Af Omar Hawwash, Cybersecurity Consultant
Cybersikkerhed har i de seneste år set en stigning, der går i takt med teknologiens: ekstrem hurtig, og med alle øjne kiggende ind ad vinduet, undrende om hvad det næste skridt er.
For hackernes vedkommende er opgaven relativt simpel, så længe sikkerhed forbliver lavt på prioritetslisten for virksomheder, der har adopteret en top-down strategi på strengt vis: på toppen af listen ser vi blandt andet enheder, der nærmer eller har ramt end-of-life i deres livscyklus, outdated
software (ja, der kører stadigvæk systemer i institutioner med sensitiv information med Windows 7, og endda Windows XP indtil for et par år siden!). Phishing-kampagner er stadig lige så friske i bageriet som brød hos din lokale bager, og endda endnu mere sofistikeret end de hidtil har været; et pragteksempel på dette er BlackEye – et værktøj, der kan skabe en yderst overbevisende replika af phishingsites hurtigere end du kan tælle til tre.
Og så er der den nok største risiko: en del af de såkaldte black-hat hackers er folk, der tidligere har været i den forsvarende ende af salen, og har således dannet sig et skarpt overblik over det arsenal og repertoire, som ‘forsvaret’, så at sige, har haft – og stadig flittigt – gør brug af den dag i dag. Foruden dét, er det også værd at nævne at blue-teamers fortsat rekrutterer på transparent vis i forhold til hvilke værktøjer, der skal være stiftet bekendtskab med førend en kandidat tages videre med i overvejelse om ansættelse. Det gør, for virksomheders vedkommende, at angriberne bedre kan danne sig et overblik over virksomhedens svagheder.
Men er løsningen så at være vag i sin forklaring om, hvad det eksempelvis er for en stilling, man søger at fylde? Det tror jeg næppe.
Omvendt, kan det være godt at dække sig ind på samtlige fronter fra start, og sørge for sikkerhed som et hovedprincip fremfor en eftertanke, hvilket det efterhånden er blevet for mange virksomheder, hvor pengesedler eller, for den sags skyld cryptovaluta, vægter højere end principper på forhandlingsbordet.
For så kan man snildt tillade sig at være transparent om sine ønsker for en potentiel nyansat, idet man på forhånd har garderet sig så godt som muligt, og den nyansatte så kommer til som endnu et led i dét, fremfor én som skal bringe ro og orden i et (kælder)rum fyldt med kaos.
Når jeg kigger på det fra et kritisk synspunkt, og nu hvor cybersikkerhed de seneste år har fyldt utroligt meget i mit liv, finder jeg det yderst foruroligende, at virksomheder i 2022 kan blive kompromitteret udelukkende grundet brug af yderst nemme passwords (<projekt/virksomhedsnavn>123, for blot at give et helt trivielt eksempel.
Med det in mente, står ét problem klart: cybersikkerhed bliver ikke taget seriøst nok i de høje ender af salen: hvad end det er mangel på cybersikkerhed og –awareness træning for ansatte, eller om en virksomhed, der laver flere millioner danske kroner til daglig, blot ville se en ransomware-udgift på ‘små’ 2 millioner kroner som småpenge, så er cybersikkerhed set som en eftertanke. En meget farlig een af
slagsen.
Det kunne nok være interessant at præsentere en liste for virksomheder, hvor udgifterne for mangel på hærdede systemer vises i pengeværdier, så det måske rammer dén del af demografien, som tænker med pengepungen i stedet for at tænke på reputational damage fra et mere humant perspektiv.
Omvendt, er det helt ude i hampen, at det er dét, der skal til førend mangel på sikkerhed ses som en egentlig trussel.
Og så når vi jo så til endestationen: “jeg har intet at skjule” – eller “hvorfor skulle de lige præcis komme efter mig? Jeg er jo ikke i bestyrelsen”; her er det simpelthen svært for mig at lægge skjul på, hvor farlig en mentalitet dét er at have. En god del af de angreb, der er set igennem årene, har været ved netop at målrette f.eks. phishingangreb efter medarbejdere, der blot ser sig selv som endnu et tandhjul i et klokkeværk på størrelse med Big Ben.
Men da de netop er en del af urværket, har de også adgang til nogle filer, filsystemer eller oplysninger, der kun er ment gjort tilgængelige for folk i virksomheden. Og så snart én bruger bliver kompromitteret, er det ganske muligt at få adgang til øvrige brugere i hierarkiet, og på dén måde arbejde sig op. Har de øvrige brugere heller ej interesse for cybersikkerhed eller særlig meget træning i at se forskel på phishing og legitime e-mails kan en intern phishingkampagne sagtens give pote.
Noget á la dét blev, for eksempel, set ifm. SolarWinds-angrebet, hvor angriberne havde fået adgang og holdt øje med e-mail-korrespondancer fra både den nationale telekommunikation og informationsadministrationsafdeling samt finansafdelingen. Det havde de gjort i flere måneder op til selve angrebet, og dét blev først opdaget meget senere.
Den største trussel for cybersikkerhed, i min optik, så dystopisk som det end måtte lyde, er mennesket og dets til tider naive eller henkastende adfærd, når noget ikke ser sig at være en direkte trussel. Og hvis ikke det bliver rettet, så vil cybersikkerhed – eller, rettere, mangel på samme – kun stige som en trussel.
Fra min ydmyge synsvinkel, ser jeg det er ret at sige, at det er tid til forandring — og den starter i toppen af hierarkiet.