Opdager ikke, at man har været udsat for angreb
– Hackerne bruger gerne tid på at finde ud af, hvor de kan gøre mest skade for at maksimere udbyttet ved angrebet, siger chef for sikkerhed i Atea, Søren Haven.
Statistik fra 2021 fra Check Point viser, at der i gennemsnit udføres 458 angreb mod en typisk nordisk virksomhed hver eneste uge. Globalt steg cyberkriminalitet med hele 40 procent.
Heldigvis lykkes det normalt ikke hackerne at få adgang til virksomhedens systemer, men tallene viser, at trusselsniveauet er meget højt og risikoen stor. Vigtigheden af gode rutiner og systemer til sikkerhedsovervågning er derfor større end nogensinde.
Globalt set er det uddannelses- og forskningsinstitutioner, som oftest bliver udsat for angreb med 1.468 angreb pr. institution om ugen (en stigning på 60 procent i forhold til 2020), efterfulgt af myndigheder og forsvar med 1.082 angreb om ugen. Derefter kommer hospitaler og sundhedsvæsen med 752 angreb pr. institution ugentligt.
Gode logs er afgørende – men man skal holde øje med dem
Det tager i gennemsnit omkring 90 dage, fra en virksomhed bliver udsat for et angreb, til angrebet bliver opdaget. Dette skyldes, at hackerne ikke nødvendigvis udfører ondsindede handlinger umiddelbart efter at have skaffet sig adgang til virksomhedens systemer.
– Meget ofte bliver man hacket, bare fordi det er muligt. Hackere er tit ukritiske og bruger automatiserede værktøjer og hamrer løs på indgange, indtil de finder en åben dør. Så bruger de noget tid på at finde ud af, hvor de kan gøre mest skade for at maksimere udbyttet ved angrebet, siger chef for sikkerhed i Atea, Søren Haven.
”gennemsnit kan det tage 22 dage at få systemerne op at køre igen, men har man et godt sikkerhedssystem og en god overvågning, er man oppe igen inden for en dag eller to”
I nogle tilfælde er det ikke engang sikkert, at de hackere, der har fået adgang til virksomhedens systemer, selv vil gøre skade.
– Nogle gange sælger de angrebet til andre, for eksempel hvis de ikke finder det, de leder efter. Så kan de sælge til nogen, der for eksempel er har politiske motiver, siger Haven.
Han understreger, at det er vigtigt at føre kontrol med logs, og at man følger med hele tiden. Ellers risikerer man, at man ikke opdager angrebet, før det er for sent, og så sidder man pludselig med et krav om løsepenge.
– Tal fra vores team for hændelsesrespons viser, at antallet af angreb er steget voldsomt, siger Haven.
Kenneth Thorsted, Security Manager
Dansk Erhverv har gennemført en stor repræsentativ undersøgelse, som viser at, knap en fjerdedel af danske virksomheder mener, det er meget usandsynligt eller usand- synligt, at deres egen virksomhed vil blive ramt af et cyberangreb.
– For danske virksomheder i dag er det ikke længere et spørgsmål om ”hvis”, men ”hvornår” de bliver udsat for et data-angreb. At så stor en andel mener, at et angreb er usandsynligt, viser, at der er behov for et helt andet fokus på digital sikkerhedskultur i erhvervslivet i Danmark. Viden er en hjørnesten i en god sikkerhedskultur, siger Haven og tilføjer, at de fleste virksomheder antageligt tror, at de ikke er interessante nok til at blive hacket.
– Det positive ved undersøgelsen er, at 23 procent finder det sandsynligt, at de kan blive udsat for successfuldt angreb. Men jeg tror, at i de fleste bestyrelseslokaler er man ikke klar over dette, og ofte er det først efter angrebet, at man spørger sig selv, hvad man kunne have gjort.
Haven anbefaler, at man starter med at foretage en sundhedstest eller modenheds- analyse i virksomheden for at finde ud af, hvor godt man er rustet til at håndtere det aktuelle trusselsbillede.
– Sådan en analyse kan afsløre, hvilke tiltag, der skal til for at højne sikkerheden uden at det nødvendigvis koster mange penge.
Gode sikkerhedssystemer kan reducere nedetid fra 22 til 1 eller 2 dage
Atea’s digitale sikkerhedsservice SOC+ modtager og analyserer sikkerheds-logfiler fra kundernes infrastruktur med henblik på at afdække eventuelle sikkerhedsbrud eller af- vigelser. Vegard Kjerstad er leder af Atea’s Incident Response Team (IRT). Han fortæl- ler, at de har registreret en klar stigning i trusselsniveauet på det seneste.
– Det handler om alt fra e-mails med forskellige former for phishing-forsøg og ad- gangskoder, der havner forkerte steder, til større ting som egentlige ransomware-an- greb, hvor uvedkommende har været inde i dage eller uger, før angrebet bliver sat i gang. Noget, der kunne have været undgået med god overvågning, siger Kjerstad.
Han fortæller, at mens global statistik ofte opererer med, at hackerne kan have været inde i systemerne i flere måneder, før et angreb bliver opdaget, så er erfaringerne fra Atea SOC+ i Norge, at hackerne i mange tilfælde kun har været inde i få timer eller dage.
– Men pointen er, at man som udgangspunkt ikke ved, hvor længe de har været inde. Hvis man ikke har en løbende logning, der gør, at man kan gå langt tilbage i tiden for at se, hvad der er sket, er det umuligt at vide, hvor længe de har haft adgang til syste- merne.
– Ved et angreb lukker man normalt alle IT-systemer helt ned for at fjerne den risiko, at nogle systemer kommunikerer med hackerne. Vi ser, at det i gennemsnit kan tage 22 dage at få systemerne op at køre igen, men har man en god overvågning, er man oppe igen inden for en dag eller to, siger Kjerstad.
– Det er vigtigt at vide, hvad der er sket, og hvornår det er sket. Man kan derefter begynde at etablere en tidslinje og træffe kvalificerede valg – og man kan se, hvornår systemet ikke var inficeret.