Tåler virksomheten en sikkerhetshendelse nå?

Covid-19-pandemien er den mest alvorlige krisen som har rammet verdenssamfunnet siden andre verdenskrig, og den er først og fremst en krise for folkehelsen og for den globale økonomien. Men i kjølvannet av disse krisene ser vi en sikkerhetskrise i emning, drevet at et eskalerende trusselbilde, men kanskje enda mer av en rask akkumulering av sårbarheter i et digitalt samfunn i hurtig endring for å tilpasse seg krisen.

Vi hører i disse dager mye om et trusselbilde i endring, og det er riktig. Vi ser at trusselaktørene tilpasser seg situasjonsbildet, øker sin aktivitet og bruker frykt og usikkerhet rundt covid-19 som lokkemiddel i sine angrep. Angrepsformene er ikke nye, men på grunn av situasjonen er vi mer mottakelig for dem.

Vi har i rekordfart plassert store deler av arbeidsstyrken på hjemmekontor og endret hvordan vi arbeider. Mange av endringene er innført hurtig, uten risikovurderinger og normal herding og sikring. Det er derfor grunn til å tro at vi i øyeblikket også akkumulerer sårbarheter.

Dette øker risikoen for at norske virksomheter får en alvorlig sikkerhetshendelse på toppen av pandemien og den økonomiske krisen. Det kan bli tøft for mange.

Fra digital til sårbar

Norge er svært digitalisert og de fleste virksomheter er i dag helt avhengig av IT for å kunne operere. Samtidig er vi trolig blant de nasjonene som har størst evne til å omstille oss så vi kan jobbe effektivt hjemmefra, fordi vi har kommet langt i å ta i bruk digitale plattformer som gir oss den nødvendige fleksibiliteten.

Likevel ser vi at mange sliter med at løsningene de har valgt ikke er dimensjonert for at alle sitter på hjemmekontor samtidig, og at ikke alle systemene man trenger fungerer skikkelig hjemmefra. Derfor har mange begynt å åpne opp, oppgradere, rekonfigurere og migrere midt i krisen. Samtidig er det grunn til å tro at bruken av skygge-IT også har økt de siste par ukene.

Alt dette medfører sannsynligvis at vi er mer sårbare, noe angriperne vet å utnytte.

Metodene vi ser angriperne bruker er likevel ikke vesentlig endret fra det vi har sett tidligere, men vi ser at innpakningen er tilpasset dagens situasjonsbilde. Alt handler nå om covid-19, og de forsøker å spille på vår frykt, usikkerhet og ønsket om informasjon og hjelp.

Flere sikkerhetsselskaper melder om det samme, blant annet Trend Micro, som har opprettet en webside som fortløpende oppdateres med nye eksempler på hvordan covid-19 brukes i svindel- og angrepsforsøk. Blant truslene vi ser er e-post spam, business email compromise (BEC), malware, ransomware (både på falske/ondsinnede nettsider og via app) og andre former for forsøk på svindel. Vi har også sett eksempler på at virksomheter i helsesektoren har vært utsatt for tjenestenektangrep (DDoS-angrep) under krisen, muligens i et forsøk på å sabotere og ødelegge for pandemiresponsen.

I tillegg til å spille på frykt og usikkerhet rundt pandemien bruker angriperne gjerne velkjente navn i sine angrep. Eksempler er U.S. Centers for Disease Control and Prevention (CDC) og the World Health Organization (WHO). Hvorvidt disse angriperne er enkeltmennesker, organisert kriminelle eller utenlandsk etterretning kan ofte være vanskelig å avgjøre. Sannsynligvis er alle kategorier representert, for alle de ulike aktørene har insentiver til å utnytte en slik krise for egen vinning.

Dette har nå blitt så alvorlig at myndigheter over hele verden har begynt å spytte penger inn i styrking av sikkerhetsarbeidet. Dette skjer også i Norge hvor regjeringen har bevilget ekstra penger til Nasjonal Sikkerhetsmyndighet for at den operative enheten NCSC skal kunne styrke sitt nasjonale sensornettverk VDI.

Kartlegge sårbarheter

Vi er mer bekymret for de sårbarhetene vi kollektivt akkumulerer akkurat nå enn vi er av det økte trusselnivået. Truslene vil alltid være der, og dem kan vi i liten grad gjøre noe med. Sårbarhetene er derimot våre egne, så dem kan vi gripe fatt i. Men da må man klare å avdekke dem. Derfor har vi laget en kort liste til inspirasjon for deg og din virksomhets sårbarhetskartlegging.

Menneske

• Økt usikkerhet og informasjonsbehov: Når folk sitter med ubesvarte spørsmål og opplever at ting er uoversiktlig og skremmende, er de ekstra utsatt for sosial manipulering. Dette vet trusselaktørene. Derfor ser vi at veldig mange av dem har begynt å bruke covid-19-relatert materiale som lokkemiddel i sine angrep.
• Skygge-IT: Når ting ikke fungerer som vanlig, går tregt eller kanskje ikke fungerer i det hele tatt er det lett å ty til kreative og egne løsninger, som privat e-post, private skytjenester, eller å lage en ny konto på en onlinetjeneste. Dette er skygge-IT, altså IT som IT-avdelingen ikke har innsikt i og kontroll over, og som dermed faller utenfor alle vanlige sikkerhetsregimer. Dette øker sårbarheten og kan medføre at personopplysninger og virksomhetssensitiv informasjon kommer på avveie.

Teknologi

• Nye løsninger: Flere virksomheter har måttet sette opp nye, og kanskje midlertidige løsninger for at folk skal kunne arbeide best mulig hjemmefra. I mange tilfeller vil disse være satt opp hurtig, uten nødvendige sikringstiltak, som f.eks. flerfaktorautentisering.
• Overbelastning på nettverk og IT: Flere ansatte enn normalt sitter på hjemmekontor. Fjernarbeid gir en økt belastning på lokal nettverksstruktur og IT infrastruktur, i tillegg til internett. Fjernaksessløsninger og internett er nær overbelastning og kommer det ekstra belastning i form av et tjenestenektangrep vil det ikke være kapasitet til å håndtere angrepet. Det fører til at toleransen for tjenestenektangrep trolig har gått betydelig ned.

Prosess

• Sikkerhetsberedskap: De fleste virksomheter har beredskapsplaner og tiltakskort på sikkerhet, men trolig har de færreste planer som dekker situasjonen vi står i nå. Det betyr at de færreste virksomheter vil være i stand til å håndtere en sikkerhetshendelse etter de etablerte planene.
• Leverandørstyring: De fleste virksomheter både i Norge og utenfor landets grenser merker covid-19 enten økonomisk eller ressursmessig. Dette gjelder også sikkerhetsleverandørene dine. Man må derfor være forberedt på lengre respons- og leveringstid, og at SLA-er ikke overholdes. På grunn av hjemmekontor kan det også hende at leverandører med tilgang til dine kronjuveler blir letteste vei inn for en angriper.

Når du selv skal begynne å kartlegge og avdekke sårbarheter er det nyttig å tenke scenario- og risikobasert. Ta utgangspunkt i situasjonen du og virksomheten din står i, og tenk på:

• hva er mest sannsynlige videre utvikling?
• hva er farligste videre utvikling?

Dersom du identifiserer farlige scenarier du ikke er villig til å risikere, og som du mener er sannsynlige nok og du er sårbar nok for til at du må ta høyde for dem, må du etablere sikring og beredskap for å kunne håndtere dem.

Så dersom virksomheten din ikke vil tåle påkjenningen fra et utpressingsangrep med ransomware akkurat nå bør du verifisere at du har tilstrekkelig sikring og beredskap.

God sikkerhet gir forutsigbarhet og arbeidsro

Mange opplever nok omfanget på pandemien som både skremmende og overraskende, og de færreste har nok vært forberedt på at dette skulle treffe oss som det har gjort. Samtidig har pandemier blitt trukket frem i mange risikovurderinger i senere år, blant annet i Direktoratet for samfunnssikkerhet og beredskap (DSB) sitt årlige produkt, Nasjonalt Risikobilde.

En hendelse kan være uforutsett og komme overraskende på én virksomhet, men samtidig være forutsigbar for en annen. Her spiller informasjon, kunnskap og erfaring en vesentlig rolle. Det samme gjør modenhet på scenario- og risikotenkning, og resultatet vil gjerne være at organisasjonene forbereder seg helt ulikt på den samme risikoen.

Vi vet ikke hvordan denne krisen kommer til å utvikle seg, heller ikke med tanke på digitale sårbarheter og risiko, men vi frykter og har grunn til å tro at situasjonen vil forverres. Svært mange virksomheter har allerede etablert beredskap. Trolig har ikke så mange virksomheter satt beredskap samtidig siden krigen. Og siden sikkerhet er en viktig del av beredskapsarbeidet betyr det trolig at det aldri har vært så mange virksomheter som har tenkt på cybersikkerhet samtidig før.

Cybersikkerhet var viktig før krisen, og vil være viktig både under og etter krisen, men god sikkerhet kan kun oppnås gjennom kontinuerlig og langsiktig arbeid. Nå vil det være lurt å kjenne på hva som gjør vondt nå, og notere seg hva man opplever å ha kontroll på og hva man opplever å ikke ha kontroll på.

De første stegene virksomhetene bør ta er trolig å se om risikovurderinger, beredskapsplaner og tiltakskort trenger å revideres gitt det nye situasjonsbildet, og etablerer en robust sikkerhetsberedskap som sikrer at virksomheten tar kontroll på sikkerheten og sårbarhetene i den uoversiktlige og ekstrem situasjonen vi står i.

Er sikkerheten ivaretatt og sårbarhetene håndtert reduseres risikoen betydelig for at en sikkerhetshendelse oppstår og stjeler tid og ressurser fra det som strengt tatt betyr mest akkurat nå: Liv og helse og økonomisk overlevelse.

Blogginnlegget er skrevet sammen med Frode Hommedal, teknisk direktør i PwCs avdeling for Cybersecurity & Privacy. Frode sine fagfelt er trusseletterretning, sikkerhetsovervåkning og hendelseshåndtering. 

Les også

• COVID-19: Forstå og håndtere konsekvensene for din virksomhet
• Korona gir bensin på bålet for cyberkriminelle
• COVID-19 og GDPR: Hva må du forholde deg til?
• Ikke siden finanskrisen har verdens ledere vært mer bekymret
• Datasikkerhet for bedrifter og offentlig sektor 

_Referanser

• _{Bleeping Computer (2020, 12. mars). New CoronaVirus Ransomware Acts as Cover for Kpot Infostealer. Hentet fra: https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/}
• _{Bleeping Computer (2020, 13. mars). Ancient Tortoise BEC Scammers Launch Coronavirus-Themed Attack. Hentet fra: https://www.bleepingcomputer.com/news/security/ancient-tortoise-bec-scammers-launch-coronavirus-themed-attack/}
• _{Graham Cluley (2020, 16. mars). Malicious Coronavirus victim tracking app demands ransom payment from Android users. Hentet fra: https://www.grahamcluley.com/coronavirus-android-ransomware/}
• _{Norsk Rikskringkasting (2020, 17. mars). Myndighetene advarer mot dataangrep når folk har hjemmekontor på grunn av koronaviruset. Hentet fra: https://www.nrk.no/norge/myndighetene-advarer-mot-dataangrep-nar-folk-har-hjemmekontor-pa-grunn-av-koronaviruset-1.14947414}
• _{PwC (2020, 14. mars). How to manage the impact of COVID-19 on cyber security. Hentet fra: https://www.pwc.co.uk/issues/crisis-and-resilience/covid-19/how-to-manage-the-impact-of-covid-19-on-cyber-security.html?WT.mc_id=CT1-PL50-DM3-TR3-LS4-ND30-TTA5-CN_covid-cyber-cyb1}
• _{Recorded Future (2020, 12. mars). Capitalizing on Coronavirus Panic, Threat Actors Target Victims Worldwide. Hentet fra: https://www.recordedfuture.com/coronavirus-panic-exploit/}
• _{Security Boulevard (2020, 12. mars). Coronavirus: Its Four Most Prevalent Cyber Threats. Hentet fra: https://securityboulevard.com/2020/03/coronavirus-its-four-most-prevalent-cyber-threats/}
• _{Norsk Rikskringkasting (2020, 27. mars). Myndighetene styrker NSM NorCERT og det nasjonale sensornettverket med 5 millioner kroner i forbindelse med COVID-19-pandemien.
  https://www.nrk.no/norge/starter-internasjonal-koronastudie-i-oslo-1.14963836}
• _{Taleb, N. N. (2010). The black swan : the impact of the highly improbable (Rev. ed. utg.). New York: Random House Trade Paperbacks}
• _{TechRadar (2020, 11. mars). Hackers are spreading malware through coronavirus maps. Hentet fra: https://www.techradar.com/news/hackers-are-spreading-malware-through-coronavirus-maps}
• _{Teiss (2020, 17. mars). U.S. health agency suffers DDoS attack amid COVID-19 outbreak. Hentet fra: https://www.teiss.co.uk/u-s-health-agency-suffers-cyber-attack/}
• _{Torgersen, G.E. (2015). Pedagogikk for det uforutsette. Bergen: Fagbokforl.}
• _{Trend Micro (2020, 26. mars). Developing Story: Coronavirus Used in Malicious Campaigns. Hentet fra: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and-malicious-domains}