Risikoen for cyberangrep har økt etter at Russland invaderte Ukraina. Her er 12 ting du må vite om cybersikkerhet og hacking.
1. Høyere risiko for cyberangrep etter invasjonen
Sannsynligheten for cyberangrep eller hacking fra enkeltpersoner og -grupper har økt etter at invasjonen av Ukraina startet. Økningen skyldes at enkelte grupper og privatpersoner fra hele verden har latt seg engasjere av konflikten. På den ene siden finner vi for eksempel nettsamfunnet Anonymous, som utfører cyberangrep mot russiske nettsteder. På den andre siden har vi engasjerte russere som ønsker å angripe vestlige mål, trolig på grunn av sanksjonene.
Men det er interessant å merke seg at russere ikke nødvendigvis støtter Russland. Nylig offentliggjorde et medlem av den russisk-sponsede hackergruppa Conti ut de interne chat-loggene til gruppen, som avslørte at de hacket statlige russiske nettsteder og selskaper.
Det er observert forsøk på mindre cyberangrep utført av privatpersoner i Russland etter at invasjonen startet, opplyser professor ved Institutt for informasjonsteknologi ved OsloMet, Lothar Fritsch, til Dagbladet. Men cyberangrep fra russiske myndigheter har foreløpig uteblitt.
2. Hackere er ikke lenger bare ungdommer på gutterommet
Selv om vi nå er vitne til en kollektiv angrepsdugnad, der enkeltpersoner og -grupper engasjerer seg, har trusselaktørene generelt blitt mer profesjonelle de senere år. Ofte er de organiserte som bedrifter, der hackerne sitter på kontorer og har vanlig arbeidstid. Det har forskere funnet ut blant annet ved å se på når på døgnet angrepene skjer.
3. Hjemmekontor har gjort systemene mer sårbare
Utstrakt bruk av hjemmekontor på grunn av koronapandemien har gjort systemene mer sårbare for angrep. Årsaken er at man åpner opp digitale porter for å slippe inn ansatte på hjemmekontor. I tillegg tok mange i bruk nye digitale verktøy i rekordfart under pandemien. Da er det vanskelig å opprettholde sikkerhetsnivået man hadde tidligere. I 2021 utførte EU-prosjektet CyberKit4SME, der SINTEF er en av partnerne, en undersøkelse blant 141 små og mellomstore bedrifter i Storbritannia. Undersøkelsen viste at bare 20 prosent av bedriftene lærer opp sine ansatte i cybersikkerhet og av disse var det kun én bedrift som svarte eksplisitt at de trente ansatte på håndtering av sikkerhet når de jobber hjemmefra.
4. Standardsystemer blir oftere hacket enn spesialtilpassede systemer
Hackere liker standardsystemer, fordi de da bare trenger å finne én metode for å hacke seg inn i mange virksomheter. Men ikke tro at ditt spesielle system ikke kan hackes fordi det er sjeldent. Ta i bruk Kerckhoffs’ prinsipp: Anta at fienden har tilgang til all informasjon om systemet ditt, unntatt krypteringsnøkler.
5. Motivet for cyberangrepene er økonomisk vinning eller sabotasje
Løsepengevirus og kredittkortsvindel har vært og er fortsatt svært utbredt, siden økonomisk vinning har vært motivet for de fleste trusselaktørene. Bransjer som forvalter store verdier er mest utsatt, men alle kan rammes.
Motivasjonen til hackerne som utfører cyberangrep i forbindelse med invasjonen i Ukraina er imidlertid i stor grad sabotasje. En vanlig metode er distribuert tjenestenekt, eller såkalte DDoS-angrep. Den enkleste formen for tjenestenekt er å sende så mye trafikk mot en tjeneste at den ikke makter å ta unna, slik at legitime brukere ikke kommer til. Hackere som utfører DDoS-angrep koordinerer slik at de sender fra mange avsendere samtidig. Siden datatrafikken må rutes gjennom mange ulike nett, skaper dette også en treghet som utilsiktet kan ramme norske virksomheter.
6. Hackernes metoder blir stadig mer sofistikerte
I 2019 tapte Hydro nærmere 800 millioner kroner da de ble utsatt for et løsepengevirus, som ble sendt gjennom en helt legitim e-post med et vedlegg en ansatt i Hydro ventet på og dermed åpnet. Et annet svært omfattende cyberangrep, det mye omtalte Solarwinds-angrepet, ble gjort via falske programvareoppdateringer som var behørig signert med nøkler fra produsenten. Tilsvarende metode ble benyttet av Dragonfly-kampanjen, som brøt seg inn på leverandørers nettsted og la inn falske oppdateringer som kunder i neste omgang lastet ned og ble infisert av.
7. Vær klar over at alt henger sammen
Et sikkerhetshull i et system hos en underleverandør kan utgjøre en stor sikkerhetsrisiko for ditt firma eller din arbeidsplass. Dingsen som styrer strømmen på hytta eller gjør at du kan sette på kaffetrakteren på vei hjem, kan utgjøre en sikkerhetsrisiko hvis ikke app-selskapet som har laget den har sikkerhet tilstrekkelig langt oppe på prioriteringslisten. Svært mange programvaresystemer er avhengige av et stort antall programvarebiblioteker som vedlikeholdes av en rekke ulike aktører – en sårbarhet i ett slikt bibliotek kan få fatale konsekvenser, som det gjorde da globale hackerangrep rystet verden i 2017.
8. Kritisk infrastruktur trues via internett
Systemer som tidligere har levd i en isolert verden, som styringssystemer på en plattform eller i strømnettet, kobles nå sammen med internett. Dette åpner samtidig for flere angrepsflater. Et cyberangrep mot for eksempel strømnettet, nødnettet, sykehus eller andre deler av helsesektoren kan få enorme ringvirkninger og fatale konsekvenser. Hele det digitale Norge er avhengig av at kritisk infrastruktur er utviklet på en sikker måte. I arbeidet med utbygging av 5G-nettet har beskyttelse mot potensielle cyberangrep fra internasjonale, statlige aktører stått høyt på agendaen etter debatten rundt bruken av kinesiske Huaweis baseutstyr. Det har ikke blitt mindre aktuelt etter invasjonen av Ukraina. Det er viktig at cybersikkerhet og nasjonal sikkerhet er tatt høyde for i utvikling av all kritisk infrastruktur.
9. Ingen er fredet og alle blir angrepet før eller siden
Derfor er det viktig å planlegge for hva man skal gjøre under og etter et innbrudd. Kan du sette inn en reserveløsning som holder noen av hjulene i gang? Det kan for eksempel være skyløsninger, en alternativ server et annet sted i verden eller i verste fall penn og papir.
10. Backup sikrer verdiene dine
Ta backup av alle data. Backup er også den beste beskyttelsen mot løsepengevirus, som er en type ondsinnet programvare som blokkerer brukerens tilgang til datamaskinen og krever at en pengesum blir utbetalt for å åpne opp tilgangen igjen.
11. Absolutt alle må øke bevisstheten rundt cybersikkerhet
Virksomheter må skape en sikkerhetskultur og ansatte må trene på cyberangrep for å finne sårbarhetene. Hvordan bevisstgjøring og trening innen cybersikkerhet skal utføres, avhenger av forkunnskapene og de ansattes rolle. En HR-person uten forkunnskaper vil få best utbytte av bevisstgjøringskurs eller kampanjer for hvordan man skal beskytte seg mot ondsinnede e-poster. Ansatte med tekniske roller derimot, som for eksempel programvareutviklere, vil få bedre nytte av cybersikkerhetstrening ved hjelp av såkalte Cyber Range-miljøer hvor angrep simuleres og deltakere aktivt må finne og fikse sårbarheter for å beskytte systemet mot pågående angrep.
I EU-prosjektet CyberKit4SME utvikler SINTEF enkle bevisstgjøringskurs for å hjelpe små og mellomstore bedrifter å beskytte seg mot cyberangrep. I tillegg utvikler vi et lavterskel modelleringsspråk som vil hjelpe ansatte å enklere forstå mulige cyberangrep som vil ha en direkte konsekvens for dem og bedriften.
12. Utviklere må lære seg å tenke som en angriper
Programvaresikkerhet må være en obligatorisk del av grunnutdanningen til utviklere ved alle norske studiesteder. Og trusselmodellering må inn som en fast post i alle utviklingsløp i norske virksomheter. Utvikleren må som et minimum forsikre seg om at programvaren ikke inneholder noen av sårbarhetene i OWASP-top-10-listen.
Kilder: Seniorforsker Per Håkon Meland, forskningssjef Maria Bartnes, seniorforsker Martin Gilje Jaatun og seniorforsker Ravishankar Borgaonkar ved Systemutvikling og sikkerhet i SINTEF Digital, forsker Gencer Erdogan ved Sustainable Communication Technologies i SINTEF Digital, Dagens Næringsliv, Dagbladet og informasjonsdirektør Halvor Molland i Hydro til Ateas podcast Teknologi og mennesker.
Denne saken ble først publisert på Gemini.no i juni og så oppdatert 22. mars 2022.
Gemini
