget hadde ikke obligatorisk 2-fakturautentisering på e-post da det ble utsatt for det første datainnbruddet i september 2020. Det er forståelig at folk reagerer. Ved det andre datainnbruddet på Stortinget i februar 2021 var fortsatt ikke overgangen til 2-faktorautentisering fullført. Det ville nok ikke stoppet “Hafnium”-angrepet hvis alle hadde 2-faktorautentisering på Stortinget, men det sier noe om hastigheten i implementeringen av viktige tiltak som beskytter nasjonale interesser.
En 2-faktorløsning er bedre enn ingen, men også her er det ulike alternativer med varierende gevinst i styrket sikkerhet. Har man høy grad av sensitive data bak en innlogget tjeneste er det kjent at 2-faktorautentisering med SMS-kode er mindre sikkert. SMS-protokollen har ingen iboende sikkerhetsmekanismer som gjør den mulig å utnytte med rett utstyr.
Husk at selv små tiltak kan ha høy verdi! Finn ut hvilke kan gjelder for din virksomhet og implementer tiltak før enn siden.
Hvordan beskytter man seg mot Injection-baserte angrep?
Even Lysen går gjennom 10 populære angrepsvektorer.