De cyberkriminelle nøjes ikke længere med at kryptere data, når der skal presses penge ud af virksomheder ved ransomware-angreb.
Ved flere af de nyere angreb bliver virksomheder også truet med at få offentliggjort data på nettet, hvis de ikke betaler løsesummen.
Og EU’s persondataforordning, GDPR, kan meget vel spille en rolle i den udvikling, vurderer flere eksperter.
– De kriminelle bruger jo truslen om datalæk og GDPR-bøder som et af deres pressionsmidler, konstaterer Jacob Herbst, der er CTO i it-sikkerhedsvirksomheden Dubex.
Også direktør i it-sikkerhedsvirksomheden Improsec, Jakob Heidelberg, ser en klar sammenhæng mellem GDPR og truslen om datalæk.
– Man kan stå med en kæmpestor bødestraf som risiko. Og så er man måske ikke så interesseret i at fortælle offentligt om det, siger han.
I tilfælde af lemfældig omgang med persondata åbner GDPR blandt andet op for bøder på op til fire procent af en virksomheds globale omsætning.
Denne artikel er en del af et tema om ransomware
Våbenkapløbet
Magnus kan knække et Active Directory før frokost
Cyberkriminelle spekulerer i GDPR-skræk
Guide: Under angreb
Hos Datatilsynet, som er den danske GDPR-myndighed, ser it-sikkerhedsspecialist Allan Frank også en sammenhæng mellem de cyberkriminelles trussel om datalæk og så persondataforordningen.
– Man kan sige, det er jo den nye modus, der er kommet hos disse forbrydere inden for ransomware-verdenen. De har luret lunten, når det kommer til GDPR, som siger, at dem, det er gået ud over, risikerer en bøde, siger han.
Både Jakob Heidelberg, Jacob Herbst og Allan Frank anbefaler at kontakte Datatilsynet ved læk af persondata og i øvrigt lade være med at betale de kriminelle.
Hvis man betaler i sådan en situation, så kan det ende med, at angriberen bliver ved med at afpresse og true med datalæk, påpeger Jakob Heidelberg.
Og så er det vigtigt at huske på, at det ikke er ulovligt at blive hacket. Så den omstændighed, at en virksomhed er blevet udsat for et ransomware-angreb, udløser altså ikke i sig selv en bøde.
– Hvis man har gjort sig nogle rimelige forsøg på at undgå det her – og det har de fleste alligevel, selvom det ikke altid er state-of-the-art – så står man ikke i en situation, hvor det bliver dyrere at snakke med Datatilsynet, siger Allan Frank.
Og så er der lige en anden ting. Det er nemlig ikke frivilligt, om en virksomhed vil involvere Datatilsynet, hvis der er mistanke om læk af persondata.
Som følge af GDPR skal tilsynet kontaktes senest 72 timer efter, virksomheden har fået kendskab til, at noget er galt.
– Efter reglerne har man en forpligtelse til at snakke med Datatilsynet, og så hjælper det jo ikke at sidde og putte sig ovre i et hjørne og tro, vi ikke opdager det. Hvis vi først finder nogen, der har prøvet at krybe under vores radar ved ikke at anmelde det, så ligger man meget dårligere i svinget, når vi skal finde ud af, hvilken sanktion vi skal bruge over for den pågældende virksomhed, siger Allan Frank.
Man kan stå med en kæmpestor bødestraf som risiko
Sidder der nogen derude og er i tvivl om, hvorvidt et ransomware-angreb mod systemer, der indeholder persondata, nu også er ensbetydende med, at uvedkommende kan have haft adgang til disse persondata, ja, så er der ikke noget at være i tvivl om.
Det forholder sig ifølge Jakob Heidelberg rent teknisk således, at hvis angriberne har haft adgang til en fil, så den har kunnet krypteres, så har det også været muligt at læse indholdet af filen og hive informationer ud af virksomheden.
– Så hvis data, der hører under GDPR, er blevet krypteret, jamen, så har der også været mulighed for, at angriberen har kunnet læse det, siger han.
I den situation kunne nogle måske være fristet til at bruge mangel på log-filer til at sige noget i retning af, at ”intet indikerer, at der har været uretmæssig adgang til persondata”. Men den går ikke, påpeger Datatilsynets it-sikkerhedsspecialist, Allan Frank.
– Man skal dokumentere, at der ikke har været en risiko for de registreredes rettigheder, fastslår han.
Prosabladet har med hjælp fra blandt andre Dubex, PwC og Improsec sammensat en overordnet, ikke-prioriteret og langt fra udtømmende liste af tips og tricks til at holde ransomware ude.
Beredskabsplan Sørg for at have en beredskabsplan for, hvad der skal ske i tilfælde af cyberangreb.
Brug 2-faktor-autentifikation 2FA betyder, at brugernavn og en adgangskode ikke uden videre giver en angriber adgang til virksomhedens net.
Scan dig selv Portscan dine ip-adresser for at få en idé om, hvilke services der faktisk er eksponerede på virksomhedens netværk.
Hav styr på backuppen Hvis data uden videre kan gendannes fra backup, er det ikke nødvendigt at betale en angriber for nøglen til dekryptering. Backup-løsningen skal sikres, så angriberne ikke også får fat i den, og så skal en backup selvfølgeligt testes løbende. Endeligt hjælper en backup ikke i forbindelse med trussel om datalæk.
Brug gode kodeord Implementér sikkerhedsforanstaltninger, så kodeord ikke ender med at være ‘kodeord123’.
User awareness Sørg for, at brugerne i organisationen er bevidste om it-sikkerhed. Angreb starter ofte med en mail og en fil, der ikke skulle have været åbnet.
Sats ikke kun på brugerne Lad være med at tro, at brugere i en organisation aldrig kommer til at klikke på en ondsindet fil. Det vil ske. Derfor skal der også være andre sikkerhedsforanstaltninger på plads i virksomheden. Eksempelvis netværks-overvågning, anti-virus og et sikret Active Directory-miljø.
Tjek dit AD Hvis din virksomhed bruger Active Directory, så gå sikkerheden i AD-miljøet efter i sømmene. AD’et er et attraktivt mål i forbindelse med ransomware-angreb.
Log Log og overvåg trafikken i dit netværk. Det kan dels hjælpe med at opdage et angreb, inden det går helt galt. Dels kan logs hjælpe med at opklare, hvor galt det er gået, når et angreb først er en realitet.
Opdateringer Hold din software opdateret med hensyn til sikkerhedsrettelser. Hvis et sikkerhedshul er kendt - og det er det, når en producent udsender en patch - så kender hackeren det måske også. Husk at opdatere alle servere.
Antivirus Antivirus garanterer på ingen måde, at en klientmaskine er sikret mod malware og hackere. Antivirus kan dog lægge et bundniveau for at fange gængs malware.
Alt det andet Nettet er fuld af it-sikkerhedsvejledninger, der kan være værd at se nærmere på, når virksomheden skal sikres. Blandt andet har Center for Cybersikkerhed udgivet nogle stykker, eksempelvis om DMARC-implementering.