Dette er den tredje og siste bloggen i serien «IT sikkerhet og sosial manipulering».
Vi i CloudNorway har en nabo. Ikke hvem som helst, heller. Selveste Stortinget. De har uniformerte vakter, tunge dører og scanning av alle gjester. Likevel var det nettopp denne arbeidsplassen som fikk besøk av uvedkommende i sine e-mailservere sist høst. Tross vakter, scanning og tunge dører snek noen seg inn og lastet ned data fra stortingsrepresentantene. Et angrep på demokratiet, sa Stortingspresidenten etterpå.
IT-tyvene brukte det gamle trikset med trojanske hester. Trikset stammer fra den Trojanske krigen. De skjulte en styrke soldater inni hesten og later som de seiler av sted. I glede åpner trojanerne byportene og trekker hesten innenfor byen som et krigstrofe. Om natten kryper grekerne ut, åpner byportene og den greske hæren strømmer inn. De ødelegger byen og vinner krigen.
Også på Stortinget fikk tyvene fikk god hjelp til å komme seg inn. Mye tyder på at det var de som allerede var innenfor som hjalp de utenfor. De behøvde ikke tenke på dører, vakter og scanning, fordi de snek seg inn via de ansatte selv. Vi må understreke at vi ikke VET at det var slik, men mye tyder på at det var sosial manipulering som var metoden som ble brukt.
Sosial manipulering
Heldigvis har de fleste større organisasjoner gode IT-sikkerhetsmekanismer på plass for å fange opp sikkerhetsbrister. Faktisk har kvaliteten på antivirus, brannmurer, spamfilter og lignende sikkerhetsmekanismer blitt så god at kriminelle i stedet baserer seg på å manipulere oss brukere til å komme seg på innsiden av systemene våre (et fenomen som på fagspråket kalles «sosial manipulering»[i]). Baksiden av medaljen er derfor at det ikke lenger er nok at bedriften din bruker gode sikkerhetsløsninger til å beskytte seg mot uvedkommende. Det svakeste leddet i dagens sikkerhetskjede er blitt oss brukere. Så, hvordan kan man nå på best mulig måte beskytte seg mot cyberangrep?
På lik linje med et virusprogram, må de ansatte også oppdateres med jevne mellomrom ved å trenes i å se potensielle farer og avdekke nye framgangsmåter
For å få til en velfungerende sikkerhetsløsning må det være et samspill mellom teknologi og bruker. På lik linje med et virusprogram, må de ansatte også oppdateres med jevne mellomrom ved å trenes i å se potensielle farer og avdekke nye framgangsmåter.
Nøkkelen her er sikkerhetsopplæring av ansatte, men prosessen omfatter også å etablere interne varslingsrutiner. I tillegg er det spesielt ett «teknisk» tiltak som kan fjerne en stor andel av potensielle trusler. Dette vil jeg komme nærmere tilbake til.
Sikkerhetsopplæring: en tredelt prosess
Alfa og omega for å beskytte seg mot IT-angrep er bevisste ansatte. Opplæring av ansatte trenger ikke være en omfattende og kostbar prosess, ofte er én enkelt time med sikkerhetskurs nok til å gi gode resultater.
Men for at de ansatte skal bli skikkelig rustet til å bekjempe cyberkriminalitet, anbefaler jeg å følge disse tre stegene for opplæring: sikkerhetskurs for ansatte, etterfulgt av «herding» gjennom angrepssimulering, og til slutt gjøre de ansatte oppmerksomme på hvordan en kan avdekke og forhindre angrep i en tidlig fase.
Del 1: Sikkerhetskurs og trojanske hester
Hvordan kan vi sikre oss at de ansatte kjenner igjen trojanske hester når de galopperer inn i våre lokaler? Hovednøkkelen er å kjenne igjen hestene. Med andre ord: For å få til et samspill mellom teknologi og ansatte er det nødvendig å gi opplæring i hva IT-sikkerhet innebærer. Jeg hevder at et minimum av sikkerhetsopplæring i en bedrift som tar IT-sikkerhet seriøst, er å lære opp ansatte til å kunne sjekke om en henvendelse er et forsøk å stjele informasjon eller på annen måte å skade bedriften. Dette innebærer å gå igjennom typiske kjennetegn på at en henvendelse kan ha skjulte hensikter.
Områder som bør dekkes av sikkerhetsopplæringen er:
Avdekke e-poster som kan inneholde virus og linker med skadelig innhold. De fleste forsøkene kommer den veien.
Gjennomgang av rutiner for tilgang lokaler. Kortleser har liten effekt dersom alle slipper inn ukjente som sier de har «glemt kortet».
Rutiner på hvilken informasjon som kan deles med hvem. Mennesker har gjerne ulike oppfatninger om hva som er sensitiv informasjon.
Føringer for hva ansatte kan gjøre med jobb-PC’en. Ofte er bruk av minnepinne eller installasjon av programmer fra internett til personlig bruk en motorvei for virus inn i systemene.
I CloudNorway for eksempel, mottok vi for et par måneder siden et brev som omhandlet betaling for en varemerkesøknad, som vi faktisk har inne til behandling. Brevet vi mottok var likevel falskt, og takket være gode sikkerhetsrutiner ble dette brevet fanget opp før betalingsinformasjon ble oppgitt.
Jevnlige påminnelser via e-post og oppslag på kan være effektive tiltak for å holde fokuset oppe over tid. Erfaring viser at selv om man umiddelbart etter et sikkerhetskurs vil holde fullt fokus, vil man med tiden blir gradvis mer avslappet og gjerne slipper opp kontrollen.
Del 2: Læring gjennom simulering
Etter at ansatte har gjennomført et sikkerhetskurs, er det en god ide å «herde» de ansatte mot potensielle angrep ved å gjennomføre simuleringer. En fremgangsmåte jeg har troen på er å teste de ansatte med jevne mellomrom ved å orkestrere forsøk på å stjele informasjon.
Det er viktig å understreke at hensikten med simuleringer ikke er å arrestere personene som «går i fella», men å sørge for at alle ansatte er litt ekstra observante til enhver tid.
Simulering av slike cyberangrep kan gjennomføres ved å for eksempel:
Sende ut en e-post som forsøker å få de ansatte til å klikke på en link til en fiktiv nettside. Sørg for at mailen har de klassiske tegnene for en suspekt e-post, slik at de bør oppfatte at det er «noe muffins» på gang.
Få en person som er ukjent for de ansatte til å møte opp i lokalene, for så å se om denne personen klarer å komme seg inn og bevege seg uforstyrret innenfor avlåste områder.
Ring opp bedriften å se om det er mulig å hente ut informasjon over telefon, gjerne ved å utgi seg for å være IT-avdelingen. Du vil bli overrasket over hvor mange som er ukritiske til å dele passord over telefon hvis det er IT-avdelingen som ringer.
Du kjenner deg sikkert igjen i tankegangen «jeg lar meg ikke lure». I mange tilfeller er dette riktig, men da er det ofte snakk om å ikke la seg lure av stereotypiske masseproduserte e-poster på dårlig engelsk som lover at du blir rik ved noen enkle tastetrykk.
Verre er det dersom e-posten er skreddersydd til å referere til personer, bedrifter og oppgaver som er en del av din arbeidshverdag. Det er disse angrepene som har størst skadepotensiale, nettopp fordi de er troverdige nok til å spasere rett forbi de ansattes sikkerhetsbarrierer. Det er i slike tilfeller herding gjennom simulering spiller en viktig faktor.
Del 3: Avdekke og forhindre angrep i en tidlig fase
I mitt forrige innlegg «I siktet: målrettede cyberangrep mot bedrifter» diskuterte jeg hvordan målrettede cyberangrep innebærer en planleggingsfase. Dette vil si at cyberkriminelle som oftest gjennomføre en kartlegging av bedriften din i forkant av et angrep. Som del av denne kartleggingen er det ikke uvanlig at bedriften din vil motta henvendelser med hensikt å hente ut informasjon som vil gjøre det enklere å gjennomføre et angrep på et senere tidspunkt.
For å sette det litt på spissen, så kan det faktisk hende du er en del av en større plan dersom du mottar en forespørsel om å knytte kontakt på LinkedIn fra en ukjent person.
Kriminelle er svært slue når det kommer til innsamling av informasjon. Det er ikke uvanlig at for eksempel sosiale medier benyttes for å kartlegge bedrifter og personer som sitter i nøkkelroller. For å sette det litt på spissen, så kan det faktisk hende du er en del av en større plan dersom du mottar en forespørsel om å knytte kontakt på LinkedIn fra en ukjent person. Det er ikke sikkert at du eller bedriften din er målet, men det kan for eksempel være noen i ditt nettverk de kriminelle ønsker å ha flere felles kjente med, slik at deres troverdighet øker.
Selv om de fleste ansatte godt vet hvilke typer informasjon de kan dele med andre og hva som betegnes som «sensitivt», er utfordringen at kriminelle gjerne vil be de ansatte om informasjon som tilsynelatende virker ufarlig å dele. Eksempler på dette er:
Informasjon om andre ansatte, for å finne personer som sitter med tilganger inn mot funksjoner den kriminelle ønsker å ramme.
Informasjon om samarbeidspartnere. Kjennskap til bedriftens nettverk gjør det enklere å kamuflere e-poster med skadelig innhold, for eksempel ved å utgi seg for å komme fra en trygg kilde.
Informasjon om IT-systemer. Kunnskap om hvilken programvare og hardware bedriften bruker gjør det enklere å velge riktig fremgangsmåte for å bryte seg inn i systemene.
Dersom ansatte er bevisste på hvordan cyberkriminelle opererer, kan angrep lettere avdekkes og forhindres i en tidlig fase.
Interne varslingsrutiner
Med grunnleggende sikkerhetsopplæring og «herding» på plass, vil neste steg for bekjempelse av cyberkriminalitet være å implementere gode varslingsrutiner for suspekte henvendelser. Sjansen er stor for at dersom du har mottatt en suspekt e-post i din innboks, så har flere av dine kollegaer mottatt den samme.
Ved å opprette interne varslingsrutiner er mulighetene gode for å redusere skadeomfanget. Dette kan gjøres på flere måter, men det er spesielt to metoder jeg av erfaring oppfatter som effektive:
Opprette et telefonnummer eller en e-post de ansatte rapporterer til.
Legge inn digitale rapporteringsverktøy, som for eksempel plugins i Outlook, som kan brukes til å merke mistenkelige e-poster.
I tillegg til å gjøre ansatte oppmerksomme på potensielle sikkerhetsbrister, vil oppfølging av rapporterte trusler gjør det mulig å oppdatere både programvare og ansatte med informasjon som gjør de rustet til å stoppe neste angrep.
Begrense rettigheter
Som tidligere nevnt er samspill mellom teknologi og bruker kritisk for å forhindre at din bedrift faller offer for cyberangrep. Hittil har jeg snakket mye om hvordan en på best mulig måte kan lære opp ansatte innen IT-sikkerhet, men det er også viktig å nevne at teknologi fremdeles spille en viktig rolle. Et «teknisk» tiltak mot cyberkriminalitet som spiller på lag med de ansatte er begrensede rettigheter.
Erfaring viser at ved å endre en konto fra lokal administrator til standard brukerkonto kan man fjerne hele 85% av alle potensielle trusler
Administratorrettigheter er kanskje det mest utbredte og mest alvorlige sikkerhetsavviket hos bedrifter i dag. Erfaring viser at ved å endre en konto fra lokal administrator til standard brukerkonto kan man fjerne hele 85% av alle potensielle trusler[ii].
Dette kan enkelt forklares ved at dersom uvedkommende har som hensikt å plante et virus i dine IT-systemer, er de avhengige av at kontoen som brukeren er pålogget med har de nødvendige rettighetene til at viruset kan startes og bevege seg videre inn i systemene.
For ansatte som trenger utvidede tilganger til sitt arbeid kan man ofte lage tilpassede løsninger eller «unntak fra regelen». Ofte kan dette gjøres uten at den ansatte har fulle administratorprivilegier til enhver tid. Begrensede tilganger medfører ofte litt murring blant de ansatte innledningsvis, men dette vil roe seg ette hvert. Fordelene vil uansett veie opp for ulempene. Les mer om begrensede rettigheter her.
Konklusjon
Vi står altså ovenfor en utfordring som ikke løses ved låste dører og uniformerte vakter. Utfordringen – og løsningen – er folk. Om vi klarer å stoppe de løpske trojanske hestene som sniker seg inn i lokalene er mye gjort. Våre egne ansatte må bli våre beste beskyttere – og disse skal avsløre de som ønsker å snike seg inn i systemene våre. Å få et kryptovirus inn i systemene er alvorlig – og det er dyrt. Det koster lite å oppdra og opplære våre egne folk i forhold til hva det koster av businesstap. Vi vet at lure inntrengere kan ødelegge mye for alle i hele bedriften. Du selv er ikke tryggere enn det svakeste leddet. Derfor må alle trenes i å spotte hesteutkledde datatyver.
Referanser:
[i] «Sosial manipulering» er et begrep som brukes om teknikker for påvirke eller manipulere andre mennesker til å utføre spesifikke handlinger. Sosial manipulering muliggjør både masseproduserte cyberangrep og mer sofistikerte målrettede angrep, der hackere lurer både IT-systemer og mennesker trill rundt. [ii] https://cybersecurity-excellence-awards.com/candidates/defendpoint-2/